Что такое GDPR, и как это касается вашего бизнеса

Интернет кардинально изменил то, как мы общаемся и как решаем повседневные задачи. Мы отправляем электронные письма, делимся документами, оплачиваем счета и покупаем товары, вводя свои личные данные онлайн не задумываясь. Но безопасно ли это?

Содержание

Информация в интернете

Вы когда-нибудь замечали то, каким количеством личных данных вы поделились в интернете? Или что происходит с этой информацией? Мы говорим о банковской информации, контактах, адресах, сообщениях в социальных сетях и даже о вашем IP-адресе и сайтах, которые вы посетили, все эти данные хранятся в цифровом виде.

Компании сообщают вам, что они собирают такого рода информацию, чтобы усовершенствовать обслуживание, предлагать вам более целенаправленные и релевантные услуги, то есть предоставить вам лучший опыт работы с клиентами.

Но реально ли данные используются для этих целей? Этот вопрос задан Европейским Союзом еще много лет назад, но только в мае 2018 года было введено в действие европейское регулирование под названием GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент навсегда изменил способ сбора, хранения и использования вами в качестве бизнеса данных клиентов.

Итак, занимаетесь ли вы технологиями, путешествиями или розничной торговлей на международном уровне, мы в данной статье объясним, что такое GDPR и как это влияет на ваш бизнес. Также мы включим практические советы, как вы можете подготовиться к соблюдению GDPR.

Что такое GDPR

GDPR (General Data Protection Regulation) — Общий регламент защиты персональных данных. Этот регламент включен во все местные законы «о конфиденциальности» во всех регионах Евросоюза. Также регламент распространяется на все компании, продающие или хранящие личную информацию о гражданах в Европе.

Другими словами, введение GDPR — это введение законодательства, которое бы адекватно защищало персональные данные граждан ЕС. В соответствии с регламентом GDPR «персональные данные» — это любая информация, относящаяся к человеку, такая, как: имя, фотография, адрес электронной почты, банковские реквизиты, обновления на сайтах социальных сетей, сведения о местоположении, медицинская информация или IP-адрес компьютера.

8 основных прав GDPR

В соответствии с GDPR физические лица имеют:

  1. Право на доступ. Это означает, что физические лица имеют возможность запрашивать доступ к своим персональным данным и спрашивать, как их данные используются компанией после того, как они были собраны. Компания должна предоставлять копию собранных персональных данных бесплатно и в электронном формате по запросу физического лица.
  2. Право на удаление. Если потребители больше не являются клиентами или если они отзывают свое согласие у компании на использование своих персональных данных, то они имеют возможность на удаление своих данных.
  3. Право на перенос данных. Физические лица имеют возможность передавать личные данные от одного поставщика услуг другому. И это должно происходить в широко используемом и машиночитаемом формате.
  4. Право быть проинформированными. Это распространяется на любой сбор данных компаниями, где частные лица должны быть проинформированы ещё до сбора самих данных. Потребители должны согласиться на сбор своих данных, и согласие оформляется в четком виде.
  5. Право на исправление информации. Это гарантирует то, что физические лица вправе обновлять личные данные, если они устарели, являются неполными или неверными.
  6. Право на ограничение обработки. Физические лица вправе потребовать, чтобы их данные не использовались для обработки. Их запись может оставаться в системе, но не использоваться.
  7. Право на возражение — это включает в себя возможность физических лиц на прекращение обработки их данных для любого рода маркетинга. Из этого правила нет исключений, и любая обработка должна быть прекращена, как только запрос получен.
  8. Право на получение уведомления. В случае утечки данных, которая ставит под угрозу персональные данные физического лица, последнее имеет право быть проинформированным в течение 72 часов с момента, когда компании впервые стало известно об утечке.

Влияние GDPR на бизнес

Что ж, GDPR применяется ко всем предприятиям и организациям, созданным в ЕС, независимо от того, происходит ли обработка данных в ЕС или нет. Даже организации, не входящие в ЕС, попадают под действие GDPR, если бизнес предлагает товары и/ или услуги гражданам ЕС.

Все организации и компании, работающие с персональными данными, должны назначать сотрудника/организацию по защите данных, которые должны отвечать за соблюдение GDPR.

Для тех компаний и организаций, которые не соблюдают требования GDPR, предусмотрены жесткие штрафы в размере до 4 % от годовой мировой выручки или 20 миллионов евро, в зависимости от того, что больше.

Подготовка к соблюдению GDPR

Первоначально необходимо, чтобы все отделы компании внимательно изучали свои данные и то, как они их обрабатывают. Есть много вещей, которые компания должна сделать, чтобы соответствовать требованиям GDPR. Если вам еще предстоит сделать следующий шаг на пути к соблюдению требований, то вот лишь несколько моментов, которые помогут вам начать:

Шаг 1. Сопоставьте данные вашей компании

Составьте карту, откуда берутся все персональные данные в вашем бизнесе, и задокументируйте, что вы делаете с этими данными. Определите, где хранятся данные, кто способен получить к ним доступ и существуют ли какие-либо риски для данных.

Шаг 2. Определите, какие данные должны оставаться

Не храните больше информации, чем необходимо, и удаляйте любые данные, которые вы не используете. Если ваш бизнес собрал много данных без какой-либо реальной выгоды и смысла, то сейчас самое время подумать, какие данные важны для вашего бизнеса, а какие в обязательном порядке необходимо удалить.

Шаг 3. Примите меры безопасности

Разработайте и внедрите меры безопасности во всей вашей инфраструктуре, чтобы помочь предотвратить любые нарушения/утечку данных. Помимо принятия мер безопасности для защиты от утечки данных, это в том числе включает в себя принятие быстрых мер для уведомления отдельных лиц и органов власти в случае, если нарушение произойдет.

Обязательно свяжитесь со своими поставщиками/партнерами. Аутсорсинг не освобождает вас полностью от возможной ответственности, и вам необходимо убедиться, что у ваших партнеров тоже есть действующие меры безопасности.

Шаг 4. Ознакомьтесь с вашей документацией

В соответствии с GDPR физические лица должны дать явное согласие на сбор и обработку своих данных. Предварительно установленные флажки или подразумеваемое согласие не являются приемлемыми. Вам придется просмотреть все ваши заявления о конфиденциальности и раскрытии информации и при необходимости скорректировать их.

Шаг 5. Установите процедуру обработки персональных данных

Как мы упоминали ранее, необходимо иметь в виду, что физические лица имеют 8 основных прав в соответствии с GDPR.

Заключение

Данные — ценная валюта в сегодняшнем мире. И хотя GDPR в самом деле создает проблемы и боль бизнесу, он в том числе создает и возможности.

Компании, которые демонстрируют, что ценят конфиденциальность отдельных лиц (помимо простого соблюдения законодательства), которые прозрачны в отношении того, как используются данные, которые разрабатывают и внедряют новые и усовершенствованные способы управления данными клиентов на протяжении всего времени работы с клиентом, укрепляют доверие и лояльность клиентов.

Также, обратив внимание на огромные штрафы, делаем вывод о том, что любой бизнес, не подстраивающийся под правила GDPR, рискует своим собственным положением.

Мороз Георгий
Мороз Георгий Юрист

Закончил бакалавриат University of Exeter (Англия) и магистратуру Новосибирский Государственный Университет. Руководитель международной практики в ЗАО «Сибирское правовое агентство».