Общие положения о защите данных (GDPR)
Общие положения о защите данных ( сокращенно « GDPR ») были в новостях в последнее время. Но каковы новые правила и как они влияют на ваш бизнес?
Фон
В 1995 году Европейская комиссия опубликовала Директиву о защите данных . Это потребовало от всех государств-членов ЕС реализовать свое собственное законодательство о защите данных, чтобы обеспечить надлежащую защиту личных данных их граждан и гарантировать, что гражданам гарантированы конкретные права как на то, какие данные хранятся на них третьими лицами, так и чтобы иметь возможность требовать исправления или удаления данных в случае необходимости.
Однако в последующие годы быстрое развитие социальных сетей, смартфонов и продолжающееся развитие Интернета показали, что существующие правовые средства защиты не были адекватными. В результате Европейская комиссия предложила новый регламент - Общие правила защиты данных. В отличие от предыдущей Директивы о защите данных, которая позволяла отдельным членам ЕС применять правила по-своему, Правила GDPR должны были быть реализованы как единое правило для всего ЕС в одну дату: 25 мая 2018 года
Одной из ключевых целей GDPR было расширение существующего режима защиты данных в Европе, чтобы гарантировать, что все граждане ЕС имеют одинаковый уровень защиты независимо от того, обрабатываются ли их данные бизнесом ЕС или бизнесом, не входящим в ЕС. Комиссия заявила, что их цель состояла в том, чтобы обеспечить всем гражданам стандартный набор «цифровых прав» в эпоху, когда личные данные все больше становятся ключом к цифровой экономике будущего.
Почему ВВПР важен?
GDPR важен для всех предприятий как из-за широкой сферы действия Правил, так и из-за значительных штрафов за несоблюдение. В случае серьезных нарушений размер штрафа может составить более 20 миллионов евро или 4% мирового оборота .
GDPR также расширяет сферу потенциальной ответственности за любое нарушение данных. Ранее существовало различие между «контроллерами» данных, которые на самом деле владели данными, и «процессорами» данных, с которыми контроллер заключил контракт на выполнение действий с этими данными. Первый может нести ответственность за любую потерю или неправильное использование персональных данных, но не последний. Однако в рамках GDPR и контроллер, и процессор будут совместно и нести солидарную ответственность. Это означает, что пострадавшие лица могут подать в суд на одну или обе стороны или быть оштрафованы регулирующими органами.
Поскольку многие предприятия в технологическом секторе, вероятно, будут переработчиками, это означает, что в рамках GDPR эти предприятия теперь будут иметь потенциальную ответственность, которой раньше не было!
Что на самом деле требует GDPR?
GDPR устанавливает ряд обязательств перед каждым, кто контролирует или обрабатывает данные. Это не является исчерпывающим руководством, но основные требования заключаются в следующем:
- Знайте, какие данные вы контролируете и откуда вы их взяли
- Для любых данных, которые вы контролируете или обрабатываете, убедитесь, что вы делаете это на «законной основе» (это будет объяснено позже)
- Принять соответствующие меры для защиты любых данных, которые вы контролируете или обрабатываете, и минимизировать любые риски для этих данных
- В тех случаях, когда вы выполняете субподряд на любую обработку данных, которыми вы управляете, вы должны убедиться, что процессор работает в соответствии с эквивалентными стандартами защиты.
- Если вы храните «личные» или «конфиденциальные» данные, вы должны предпринять дополнительные шаги для обеспечения защиты этих данных. Личные данные широко используются - даже адрес электронной почты или IP-адрес можно считать персональными данными!
- Если этого требует индивидуум, вы должны предоставить копию любых данных, которые вы на них храните, быстро и в удобной машиночитаемой форме («переносимость данных»).
- Если человек запрашивает вас об этом, вы должны удалить все данные, которые у вас есть («право быть забытым»)
"Законная основа"
«Законная основа» является одной из важнейших частей ВВПР. По сути, это требует, чтобы любые данные, которые собираются или обрабатываются, были сделаны на законных основаниях. Если нет законных оснований, данные не могут быть собраны или обработаны и должны быть уничтожены.
Существует ряд различных сценариев, которые считаются законным основанием:
- Где пользователь явно дал согласие на сбор и обработку своих данных. Это наиболее распространенная законная основа, и ее также довольно легко удовлетворить. Вы должны четко и недвусмысленно сообщить пользователю, какие данные вы собираетесь собирать и почему вы это делаете. Затем вы должны предоставить пользователю возможность подписаться на такую коллекцию (обратите внимание, что это должна быть подписка, а не отказ).
- Где вам нужно собрать данные, чтобы выполнить контракт. Это также, вероятно, будет общей законной основой и предназначено для сбора и обработки данных для общих ситуаций, таких как интернет-магазин по продаже товаров или услуг. В этой ситуации покупатель заключил договор, приобретая товары или услуги, поэтому было бы законно собирать информацию о выставлении счетов и доставке и передавать ее обработчику кредитных карт, поскольку это необходимо для фактического выполнения этого договора. Однако использование этих данных для других целей (например, для маркетинга) не будет законным основанием, поскольку не будет необходимости для выполнения контракта.
- Где требуется по закону. Могут быть ситуации, когда данные должны собираться и обрабатываться, потому что это требуется по закону. Хорошим примером может служить то, что банки и финансовые учреждения часто по закону обязаны хранить определенные записи в течение 6 лет.
- Там, где есть жизненный интерес. Эту правовую основу вряд ли можно встретить в деловом мире, поскольку она предназначена для чрезвычайных ситуаций, связанных с жизнью или смертью, и будет охватывать обработку данных такими учреждениями, как службы экстренной помощи.
- Где требуется для общественной задачи. Этого также вряд ли можно встретить, поскольку он предназначен для того, чтобы правительственные департаменты или другие официальные органы могли собирать и обрабатывать данные для выполнения своей работы. Примерами могут быть юридические фирмы, которым необходимо собирать и обрабатывать данные для предоставления таких услуг, как обращение в суд
- Наконец, есть «законный интерес». Это намеренно составлено, чтобы быть довольно расплывчатым, но по существу позволяет собирать и обрабатывать данные, если в этом есть основополагающий законный интерес. Хорошим примером будет то, что если человек попросит не получать маркетинговые электронные письма от бизнеса, то будет законный интерес сохранить адрес электронной почты этого человека, чтобы гарантировать, что маркетинговые электронные письма не будут отправлены этому человеку, вместо полного удаления его данных и, таким образом, рискуя случайно по электронной почте им в будущем. Однако существует высокий барьер для законного интереса - это должно отвечать первостепенным интересам человека, а не только потому, что это удобно для компании.
Стоит также отметить, что в тех случаях, когда данные, собираемые или обрабатываемые, являются «конфиденциальными» (в основном все, что связано с расой, религией, сексуальными предпочтениями, политической принадлежностью, медицинскими записями или членством в профсоюзе), тогда применяется гораздо более строгий набор требований на законных основаниях. - как правило, вы можете собирать или обрабатывать такие данные только в том случае, если на это есть явное согласие пользователя, или это отвечает подавляющим общественным интересам или требуется по закону.
Что насчет Реинкубата?
Чтобы узнать больше о правах и обязанностях Reincubate по GDPR, ознакомьтесь с нашей политикой конфиденциальности .