Загальний регламент про захист даних (GDPR) - це новий закон Європейського Союзу, який набирає чинності сьогодні, і саме тому ви постійно отримуєте електронні листи та повідомлення про оновлення політики конфіденційності. То як це впливає на вас? Ось що вам потрібно знати.
Новий закон GDPR набирає чинності сьогодні, 25 травня 2018 р., І охоплює захист даних та конфіденційність для громадян ЄС, але також по-різному застосовується до багатьох інших країн, а оскільки всі технічні гіганти - це величезні багатонаціональні корпорації , це впливає на багато речей, якими ви користуєтеся щодня.
Проблема, яку намагається вирішити GDPR: компанії збирають та зловживають вашою особистою інформацією
З самого початку Інтернету компанії збирають якомога більше даних про кого завгодно. Зібрати цю інформацію просто, тому у них немає причин не накопичувати її.
Проблема полягає в тому, що протягом останніх кількох років багато компаній були спіймані, не захистивши - або відверто зловживаючи - вашою особистою інформацією. Скандал Cambridge Analytica , де дослідник використовував вікторину Facebook, щоб зібрати величезні обсяги даних про мільйони користувачів Facebook, а потім продав їх консалтинговій фірмі, є лише найсвіжішим прикладом. Торік хак Equifax був особливо поганим, оскільки виточена інформація може бути використана для відкриття кредитних карток . І це просто великі скандали. Багато компаній зловживають вашими даними дрібніше, наприклад, продаючи їх стороннім рекламним компаніям.
ЄС поглянув на ситуацію неяскраво і використовує GDPR, щоб спробувати виправити її. Згідно з новими законами, компанії, які не захищають належним чином дані споживачів або не використовують їх будь-яким чином, зазнають величезних штрафів.
Що вважається персональними даними?
GDPR захищає "персональні дані", що тут означає "будь-яку інформацію, що стосується ідентифікованої або ідентифікуваної фізичної особи", - і це досить широке визначення. Насправді особисті дані, як правило, включають такі речі:
- Біографічні дані, такі як ваше ім’я, адреса, номер телефону, номер соціального страхування тощо.
- Дані, що стосуються вашого фізичного вигляду та поведінки, такі як колір волосся, раса та зріст.
- Інформація про вашу освіту та історію роботи, така як ваша зарплата, ступінь вищої школи, середній бал, податковий ідентифікаційний номер тощо.
- Будь-які медичні або генетичні дані.
- Такі речі, як ваша історія дзвінків, приватні повідомлення чи дані про геолокацію.
Це далеко не повний перелік. Ключовим є те, що враховуються будь-які дані, які роблять вас ідентифікованими. За певних обставин може бути достатньо вашого кольору волосся. В інших навіть ваше повне ім’я - якщо це щось спільне, як Роберт Сміт - може не зробити вас ідентифікуючим.
Що робить GDPR?
GDPR надає резидентам ЄС, які збирають їх персональні дані, які в законі називаються "суб'єктами даних", вісім прав. Вони є:
- Право на інформування: Якщо компанія збирає дані, вони повинні повідомити суб’єктам даних, що збирається, для чого вони збираються, для чого вони використовуються, як довго вони будуть зберігатися, і якщо вони будуть передаватися третім особам. Цю інформацію не можна глибоко заховати в умовах надання послуг, які ніхто не читає; він повинен бути стислим і зрозумілою мовою.
- Право на доступ: Якщо вони цього вимагають, будь-яка організація, яка має персональні дані щодо суб’єкта даних, повинна надати їх їм протягом місяця.
- Право на виправлення: Якщо суб’єкт даних виявить, що у компанії є дані про них неправильні, він може вимагати оновлення. Компанії мають один місяць для виконання.
- Право на стирання: Суб'єкт даних може вимагати від компанії видалення будь-яких даних, які зберігаються у них за певних обставин. Наприклад, якщо дані більше не потрібні або вони відкликають свою згоду на їх використання.
- Право на обмеження обробки: Якщо організація не може видалити дані суб’єктів даних, наприклад, тому що вони потрібні для судового розгляду, тоді вони можуть вимагати від компанії обмеження способу їх використання.
- Право на перенесення даних: Суб’єкти даних мають право брати свої персональні дані з однієї служби та використовувати їх з іншою.
- Право на заперечення: Якщо дані збираються без згоди, але для законних ділових інтересів, для суспільного блага або офіційних органів, суб’єкт даних може заперечити. Потім організація повинна припинити обробку даних, поки вони не зможуть довести, що мають для цього законні підстави.
- Права, пов'язані з автоматизованим прийняттям рішень, включаючи профілювання: GDPR вводить захисні механізми, щоб особи могли заперечувати або отримувати пояснення щодо автоматизованих рішень, що стосуються їх та їх даних.
Ще однією важливою частиною нормативних актів є те, що компанії повинні мати законну причину для збору або обробки будь-яких даних. Однією із законних причин є те, що вони отримали згоду на використання його з певною метою, але є й інші, подібні до того, що вона потрібна для виконання законних зобов’язань або збирання її відповідає суспільним інтересам.
Як бачите, права, надані резидентам ЄС відповідно до закону, досить широкі і змушують компанії, які збирають від них дані, реально задуматись над тим, що вони збирають і чому. Давні часи просто збирати все, що можна, і сподіватися, що згодом знайдуть для цього користь, минули - принаймні в Європі. Ось чому майже кожна служба, якій ви коли-небудь надавали свою електронну адресу, зв’язується з вами.
Багато компаній метушаться: санкції за невідповідність GDPR є досить жорсткими. За законами організація може бути оштрафована на суму до 20 мільйонів євро або 4% від її світового річного обороту (залежно від того, що більше). Для таких, як Amazon або Google, це становить мільярди доларів потенційного штрафу, якщо вони неправильно обробляють дані резидентів ЄС.
Що означає GDPR для американців?
Протягом цієї статті ми зосереджувались на тому, які права GDPR надає резидентам ЄС з тієї простої причини, що це закон ЄС. Це насправді не стосується американських громадян, якщо вони також не проживають у ЄС. Причиною того, що ви отримуєте всі електронні листи, є те, що більшість компаній не мають можливості сказати, хто є резидентом ЄС, а хто ні.
Однак це не означає, що GDPR не вплине на вас. Це призвело до того, що багато компаній переоцінили, як вони обробляють споживчі дані, і деякі з них заговорили про поширення прав GDPR для резидентів, які не є членами ЄС. Також компаніям простіше застосовувати єдиний набір правил для всіх клієнтів у багатьох випадках.
Наприклад, Apple запустив новий портал конфіденційності де люди можуть завантажити всі свої особисті дані або видалити свій обліковий запис, іншими словами, надаючи людям права доступу та стирання. На даний момент цим користуватися можуть лише облікові записи, засновані на ЄС, але Apple планує впровадити його по всьому світу протягом найближчих кількох місяців . Так само і Facebook є бурмотіння щодо надання однакових захистів GDPR деяким користувачам за межами ЄС .
