С 25 мая 2018 года в Евросоюзе начнет действовать новый общий регламент по защите данных (General Data Protection Regulation, GDPR). Документ обязывает компании, в том числе и работающие в интернете, предоставить людям новые возможности защищать и контролировать сведения о себе. За нарушение регламента организациям могут грозить штрафы: минимальный — 10 миллионов евро или 2% годового оборота компании, максимальный — в два раза больше. Мы кратко рассказываем о том, какие права и возможности теперь появятся у граждан Евросоюза — и не только.
Нововведения в некоторых случаях защищают права жителей России
Нормы европейского регламента распространяются на так называемые объекты данных. Это всегда конкретные люди. Они получают новые права и возможности по контролю над тем, как компании собирают и обрабатывают их персональные данные*.
На вас должны распространяться новые правила:
• Если в момент обработки данных вы находитесь в Евросоюзе. Даже если вы иностранец и прилетели в ЕС на выходные. Российские компании, предоставляющие товары и услуги европейцам, тоже подпадают под действие новых норм.
• Если компания или ее подразделение, работающее с вашими персональными данными, зарегистрированы в Евросоюзе. Например, вы живете в России и покупаете в европейском интернет-магазине какие-то товары или услуги.
Правила на вас не распространяются:
• Если и вы, и компании, которые собирают и обрабатывают ваши персональные данные, находитесь за пределами Евросоюза. Даже если вы гражданин ЕС.
Компании должны объяснить ваши права простым и понятным языком. А уж потом брать согласие на обработку
Мало кто как следует читает договоры, когда хочет получить услугу. Простой пример: почти никто не читает пользовательское соглашение перед тем, как зарегистрироваться в соцсети или подписаться на какой-нибудь сервис. Одна из причин в том, что эти документы часто написаны непонятным юридическим языком. Теперь перед тем, как взять с человека согласие на обработку персональных данных, компании должны будут доступно разъяснить, о чем идет речь, перечислить его права.
Вы можете выяснить, что компания знает о вас и как использует эти данные
В регламенте четко прописано право человека получить от компании подробные сведения о том:
• какие именно данные она собирает о нем,
• в какой форме собираются данные,
• как используются,
• кто имеет к ним доступ,
• используются ли данные для автоматического составления профиля пользователей (например, чтобы потом показывать им таргетированную рекламу),
• по каким критериям определяется, сколько времени эти данные хранятся, и так далее.
Всю эту информацию компания должна предоставить по запросу в течение месяца (трех месяцев в исключительных случаях с объяснением задержки), бесплатно и в удобном формате.
Вы можете отозвать свое согласие на обработку данных в любой момент
И сделать это должно быть так же просто, как и дать согласие на предоставление персональных данных.
Вы сможете требовать удалить или запретить использовать свои персональные данные
Правом на забвение** можно будет воспользоваться, если:
• персональные данные уже использовали по назначению и больше они не нужны,
• было отозвано согласие на обработку данных и нет законных преград для их удаления,
• данные собирались незаконно.
Правом на запрет использования можно воспользоваться, если вы, к примеру, собираетесь засудить компанию за нарушение правил обработки персональных данных, но не хотите терять улики. Или до тех пор пока компания не исправит или дополнит ваши персональные данные, если в них содержатся неточности.
Дети могут самостоятельно регистрироваться в интернете только с 16 лет
Если ребенок не достиг этого возраста, необходимо будет заручиться согласием его родителей или законных представителей. Из-за этого некоторые интернет-компании (например, мессенджер WhatsApp) подняли минимальный возраст пользователей в Европе до 16 лет.
Компаниям запретят собирать некоторые виды персональных данных
В общем случае нельзя будет собирать и обрабатывать информацию о:
• расовой или этнической принадлежности,
• политических взглядах,
• исповедуемой религии,
• членстве в профсоюзах,
• состоянии здоровья,
• сексуальной ориентации.
Генетические и биометрические данные нельзя собирать с целью точной идентификации отдельного человека. То есть какая-нибудь кофейня не сможет собирать с чашек образцы ДНК своих посетителей и таким образом отслеживать их предпочтения.
Замалчивать утечки данных будет запрещено
Если произойдет утечка важных персональных данных, вам об этом сообщат и понятным языком объяснят, что произошло. Обо всех серьезных утечках компании должны будут в течение 72 часов уведомлять надзорные инстанции.
|
* Что такое персональные данные? Это любая информация, с помощью которой можно идентифицировать человека напрямую или косвенно. Кроме очевидного (полное имя, дата рождения, домашний адрес, паспортные данные) к персональным данным относят и другие сведения. Где человек учился, где работал, в каких странах бывал — эти и другие сведения позволяют «вычислить» пользователя, даже если он скрывает свое настоящее имя. ** Право на забвение Это право удалить информацию о себе из различных баз данных или поисковых систем. В России оно распространяется только на поисковую выдачу. |