Что такое GDPR? Сервисы массово рассылают письма об изменении политики конфиденциальности

Что такое GDPR? Сервисы массово рассылают письма об изменении политики конфиденциальности

В мае 2018 года российские интернет-пользователи получили массу уведомлений об изменении политики приватности различных сервисов. Uber, Аэрофлот, Сбербанк и другие крупные компании разослали письма примерно с таким текстом.

gdpr

25 мая в Евросоюзе был принят документ 209-страничный документ под названием Общий регламент по защите данных (General Data Protection Regulation, GDPR). На сайте регламента указано, что он создан для «защиты и повышения конфиденциальности данных всех европейских граждан, а также изменения работы европейских организаций с этими данными».

Требования документа нужно выполнять любому сервису, который использует данные жителей Евросоюза. Несмотря на то, что PayPal, Gett, Google или Сбербанк пользуются не только граждане стран Евросоюза, компаниям все равно нужно обновить политику конфиденциальности для всех.

Новый регламент обязывает компании в простой и доступной форме устанавливать настройки защиты персональных данных. Европейские пользователи смогут отозвать свое разрешение на обработку данных в любой момент, а дети до 16 лет не смогут самостоятельно регистрироваться в интернете без разрешения родителей. Как поясняет лидер «РосКомСвободы» Артем Козлюк, новые европейские правила можно уложить в 6 основных принципов:

  • Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
  • Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
  • Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
  • Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
  • Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
  • Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

В случае нарушений требований регламента GDPR предусматривает штрафы на сумму до 20 миллионов евро или до 4% годового оборота в зависимости от тяжести нарушения.

В свою очередь, в России существует Федеральный закон "О персональных данных", который регламентирует основные правила обработки и хранения данных интернет-пользователей. Любой владелец сайта, будь то интернет-магазин или социальная сеть, обязан защищать персональную информацию пользователя от злоумышленников. Помимо того, любой пользователь, предоставивший свое согласие на обработку данных, должен быть уведомлен о целях использования этой информации, например, в "Политике конфиденциальности" на сайте.