25 мая 2018 года вступил в силу регламент General Data Protection Regulation (GDPR), цель которого — защитить пользовательские данные, которые оставляют пользователи на просторах Интернета.
General Data Protection Regulation — это кардинальный апгрейд Директивы 95/46/ЕС, которая действовала до внедрения GDPR-регламента, и теперь нормы регламента являются нормами прямого действия и обязательными (!) для всех.
Ознакомиться с полным сводом правил GDPR-регламента вы можете здесь, а Retail Platforma предлагает вам short-версию, которая поможет понять, как подготовить и адаптировать компанию к работе в фрейме новых жестких GDPR-правил.
- Закон распространяется на вас и вашу компанию, если ваша компания хранит или обрабатывает персональные данные резидентов или граждан ЕС, независимо от расположения и регистрации компании.
GDPR касается всех компаний, которые на территории ЕС занимаются предложением бесплатных товаров и услуг, мониторингом действий компаний (системы веб-аналитики) с сайтом, скупкой списков email-адресов для «холодных» рассылок, запросом пользовательских данных, не касающихся производимого компанией продукта, а также и в случае шифровки полученной информации. - Персональные данные — это любая информация, связанная с идентифицированным или идентифицируемым физлицом («субъектом данных»).
То есть персональные данные — это и очевидная информация (имя, фамилия, адрес, дата рождения, паспортные данные и т.д.) и другие сведения: место обучения или работы, страны, в которых бывал человек, текущее местонахождение и не только — все, что потенциально позволяет вычислить человека даже со скрытым настоящим именем.
- Концепция персональных данных дополнилась такой информацией, как Client ID и User ID (online identifier), месторасположением и другими факторами, которые имеют отношение к физическому, физиологическому, генетическому, экономическому, культурному и другим отождествлениям человека (личности).
- Что нельзя делать? Категорически нельзя собирать и использовать данные (ст. 9), которые касаются:
— политических и религиозных взглядов;
— расовой или этнической принадлежности;
— состояния здоровья;
— сексуальной ориентации;
— членства в профсоюзах;
— генетические и биометрические данные запрещено собирать с целью точной идентификации человека. - Что можно:
собирать и обрабатывать остальные персональные данные с явного согласия пользователей. - Явное согласие предполагает, что сначала компания внятно и доступно объяснит:
— какие данные собираются;
— зачем;
— как они будут обработаны и использованы;
— в течение какого времени они собираются и используются.
А потом необходимо будет просить согласие на сбор и обработку данных. - Максимальный штраф за нарушение норм GDPR — € 20 млн
- Компании предоставляется всего 72 часа, чтобы сообщить об утечке информации и что-то предпринять.
- Изучите data, которая присутствует в вашем бизнесе. Важно понять, откуда она берется, как собирается, где хранится и что с ней происходит потом.
- Если есть собственный сайт, опишите его в cookie policy, чтобы любой пользователь мог понять, куда сливаются его данные.
- Если вы как-то соприкасаетесь с сотрудниками ЕС и работаете с их датой, позаботьтесь о подготовке всех необходимых юридических документов.
- Если ваш юрист не компетентен в таком вопросе, ищите DPO (Data Protection Officer).
Резюмируя всё выше сказанное, можно сделать ключевые выводы: 1) придется обновить политики конфиденциальности компании;
2) придется признаваться клиентам, зачем вам нужен номер их кредитной карты.
2) придется признаваться клиентам, зачем вам нужен номер их кредитной карты.