Прошло полтора года с тех пор, как в Европейском Союзе вступил в силу Общий регламент по защите данных (GDPR). Основная цель регулирования заключалась в том, чтобы предоставить людям большую конфиденциальность, ясность и контроль над тем, как их данные используются онлайн-бизнесом, организациями и третьими лицами. В соответствии с GDPR компании теперь должны предоставлять гораздо больше информации о том, как они используют и хранят личные данные – будь то на веб-сайтах, в трудовых договорах или онлайн-формах.
В этой статье мы подробно обсудим, что такое GDPR, что он значит для обычного человека и как он реализуется с момента его вступления в силу в прошлом году.
Что такое GDPR?
Идея GDPR заключается в том, чтобы законы ЕС, касающиеся конфиденциальности и защиты данных в Интернете, лучше соответствовали сложностям эпохи онлайн. Многие крупнейшие интернет-компании полагаются на постоянный поток персональных данных, которые мы предоставляем каждый день, находясь в Интернете: от файлов cookie и результатов поиска в Google до подробностей, которые мы вводим в онлайн-опросы или другие формы.
Большой интернет-бизнес в значительной степени подпитывается нашими данными, и идея GDPR состоит в том, чтобы дать нам больше ясности и контроля над тем, как они используются, а также заставить компании быть более ответственными за то, какие данные они получают. от нас и как они это используют.
Звучит хорошо, но что именно это означает? Вот ключевые моменты, касающиеся GDPR:
- Личные данные физического лица или «субъекта данных» могут обрабатываться только в том случае, если достигнута одна из нескольких «законных целей». К ним относятся согласие человека на обработку данных, выполнение задач в общественных интересах, защита жизненно важных интересов других лиц или ряд других подобных «целей».
- Субъекты должны дать свое согласие на обработку данных (отсюда и все эти уведомления о GDPR, которые начали появляться на веб-сайтах повсюду).
- GDPR контролирует компании, требуя принятия «соответствующих технических и организационных мер» для минимизации риска злоупотребления или утечки данных.
- Об инцидентах, связанных с безопасностью данных, которые представляют угрозу «правам и свободам» субъектов данных, необходимо сообщать вышестоящим органам в течение 72 часов.
- Данные, собранные от субъектов, анонимизируются в целях защиты конфиденциальности.
- Право на забвение позволяет пользователям требовать полного удаления их данных из базы данных. Пользователь также имеет право попросить веб-сайт больше не обрабатывать его данные, если он не хочет, чтобы они были полностью удалены. Если компания поделилась данными пользователя с другими сторонами, их всех необходимо уведомить о любых удалениях, исправлениях или ограничениях. Пользователь должен иметь право на прекращение обработки своих данных всеми сторонами.
- Обработчики данных, состоящие из «контролеров» (людей и органов, которые «определяют цели и средства обработки персональных данных») и «обработчиков» (людей или органов, которые обрабатывают данные от имени контролера), несут ответственность за данные обрабатываются неправильно, и могут быть оштрафованы, если будет обнаружено, что они не соответствуют правилам обработки данных GDPR.
Все эти права сопровождаются дополнительными обязательствами, налагаемыми на компании, и в случае их несоблюдения они могут столкнуться с серьезными последствиями. Детализация этого закона делает его, пожалуй, одним из крупнейших законов о защите конфиденциальности цифровых данных в мире.
Какие последствия имеет GDPR?
ЕС не вмешивается в обеспечение соблюдения GDPR и не преследует компании, которые, по его мнению, нарушают его правила. Самый громкий случай GDPR в настоящее время касается WhatsApp и Ирландской комиссии по защите данных, которая выразила обеспокоенность по поводу того, достаточно ли WhatsApp информирует своих пользователей о том, как он обрабатывает их данные.
На данный момент проект решения о штрафе, который должен выплатить WhatsApp, перенесен на Юристам WhatsApp принята процессуальная жалоба 2020 года.
Еще в январе 2019 года CNIL, французская служба по защите данных, оштрафовала Google на 57 миллионов долларов за нарушение законов GDPR, обвинив поисковую систему в недостаточной прозрачности и ясности в том, как она обрабатывает персональные данные, а также в том, что она не получила надлежащего согласия при показ пользователям персонализированной рекламы.
В ноябре 2019 года Агентство по защите данных Великобритании выпустило предупреждения рекламным компаниям об обработке конфиденциальных данных и контрактах, используемых для обмена данными между поставщиками.
В ноябре компания Microsoft внесла изменения в политику конфиденциальности своих облачных контрактов после расследования, проведенного Европейским органом по надзору за защитой данных (EDPS), выразила обеспокоенность тем, что ее контракты и ее роль в качестве обработчика данных для учреждений ЕС не соответствуют GDPR.
Заключение
Как видите, GDPR вызвал множество конфликтов, связанных с конфиденциальностью, между онлайн-бизнесом и Европейским Союзом. В то время как компании демонстрируют готовность соблюдать положения GDPR, ясно, что многим из них предстоит пройти долгий путь, прежде чем они станут полностью соответствующими требованиям, и мы, вероятно, увидим, что штрафы и предупреждения будут поступать быстро и быстро, поскольку компании вынуждены адаптироваться к радикально пересмотренным законам ЕС, касающимся конфиденциальности в Интернете.