Новый строгий закон, который вступает в силу 25 мая 2018 г., изменит порядок, в соответствии с которым компании обрабатывают личные данные граждан ЕС. Как это затрагивает обывателя?
«Требуются неотложные действия», «Вы все еще хотите пользоваться нашими услугами?», «Мы обновили нашу политику конфиденциальности», «Должны ли мы прекратить предоставлять вам обновления? Если нет, действуйте прямо сейчас!».
В течение последних нескольких недель многие из нас получат электронные письма от компаний, услугами которых не пользовались в течение многих лет или, возможно, даже не слышали о них.
Появление этого бурного потока электронной почты связано с регламентом GDPR (т.е. 'General Data Protection Regulation'), который вступит в силу уже к концу мая.
Часто эти электронные письма предупреждают, что если вы не ответите, то будете удалены из базы данных компании, что вызывает много вопросов. Какие действия необходимо предпринять, если вас просят что-то подтвердить? Может ли это повлиять на вас в финансовом отношении? Что будет, если проигнорировать эти электронные письма?
GDPR или Общий регламент защиты данных можно охарактеризовать как самый большой пересмотр правил конфиденциальности в Интернете с момента появления Интернета. Он призван предоставить всем гражданам ЕС право знать, какие данные о них хранятся, право удалить эти данные, а также защитить их конфиденциальность и предотвратить утечку этих данных.
Регламент вступает в силу 25 мая, на фоне недавнего скандала, связанного с тем, что личные данные миллионов людей были собраны Facebook и неправильно переданы политическим консультантам Cambridge Analytica.
Новые правила подкрепляют требование о ясном и осознанном согласии на обработку данных. В результате компании и организации по всему миру обращаются к пользователям, чтобы получить это согласие.
Как правило, отдельных частных лиц просят предоставить явное разрешение на то, чтобы компания продолжала отправлять им электронную почту и хранить их данные. Многие компании также дают людям возможность отказаться от всех будущих коммуникаций.
Тем не менее, обыватель, похоже, начинает «уставать от GDPR»: одна статья на прошлой неделе утверждала, что доля людей, согласившихся продолжать получать электронные письма от компаний, в британских микропредприятиях составила в среднем только 10%, что означало, что «90% этих компаний могут потерять своих подписчиков». Поэтому неудивительно, что некоторые фирмы прибегают к тактике завлечения, например, предлагая людям участие розыгрыше призов в обмен на то, чтобы они обновили свои коммуникационные предпочтения.
Говорят, что средний взрослый человек имеет около 100 «связей данных» - т.е. это количество компаний и организаций, которые хранят наши персональные данные. К ним могут относиться всевозможные клубы, в которых вы состоите, интернет-магазины, в которых вы делали покупки, профессиональные организации, на рассылку которых вы подписались в связи с вашей работой, а также компании, которые предоставляют страховые полисы, и многие другие.
Таким образом, в среднем каждый человек получит до 100 писем, связанных с GDPR, хотя некоторые люди получат их гораздо больше.
Компании справляются с этим по-разному. Некоторые из них берут на себя труд объяснить, что происходит, в то время как другие более расплывчаты.
Некоторые компании облегчают людям согласие - вы нажимаете кнопку «Да, я согласен» в электронном письме, после чего получаете благодарность, и все. Другие настаивают на том, чтобы вы прошли через регистрацию входа в систему, что может повлечь за собой смену пароля или создание новой учетной записи.
«Для каждой компании это будет ее интерпретация того, что ей нужно сделать, чтобы быть соответствовать требованиям», - считает Роберт Паркер из ICO (Information Commissioner's Office).
Вы получите уведомление от каждой компании, с которой имеете дело? Наверное, нет, предполагает ICO. Если у вас сложились постоянные отношения с клиентами, которые приобрели у вас товары или услуги, вам необязательно получать новое согласие. Компаниям также не нужно автоматически обновлять все существующие согласия при подготовке к новому закону.
Например, ваши отношения с вашим банком отличаются от ваших взаимоотношений с компанией, которая, скажем, иногда посылает вам электронные письма. Когда вы открыли банковский счет, вы заключили договор с банком, и он находится в постоянном контакте с вами, уведомляя вас об изменениях в условиях обслуживания и т. д. Таким образом, ваш банк может быть уверен, что вы довольны тем, как он связывается с вами и как он хранит вашу личную информацию.
Это новые более сильные, унифицированные законы о защите данных Европейского союза, которые, вступят в силу 25 мая 2018 года, после более чем шести лет разработки.
GDPR заменит все текущее разнообразие национальных законов о защите данных, даст регуляторам данных больше полномочий для штрафов, упростит работу компаний в разных странах ЕС. GDPR также создает нового общеевропейского регулятора данных, - Европейский совет по защите данных (EDPB от англ. 'European Data Protection Board').
Новые законы регулируют обработку и хранение данных граждан ЕС компаниями, как предоставленных (этими гражданами), так и наблюдаемых компаниями, независимо от того, работает ли компания в ЕС. Законы распространяют защиту данных по умолчанию на любую операцию.
GDPR будет уточнять и закреплять на законодательном уровне «право на забвение» как «право на стирание данных» и предоставлять гражданам ЕС право на переносимость данных, то есть, чтобы они могли брать свои данные в одной организации и передавать ее другой организации. GDPR также подкрепляет требование о ясном и осознанном согласии на обработку данных и гарантирует, что оно может быть отозвано в любое время.
Чтобы обеспечить соответствие компаний новым требованиям, GDPR предоставляет регуляторам данных возможность штрафовать их на сумму до 20 млн. евро или 4% годового мирового оборота, что на несколько порядков превышает предыдущие максимально допустимые штрафы. О нарушениях необходимо сообщать в течение 72 часов регулятору данных, и пострадавшие лица также должны быть уведомлены, за исключением случаев, когда похищенные данные не читаются, т.е. зашифрованы.
Между тем, причина, по которой некоторые компания теперь время от времени посылает вам электронные письма с просьбой на ваше согласие, возможно, заключается в том, что вы никогда явно не разрешали ей отправлять вам электронные письма.
Может быть, вы получаете от нее электронные письма только потому, что отправились на мероприятие, организованное ею несколько лет назад или когда-то что-то скачали с ее сайта. В соответствии с новым режимом это почти наверняка не будет считаться явным и осознанным согласием.
Если вы получаете такие письма от компании или организации, с которой вы хотите продолжить отношения, то вероятно, вы должны нажать кнопку или войти в систему, чтобы продолжить получать от нее электронные письма. Если компания не получит от вас ответа, она может проявить осторожность и удалить вас из своей базы данных.
Это, однако, хорошая возможность проверить, что компании, с которыми вы имеете дело, правильно хранят ваши данные. Также это возможность очистить свой почтовый ящик от раздражающих маркетинговых писем, которые вы больше не хотите получать.
GDPR ограничивает способ сбора, хранения и перемещения персональных данных. Это относится ко всем компаниям, которые обрабатывают личные данные людей, расположенных в ЕС.
Личные данные включают:
В соответствии с GDPR, люди получают расширенные права на получение данных, собранных компанией о них. У людей будет «право быть забытыми».
Кроме того, если компания обнаружила утечку данных, она должна сообщить об этом соответствующему органу в течение 72 часов.
Чтобы обеспечить соответствие компаний новым требованиям, GDPR дает регулирующим органам право штрафовать их на сумму до € 20 млн. (£ 17,6 млн.) или на сумму до 4% годового международного оборота, в зависимости от того, что больше.