Что такое GDPR: как он работает и его особенности


GDPR – полный разбор «полетов» в деталях этого понятия, так часто встречающегося и столь же незнакомого и непонятного применительно к сайтам и заработку в интернете.

Подобно тому, как граждане любой страны нуждаются в защите своей частной жизни и общих интересов, сетевые пользователи, посетители сайтов, пользователи приложений и т.д. также нуждаются в подобной гарантии.



Ежедневно между многочисленными сторонами происходит бесконечный обмен данными и информацией, что важно для тех, кто выступает в роли партнерских программ и CPA сетей. Поэтому власти по всему миру работают над тем, чтобы контролировать и регулировать такой обмен и гарантировать, что конфиденциальность и безопасность их граждан не будет нарушена.

Практически в каждом государстве и федеральном органе власти по всему миру существуют законы, регулирующие практику мониторинга, добычи и обработки данных. GDPR и другие подобные нормативные документы входят в эти же рамки. Давайте узнаем о них больше.


В чем заключается необходимость защиты данных и политики конфиденциальности?



Необходимость защиты данных по своей сути подобна любому основному праву человека. Как люди, мы должны знать, как собираются, используются и передаются наши данные.

Однако без юридически обязывающего положения или политики трудно гарантировать, что организации, собирающие данные, будут уважать это основное право пользователей.

Это лишь один из аспектов защиты данных и конфиденциальности. Для защиты этого и всех других аспектов государства разрабатывают нормативные акты и принимают законы.

Политика защиты данных и конфиденциальности обеспечивает наши интересы как потребителей по многим направлениям. Ниже мы приводим краткое описание этих аспектов.

Можно сказать, что защита данных и политика конфиденциальности необходимы нам для обеспечения следующих преимуществ:

1. Данные добываются, записываются, хранятся, обрабатываются, используются и передаются этично.

2. Данные пользователей защищены от утечек, потерь, неправильного использования, кражи и других опасностей.

3. Надежная политика и структура повышают доверие к компании и увеличивают стоимость и имидж бренда.

4. Предприятия могут заслужить доверие рынка, потребителей, инвесторов и других заинтересованных сторон.

5. Бренды получают возможность лучше понять данные и их ценность.

6. Улучшается сбор, обработка и использование данных, что способствует общему росту бизнеса.

7. Бренды могут обеспечить более эффективное принятие решений и фиксировать ответственность и подотчетность.

Это лишь некоторые из многочисленных преимуществ, которые может обеспечить сильная политика защиты данных и конфиденциальности. Продолжайте читать и узнайте больше, когда мы углубимся в нюансы GDPR и других подобных нормативных документов.


Что такое Общий регламент о защите данных (GDPR)?





Давайте дадим вам определение GDPR в простых терминах.

Общий регламент (или положение) о защите данных (GDPR - General Data Protection Regulation (GDPR) - это законодательная база, устанавливающая правила сбора и обработки личной информации лиц, проживающих на территории Европейского союза (ЕС).

Он преследует следующие три основные цели:

1. Установить и защитить основные права субъектов данных (пользователей или потребителей) на неприкосновенность частной жизни.

2. Унифицировать 28 разрозненных законов о конфиденциальности стран-членов ЕС.

3. Обновить законы о конфиденциальности, чтобы они соответствовали изменившемуся за последние 25 лет технологическому ландшафту.

Хотя GDPR не был первым законом о конфиденциальности, он стал самым всеобъемлющим и подал пример остальному миру. Он также отражает требования и динамику новой цифровой эры и полностью соответствует ей.

Парламент Европейского союза одобрил GDPR в 2016 году, чтобы заменить инициативу по защите данных от 1995 года, а изменения вступили в силу 25 мая 2018 года. Он был разработан с учетом всех видов бизнеса, от транснациональных корпораций до микропредприятий.

Он распространяется на все компании на территории ЕС, а также на организации в других странах, которые предлагают товары или услуги гражданам ЕС, привлекают европейский трафик или собирают, отслеживают и обрабатывают их данные в любой форме.

Фактически, GDPR коренным образом изменил то, как компании работают с данными потребителей, и любая организация, не соблюдающая его, подвергается серьезному наказанию. Сумма штрафа может достигать 20 миллионов евро или 4% от годового глобального дохода компании, в зависимости от тяжести и обстоятельств нарушения.


Что значит быть совместимым с GDPR?



Ответ на поставленный выше вопрос довольно прост. Соответствие GDPR означает, что платформа (предприятие, сайт, приложение и т.д.) подпадает под действие GDPR и отвечает всем требованиям по обработке данных, определенным законом.

Организация, которая подпадает под действие GDPR и не соблюдает его законы, будет считаться не соответствующей требованиям и подвергнется крупным штрафам (подробно об этом говорится ниже).

Поэтому любая организация, которой необходимо избежать каких-либо юридических осложнений или конфликтов в целом, должна следовать всем принципам, изложенным в GDPR. Она также должна убедиться в том, что третьи стороны также соблюдают требования GDPR, и провести аудит на соответствие этим требованиям.


Что такое штрафы GDPR?





Штрафы GDPR предназначены для обеспечения того, чтобы соответствующие платформы были вынуждены следовать всем директивам политики и оставаться в соответствии с ними.

Нюансы штрафов, упомянутых в документации GDPR, довольно сложны и выходят за рамки данной статьи. Однако мы постараемся сделать все возможное, чтобы рассказать вам о наиболее значимых и заметных из них.

Согласно GDPR, некоторые нарушения считаются более серьезными, чем другие. Это зависит от характера несоблюдения, нарушения законов и других сопутствующих факторов.

Менее серьезные нарушения могут привести к штрафу в размере до 10 млн евро или 2% от общемирового годового дохода фирмы за предыдущий финансовый год (в зависимости от того, что больше).

Более серьезными нарушениями являются те, которые серьезно нарушают право на неприкосновенность частной жизни и право быть забытым - два основных принципа GDPR. Подобные нарушения могут повлечь за собой штраф в размере до 20 миллионов евро или 4% от общемирового годового дохода компании за предыдущий финансовый год (в зависимости от того, что больше).

Штрафы назначаются регулирующим органом по защите данных в каждой стране ЕС, и эти органы также устанавливают нарушения и степень тяжести нарушения. При их определении учитывается несколько факторов. К ним относятся:

• Тяжесть и характер нарушения или посягательства;

• История нарушений конкретной организации;

• Тип данных, которые были скомпрометированы, и как это повлияло на пользователей, потребителей и т.д.;

• Какие меры предосторожности были приняты на момент нарушения;

• Как фирма сотрудничает с целью выявления, уведомления и устранения нарушений;

• Было ли нарушение преднамеренным или вызвано небрежностью;

• Какие усилия были предприняты для контроля опасностей, возникших в результате нарушения;

• Были ли предприняты усилия по выплате компенсации пострадавшим сторонам или нет;

• Другие вопросы и аспекты (финансовые или иные), связанные с нарушением.

Это некоторые из наиболее распространенных факторов, которые учитываются при определении серьезности нарушений GDPR и наложении штрафов и наказаний за несоблюдение.


Определение основных терминов GDPR в глоссарии



Как и любой другой закон или политика, документация GDPR имеет свой собственный глоссарий терминов с приписанными определениями и значениями. Хотя сложно вникнуть в семантику документа во всей его полноте, мы расшифруем для вас некоторые из наиболее значимых терминов.

Ниже приведены ключевые термины документов GDPR и их определения:

Контролер данных: Организация, определяющая цели и способы обработки персональных данных.

Обработчик данных: Организация, которая обрабатывает данные по поручению контроллера данных.

Субъект данных: Лицо, чьи персональные данные отслеживаются, записываются или обрабатываются контроллером или процессором данных.

Обработка данных: Любая операция (операции), выполняемая с данными (запись, изменение, стирание, передача и т.д.) с использованием любых средств (автоматизированных или иных).

Профилирование: Любая форма обработки персональных данных, заключающаяся в использовании данных для оценки определенных личных аспектов, связанных с человеком (предпочтения, поведение пользователя, местоположение и т.д.).

Псевдонимизация: Обработка данных таким образом, что они больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации. Здесь субъект заменяется "псевдонимами" или идентификаторами, а личность остается скрытой.

Это были некоторые из ключевых терминов GDPR и их определения. Мы надеемся, что это поможет вам лучше понять подробные аспекты закона.


Какие типы данных регулируются GDPR?





Соответствие GDPR вовсе не является необязательным и должно соблюдаться всеми. Он регулирует практически все данные, которые может собирать организация, включая следующие:

• Персональные данные (любая информация, относящаяся к идентифицированному или поддающемуся идентификации субъекту данных);

• Основная идентификационная информация (имя, адрес, адрес электронной почты, профили и сообщения в социальных сетях и т.д.);

• Веб-данные (местоположение, IP-адрес, данные cookie, метки радиочастотной идентификации и т.д.);

• Биометрические данные (отпечатки пальцев, распознавание лица и т.д.);

• Медицинские и генетические данные (история болезни, жизненная статистика и т.д.);

• Расовые или этнические данные (каста, цвет кожи, вероисповедание, родословная и т.д.);

• Сексуальная ориентация;

• Общественно-политические взгляды.

Как видно из самого первого пункта, GDPR регулирует практически все виды данных, относящихся к субъекту данных, и, таким образом, направлен на защиту всех видов информации.


Кто отвечает за соблюдение GDPR в организации?





По сути, за соблюдение требований GDPR отвечают 4 типа сотрудников. Это сотрудник по защите данных GDPR, контролер данных, обработчик данных и надзорный орган.

О контролерах и обработчиках данных мы узнали выше. В этом разделе мы расскажем вам о двух других.

Согласно статье 39 законодательства, организация должна нанять сотрудника по защите данных GDPR (DPO). Это лицо назначается ответственным за надзор за соответствием организации требованиям GDPR, включая стратегию защиты данных и ее реализацию.

В основные обязанности DPO входит следующее:

• Оценка и аудит организации на предмет соответствия требованиям GDPR;

• Проводить обучение сотрудников в отношении их обязательств по соблюдению требований;

• Регистрировать деятельность по обработке данных, осуществляемую компанией;

• Отвечать на запросы субъектов данных и информировать их о том, как используются их данные;

• Отвечать на запросы субъектов данных о просмотре или удалении их персональных данных;

• Служить контактным лицом между компанией и органом по GDPR.

С другой стороны, надзорный орган (SA) означает государственный орган в стране ЕС, который отвечает за контроль над соблюдением GDPR. В каждой стране-члене ЕС назначается свой SA, который также иногда называют комиссаром по защите частной жизни или органом по защите данных.

Их основная обязанность - консультировать компании по вопросам GDPR, проводить аудиты, рассматривать жалобы субъектов данных и выписывать штрафы за несоблюдение.

В Интернете появилось множество профессиональных агентств, услуг и решений, предлагающих помощь в обеспечении соответствия GDPR. Компания, которая считает процесс обеспечения соответствия GDPR непосильным, может нанять такие агентства и профессионалов и облегчить этот процесс.


Основные положения GDPR



Хотя положения GDPR довольно обширны, лучше всего их можно понять, разобравшись в правах субъектов данных, упомянутых в законе.

GDPR устанавливает восемь прав, которые являются универсальными по своей природе. Эти права должны соблюдаться и поддерживаться субъектами в любое время.

К ним относятся следующие:

1. Право на информацию: Пользователи или потребители должны быть проинформированы о сборе, использовании, обработке данных и т.д. Пользователи также должны быть проинформированы о руководящих принципах и политике конфиденциальности платформ.

2. Право на уведомление: Пользователи должны быть уведомлены о любом нарушении или компрометации данных в течение 72 часов с момента обнаружения нарушения.

3. Право на исправление: Пользователи должны иметь право запрашивать обновление, исправление или изменение своих персональных данных. Они также могут отказаться от обмена данными, сбора информации, управления информацией и т.д.

4. Право на доступ: Лица могут запросить доступ к своим личным данным. Они также могут спросить, как их данные используются, обрабатываются, хранятся или передаются другим организациям. По запросу организации должны предоставить электронную копию персональных данных бесплатно.

5. Право на переносимость данных: Лицо может в любое время перенести свои данные от одного поставщика услуг к другому.

6. Право на забвение: Пользователи могут попросить организацию удалить их данные, если они больше не являются клиентами или просто не хотят больше делиться данными.

7. Право на возражение: Пользователи получают право возражать против сбора данных или ограничивать их обработку. Вся обработка должна быть прекращена, как только пользователь сделает соответствующий запрос.

8. Право на ограничение обработки: Пользователи могут попросить прекратить обработку их данных или остановить определенный вид обработки.

Как очевидно, GDPR дает потребителям большие полномочия, и они могут определять, как обрабатываются и используются их данные, а также ограничивать или изменять их.

Поэтому предприятия должны обеспечить безопасность данных потребителей, отсутствие несанкционированного доступа к ним и соблюдение всех необходимых стандартов безопасности, конфиденциальности и защиты.

Эти пункты перечислены здесь только для того, чтобы помочь вам понять суть в простых терминах. Фактические положения и руководящие принципы GDPR довольно обширны и сложны, и для их полного понимания может потребоваться консультация специалиста.

Однако все сводится к тому, что интересы пользователей (потребителей, аудитории, зрителей, посетителей и т.д.) должны постоянно защищаться, а компании и организации не должны злоупотреблять никакой информацией или данными.


Противоречия и проблемы, связанные с GDPR





У каждой монеты есть обратная сторона! Не все в GDPR хорошо и замечательно. На самом деле, он вызывает достаточно критики по многим направлениям.

Многие организации считают, что обязательное назначение DPO налагает несправедливое административное бремя. Неоднозначность терминов, определений, положений и т.д. также затрудняет для предприятий понимание руководящих принципов и управление данными, оставаясь в соответствии с законом.

Кроме того, GDPR ограничивает передачу данных в другую страну за пределами ЕС, если принимающая компания не гарантирует такой же уровень соответствия.

Это приводит к проблемам согласования в плане исполнения и интерпретации правил и рекомендаций. По мнению предприятий, это приводит к ненужным осложнениям и дорогостоящему нарушению деловой практики.

Существуют также опасения по поводу затрат и ресурсов, необходимых для обучения клиентов и сотрудников угрозам и решениям в области защиты данных. Считается, что GDPR усилит крупных игроков и ослабит малые и средние предприятия.

Некоторые также говорят, что GDPR противоречит свободе слова и самовыражения и препятствует инновациям и исследованиям. Также звучали утверждения, что GDPR - это всего лишь инструмент для усиления контроля и власти правительства в ущерб потребителям.


Другие страны с политикой, подобной GDPR



Хотя GDPR является уникальным для Европейского союза и предназначен для всех платформ, привлекающих европейских посетителей, аналогичная политика существует и в других странах и органах власти.

Позвольте нам рассказать вам о некоторых из них.

США


В США еще не принят закон о конфиденциальности данных на федеральном уровне. Однако в разных штатах Союза есть свои законы о конфиденциальности данных, которые должны соблюдать предприятия и организации. Например, Нью-Йоркский и Калифорнийский законы о конфиденциальности потребителей, которые весьма похожи на GDPR.

Австралия


Поправка о конфиденциальности (уведомляемые нарушения данных) к австралийскому закону о конфиденциальности была введена в феврале 2018 года. Организации обязаны раскрывать информацию о нарушениях данных, представляющих "реальную угрозу серьезного ущерба", в течение 30 дней после их обнаружения, несоблюдение этого требования влечет за собой крупные штрафы.

Бразилия


В Бразилии действует Lei Geral de Prote?ao de Dados (LGPD), который полностью идентичен GDPR, только с менее жесткими финансовыми санкциями за несоблюдение. Он был введен в действие в сентябре 2020 года.

Канада


17 ноября 2020 года правительство Канады представило законопроект, известный как Закон о реализации Цифровой хартии, для внесения изменений в политику конфиденциальности данных.

Индия


Индийский законопроект о защите персональных данных (PDPB) был внесен в парламент в декабре 2019 года и разработан по образцу GDPR. Хотя он еще не стал законом, компании должны будут продемонстрировать полное соответствие требованиям или понести значительные штрафы после его вступления в силу.

Китай


Проект закона Китайской Народной Республики о конфиденциальности данных был опубликован в октябре 2020 года и известен как Закон о защите персональных данных или PDPL. Этот проект привлек к себе внимание благодаря своей экстерриториальной применимости. Положения закона достаточно четкие и предусматривают крупные штрафы за несоблюдение.

Это некоторые из примеров эквивалентов GDPR в других странах. Аналогичным образом другие страны также имеют свои собственные политики.

К ним относятся:

• Закон Швейцарии о защите данных "Datenschutzgesetz" (DSG), который очень похож на GDPR.

• В Чили действует Закон № 19 628, который отражает поправку к конституции, включающую конфиденциальность данных как право человека.

• В Египте есть проект закона № 151, одобренный Палатой представителей, о защите данных.

• Израиль имеет множество законов и положений по защите данных, включая Закон о защите частной жизни от 1981 года и Израильское управление по защите частной жизни (PPA), которое является регулирующим органом по контролю.

• В Японии действует Закон о защите личной информации, который распространяется как на иностранные, так и на отечественные компании.

• В Южной Африке действует Закон о защите личной информации (POPIA), который вступил в силу 1 июля 2020 года.

Это лишь некоторые из многочисленных примеров. Вы можете поискать в Интернете и найти еще много подобных примеров законов о защите данных, принятых различными правительствами и международными органами. Однако все они более или менее совпадают с сутью положений GDPR.

Это было все о GDPR и других правилах, о которых вы должны знать, если ведете бизнес в современную эпоху.

Мы надеемся, что теперь вам будет проще соблюдать эти требования и обеспечить удобство использования и соответствие вашего бизнеса законам и правилам.

Еще советуем: