Три роки GDPR. Детально пояснюємо, як він працює і що вам буде за порушення

Все про захист персональних даних користувачів у 900 словах

26 травня 2021

Юлія Даниленко

Три роки тому набув сили GDPR — регламент, що визначає принципи роботи з персональними даними європейських користувачів інтернету. GDPR разом з CCPA — серйозна віха в історії захисту персональних даних, а також предмет головного болю для компаній, які займаються збором даних. Вже у перший день дії GDPR Google та Facebook отримали позовів на загальну суму у $8,8 млрд.

Adsider розповідає, що таке GDPR, з чим його їдять та як його випадково не порушити.
Що таке GDPR
Загальний регламент захисту даних (General Data Protection Regulation, GDPR) — це законодавство, яке забезпечує захист персональних даних осіб у межах ЄС та Європейської економічної зони, а також карає за порушення стандартів.

На 88 сторінках регламенту прописано, що розуміти під поняттям «персональні дані», хто має право збирати та обробляти цю інформацію, згідно з якими принципами прописуються права власників даних (тобто користувачів інтернету), а також обов’язки та обмеження для компаній, що збирають дані, і визначаються покарання за порушення.
Чому виникла потреба у GDPR
Право на захист персональних даних закріплено у Європейській конвенції прав людини. Стаття 8 Конвенції проголошує: «Кожен має право на повагу до його приватного i сiмейного життя, до житла і до таємницi кореспонденції».

Розвиток технологій та поява інтернету призвели до того, що з’явилися нові способи збору даних — для комерційних потреб і не тільки. Чим більш просунутими ставали інтернет-технології, тим більше виникало ризиків, пов’язаних з питаннями конфіденційності та видачею персональної інформації через недостатню поінформованість, особливо з появою соцмереж.

У 2011 році користувачка Google зі штату Массачусетс подала проти компанії позов, звинувативши техногіганта у тому, що він сканував її приватну переписку.

У 2016 році скандал з Cambridge Analytica, коли маніпулювання приватними даними дозволило вплинути на результат виборів у США, показав, що ситуація стала критичною, а персональні дані користувачів потребують захисту як ніколи.
Кого стосується GDPR
Ваше місцезнаходження не має значення. Ви можете працювати з США, України, Гватемали або взагалі керувати своєю компанією з бази в Арктиці — якщо ви збираєте і обробляєте дані громадян або резидентів ЄС, ви підпадаєте і під GDPR.
Що буде, якщо його порушити?
Якщо коротко, порушувати GDPR — дуже дорого.

Є два рівні штрафів. Перший, за менш серйозні порушення, — це штраф на суму до €10 млн або 2% глобального річного доходу компанії за попередній фінансовий рік (якщо цей дохід більший за €10 млн).

Другий рівень штрафів — це €20 млн або 4% глобального річного доходу компанії за попередній фінансовий рік.

Детальніше про те, за які порушення призначаються штрафи, можна прочитати на сайті регулятора.
Коли з’явився GDPR
GDPR набув законної сили рівно три роки тому, 25 травня 2018 року, але основні принципи регламенту прописали на чотири роки раніше — у 2014-му.

Робота над створенням відповідного законодавства почалася ще у 1995 році, з прийняттям Директиви Європейського парламенту про захист персональних даних.

Adsider зібрав основні події у «житті» GDPR.
1
2014
12 травня — Європейський парламент проголосував за першу ітерацію GDPR у першому читанні. 621 голос за та лише 10 проти, 22 утрималися.
2
2015
27 липня — Європейське наглядове бюро з захисту персональних даних публікує рекомендації до фінальної версії тексту GDPR. Запуск мобільного додатку, у якому можна порівняти пропозиції Парламенту, Комісії та Ради Європи.
3
2016
15 грудня — Європейський парламент, Рада та Комісія доходять згоди щодо тексту GDPR.
2 лютого — опубліковано план дій з впровадження GDPR.
27 квітня — Євросоюз приймає GDPR.
24 травня — через 20 днів після публікації в Офіційному віснику ЄС GDPR набуває законної сили.
4
2017
10 січня — Єврокомісія пропонує два нових правила щодо конфіденційності та електронних комунікацій та правил захисту даних, що застосовуються до установ ЄС.
5
2018
6 травня —Пропозиція до Положення про захист персональних даних в установах ЄС.
25 травня — з цього дня GDPR застосовується до будь-якої компанії в світі, що збирає та обробляє персональні дані громадян або резидентів ЄС.
Принципи GDPR
Компанії, що підпадають під дію GDPR, зобов’язані дотримуватися семи принципів захисту та відповідальності:
1
Законність, чесність та прозорість.
2
Обмеження мети використання (використовувати дані лише з тією метою, про яку ви поінформували користувача).
3
Мінімізація даних (не збирати більше даних про користувача, ніж вам життєво необхідно для роботи).
4
Точність (ви маєте зберігати точні й актуальні дані).
5
Обмеження зберігання (зібрані дані можна зберігати лише протягом часу, потрібного на досягнення мети, з якою ви їх зібрали).
6
Конфіденційність.
7
Відповідальність (ви маєте довести, що дотримуєтеся усіх принципів GDPR).
Варто зазначити, що компанія відповідає за забезпечення захисту даних, які зібрала про своїх клієнтів чи користувачів, а отже, нестиме відповідальність у випадку, якщо до цих даних дісталися хакери, конкуренти чи хтось, хто не повинен був мати до них доступу. Так само, якщо компанія передала зібрані дані третій стороні без інформованої згоди користувача.
Інформована згода
Згода користувача на збір і обробку персональних даних також чітко регулюється GDPR. Компанія не може просто попросити «погодьтеся на все, що ми будемо робити з вашими даними».
1
Згода користувача має бути добровільною, чіткою, інформованою.
2
Запити на згоду мають бути чітко помітними та прописаними зрозумілою мовою.
3
Користувач має право відкликати згоду на обробку своїх даних у будь-який момент.
4
Діти віком до 13 років можуть надавати згоду лише з дозволу батьків.
5
Ви повинні зберігати документальне підтвердження отриманої згоди на обробку даних.
Ключові терміни, які треба знати
Персональні дані
це будь-яка інформація, яка дозволяє напряму чи не напряму ідентифікувати користувача. Це імена, email-адреси, а також місцезнаходження, національність, стать, біометричні дані тощо.
Обробка даних
будь-які дії з цими даними: збір, запис, організація, зберігання, використання.
Суб’єкт даних
особа, дані якої обробляються, наприклад ваш клієнт чи користувач.
Контролер даних
особа, яка приймає рішення, чому і як будуть оброблятися персональні дані. Власник компанії або особа, що відповідає в компанії за роботу з даними користувачів.
Обробник даних
третя сторона, яка обробляє дані від імені контролера.
Читайте далі Ресурс 1