Что такое GDPR, как он работает и тактика компаний

0
105

25 мая в силу вступил регламент GDPR (General Data Protection Regulation) — новый свод правил о политике конфиденциальных данных. GDPR — Генеральный регламент защиты персональных данных принят с целью защиты конфиденциальности европейских граждан и повышения контроля над организациями, собирающими и обрабатывающими персональные данные жителей стран ЕС.

GDPR призван заменить Data Protection Directive, действовавший с 1995 года. Основная цель нового регламента — унификация требований к операторам персональных данных, закрепление и расширение прав граждан Европейского Союза в области персональных данных. Новое положение носит трансграничный характер и обязательно для исполнения не только для участников рынка, находящихся в ЕС, но и для всех компаний, работающих с персональными данными граждан ЕС.

Основные принципы GDPR

Принципы Генерального регламента защиты персональных данных ориентированы на интересы владельцев персональных данных, вводя строгое регулирование и контроль за компаниями, собирающими информацию о пользователях.

Согласно требованиям GDPR, организация должна получить от пользователя явно выраженное разрешение на сбор и использование персональных данных.

Основные принципы GDPR:

  • Компания должна предоставить каждому пользователю информацию о том, какие данные и почему используются. При этом пользователь имеет право отказаться от передачи и последующего хранения данных.
  • Каждый пользователь имеет право в любой момент изменить или удалить информацию о себе.
  • Компании должны определить ответственного за защиту данных.
  • В случае нарушения регламента или утечки данных компании должны уведомить об этом страны ЕС в течении трёх суток.
  • Пользователь имеет право получить информацию об обработке своих персональных данных. Ответственный сотрудник обязан по запросу бесплатно предоставить копию имеющейся о нём информации.
  • Право на забвение. Каждый пользователь может в любой момент попросить удалить свои данные, остановить их распространение и обработку.
  • Пользователь может попросить передать свои данные другой компании.
  • Встроенный алгоритм. Уже на этапе проектирования в систему должен быть добавлен механизм работы с персональными данными.
  • Необходимость получать согласие на обработку данных для достижения конкретной цели. Если одни данные собираются для достижения нескольких целей, то необходимо получать согласие на каждую из них.
Читайте также:  В ИТМО появились стипендии для киберспортсменов

GDPR и штрафы

До GDPR IT-компании позволяли себе игнорирование требований по обработке персональных данных для достижения собственных целей. GDPR резко увеличивает размер штрафов. Систематическое несоблюдение новых требований грозит штрафом в размере до 20 млн евро или 4% от оборота компании за предыдущий финансовый год.

Увеличение размера штрафа необходимы для принуждения к соблюдению GDPR тех IT-гигантов, которые бы могли выбрать стратегию уплаты штрафов, а не выполнения нового регламента. Предполагается, что Google, Facebook и прочие корпорации будут вынуждены подчиниться новым требованиям.

Перед вынесением штрафа потенциальному нарушителю будет отправлено письмо с требованием устранения нарушений. Благодаря этому добропорядочный малый и средний бизнес сможет избежать лишних трат.

Письма счастья GDPR

В конце апреля–начале мая пользователи получали письма об изменении политик конфиденциальности. Рассылали их все — от небольших сервисов до гигантов вроде Twitter, Google, «Яндекса», «Аэрофлота».

Такие письма — обязательное требование регламента, так как о любом изменении политики конфиденциальности пользователь обязательно должен быть предупрежден.

Письмо от Google (изменения в Политике конфиденциальности)
Скриншот: письмо от Google

Действие GDPR распространяется на все организации, которые используют данные граждан ЕС. Поэтому соответствующие изменения в текст политики конфиденциальности вносят и отечественные компании. Подобное письмо присылал и «Яндекс».

Письмо от Яндекса (обновление Политика конфиденциальности)
Скриншот: письмо от «Яндекса»

«Яндекс» внёс необходимые изменения в текст политики конфиденциальности.

Хранение и обработка данных по GDPR (политика Яндекса)
Скриншот: Политика конфиденциальности «Яндекса», yandex.ru

Практика GDPR и тактика операторов

Генеральный регламент защиты персональных данных вступил в силу в прошлом месяце, но участники рынка уже выбрали ту или иную тактику по отношению к новым требованиям. У компаний был год для выполнения требований регламента (обновления политики конфиденциальности, внедрения технологических решений по сбору и обработке персональных данных, автоматизации бизнес-процессов и так далее).

Facebook и GDPR

Facebook вернул функцию распознования лиц, которая была недоступна для пользователей из ЕС с 2012 года. Предоставляется возможность отключения данной функции.

Запущен сервис Download Your Information, который позволит скачивать истории поиска, тегов и местоположений, обновления статуса и другую информацию.

Читайте также:  В ИТМО появились стипендии для киберспортсменов

После скандала, связанного с деятельностью Cambridge Analytica, сохраняется скепсис по отношению к Facebook и деятельности социальной сети по защите персональных данных, полноценному информированию пользователей о собираемых данных и целях их использования.

Изменения WhatsApp

Мессенджер WhatsApp ввёл функцию запроса информации об аккаунте. Экспорт истории переписки был доступен и ранее. Сейчас же приложение позволяет пользователям получить данные о настройках, фотографию профиля, имена групп и другую подобную информацию.

Отчёт формируется и предоставляется в течение трёх дней. После отправки запроса на аккаунт накладываются временные ограничения. Изменение номера телефона или удаление аккаунта отменят предоставление отчёта.

Помимо этого, WhatsApp ограничил передачу данных социальной сети Facebook. Без разрешения пользователя фотографии, сообщения и иная информация об аккаунте не будут передаваться социальной сети. Передача данных о типе устройства, операционной системе и приложения продолжатся.

Обновление политики вводит возрастное ограничение для пользователей. Резиденты ЕС смогут зарегистирироваться с 16 лет. Ранее возрастное ограничение было установлено на уровне 13 лет, сейчас данная граница используется в отношении нерезидентов ЕС.

Twitter, Instagram и GDPR

Twitter разослал типичное письмо с уведомлением об изменениях в тексте политики конфиденциальности.

Письмо от Twitter (обновление предоставления услуг из-за GDPR)
Скриншот: письмо от Twitter

Социальные сети Twitter и Instagram предоставили возможность просмотра и запроса информации пользователя о своём аккаунте.

Ограничение доступа и GDPR

IT-компании и социальные сети вынуждены подчиниться требованию нового регламента. Представители же других сфер сочли необходимым сделать недоступными свои сайты для пользователей из Европейского Союза.

Так, на сайтах Chicago Tribune, LA Times и других американских СМИ ограничен доступ для резидентов ЕС. Скорее всего это временное решение. Деятельность СМИ сильно зависит от роста и лояльности аудитории, а реклама напрямую зависит от трафика. Добровольное закрытие для себя части информационного рынка — передышка, которая позволит изучить правоприменение GDPR, оценить риски и перестроить свою работу для соблюдения GDPR.

Отдельная версия сайта для ЕС

Другая тактика в условиях действия GDPR заключается в создании отдельной версии для пользователей из ЕС. Таким образом поступило издание USA Today.

Читайте также:  В ИТМО появились стипендии для киберспортсменов
Отдельная версия USA Today для ЕС и выполнения GDPR
Скриншот: twitter.com

Правила регламента, вступившего в силу 25 мая, касаются сбора и использования персональных данных. А они используются для интернет-аналитики и рекламы. Отсутствие дополнительных скриптов и рекламного контента облегчают страницу, что удобно для конечного пользователя.

Тактика отдельной версии сайта для показа жителям из ЕС выглядит оптимальным, но временным решением. Во-первых, интернет-СМИ сохраняют лоялную аудиторию, так как им всё же доступен контент. Во-вторых, пользователи получают моментальную загрузку страниц.

Проблема заключается в том, что владельцы интернет-ресурсов вряд ли смогут позволит себе подобную тактику на долгосрочной основе. Инструменты веб-аналитики прочно вошли в сферу интернет-маркетинга, для маркетологов это необходимый стандарт. Рекламодателям нужны данные о пользователях, редакции нужна аналитика потребления контента. Персонализация контента становится невозможной, так как без сбора и обработки данных невозможно учитывать и использовать уникальный пользовательский опыт. Всё же это решение лучше, чем полное ограничение доступа.

Можно предположить, что ограничение доступа и показ специальной версии сайта основываются на определении IP-адреса посетителя. Возникает неоднозначная ситуация в тех случаях, когда гражданин ЕС выходит в интернет из другой страны или использует VPN.

Дополнительная информация по GDPR

Введение GDPR получило широкое обсуждение, породило споры и различные трактовки требований нового регламента. Предлагаем ознакомиться с дополнительными материалами о GDPR.

Документы:

  1. Краткое описание GDPR;
  2. Официальный текст GDPR.

Анализ и обсуждение GDPR:

  1. Новость о GDPR (Коммерсантъ);
  2. Истерия вокруг GDPR (перевод на Habr);
  3. Что нужно знать о новом регламенте GDPR (OWOX);
  4. Что делать с GDPR? “Самый сок” из западных ресурсов (Ringostat);
  5. GDPR — новые правила обработки персональных данных в Европе для международного IT-рынка (Digital Rights Center);
  6. «Согласно GDPR»: как соц.сети меняют политики конфиденциальности и принципы работы с ПД (ИТ-ГРАД);
  7. Анализ возможных последствий и влияния GDPR на бизнес российских операторов персональных данных и перевод регламента (Институт исследований интернета).

ОСТАВЬ КОММЕНТАРИЙ

avatar