Рассказываем о правах и обязанностях людей и компаний, а также об отличии GDPR от «пакета Яровой».
Раньше продавцы хранили данные о клиентах разве что на векселе, отпуская товар в рассрочку. Теперь компании знают, где мы живем, с кем общаемся, какие товары хотим купить и сколько денег готовы потратить. Полной приватности нет, но знать, какие данные бизнес собирает о клиентах, и распоряжаться ими — важное право самих клиентов. И теперь для граждан ЕС оно регулируется законодательно, затрагивая весь мир.
Общий регламент по защите данных (GDPR) дает больше прав потребителям и больше ответственности бизнесу. Из-за этого предприниматели могут подумать, что Регламент — выдумка европейских бюрократов и «пакет Яровой» — от ЕС, но это не так. Статья будет полезна тем, кто хочет разобраться в новых правилах, чтобы пользоваться своими правами и соответствовать Регламенту.
Откуда взялся GDPR и на кого распространяется
До сих пор в Европе правила обработки персональных данных регулировались рамочной директивой от 1995 года. Она не учитывала все актуальные виды собираемых данных и варианты их использования бизнесом. Поэтому с 25 мая 2018 года начали действовать обновленные правила обработки персональных данных.
GDPR — экстерриториальный документ. Он прописывает права резидентов ЕС, но не ограничивается его территорией. Соблюдать Регламент должны компании всего мира, ориентированные на международный рынок, в числе клиентов которых есть (или могут быть) граждане ЕС. Ориентация на международный рынок — это не амбиции учредителя, а технические возможности для сделки.
Вы — телеком-провайдер, облачное решение, онлайн-сервис, разработчик игр, сервис покупки билетов или бронирования жилья, гостиница и пр.? Собираете данные клиентов? У вас есть возможность предоставлять услуги гражданам ЕС и лицам, находящимся на его территории? Сайт посещают из стран ЕС? Работайте по GDPR, независимо от того, взимаете ли вы плату за услуги.
Интернет-магазин, использующий данные только для того, чтобы выполнить свои обязательства, по GDPR, не обязан запрашивать согласие покупателей на обработку. Но для рекламной рассылки оно понадобится.
Соответствовать или нет требованиям GDPR могут и компания, и ее продукты, если они работают с данными пользователей.
Что считается персональными данными
Согласно документу, это информация, по которой можно прямо или косвенно идентифицировать человека: имя, данные о местоположении, сетевой идентификатор. К ней же относятся показатели, характерные для физиологической, генетической, умственной, экономической, культурной или социальной идентичности конкретного лица, — например, размер обуви, сведения о доходе, место работы. Собирать эти данные можно, но только по правилам GDPR.
Как собирать данные
Ключевая мысль: пользователь должен осознанно и активно дать согласие для каждого процесса обработки данных. Универсальные варианты вроде «Я даю согласие на сбор и обработку моих данных» или «Принимаю условия регистрации» теперь не годятся.
Согласие по умолчанию, прописанное в спрятанных документах, тоже. Для каждого сценария сбора и обработки свое поле с галочкой. По умолчанию оно пустое и не обязательно для заполнения: отказать в регистрации тому, кто не хочет получать спам, нельзя.
Например, вы храните email и номер телефона. Адрес будете использовать для рассылки, а на мобильный слать эсэмэски для восстановления пароля и важные системные сообщения. Сколько полей в стиле «Я даю согласие на…» должно быть на вашем сайте? Пять: электронная почта, телефон, email-рассылка, SMS-уведомления с паролями и системные сообщения.