Как ЕС собирается защищать персональные данные интернет-пользователей

Это постановление, которое усиливает и унифицирует защиту персональных данных в ЕС. Оно было принято 27 апреля 2016 года и вступает в силу 25 мая 2018 года после двухлетнего переходного периода. GDPR не требует от стран — участниц ЕС никаких изменений в локальных законодательствах и, таким образом, является непосредственно обязательным к исполнению во всех 28 государствах союза. Более того, постановление носит экстерриториальный характер, то есть ему должны подчиняться зарубежные компании, занимающиеся сбором данных в Европе.

В законе изложены шесть принципов, в соответствии с которыми будет осуществляться сбор персональных данных:

• Законность, справедливость и прозрачность обработки информации.

• Данные можно собирать и использовать только в тех целях, которые заявлены компанией, и ни в каких других.

• Нельзя собирать данные в большем объеме, чем необходимо для целей обработки.

• Данные должны быть точными и актуальными и по необходимости должны исправляться или удаляться.

• Данные нельзя хранить дольше, чем это необходимо для целей обработки.

• Неприкосновенность и конфиденциальность персональных данных. Компании обязаны обеспечить защиту информации от несанкционированной или незаконной обработки, уничтожения и повреждения.

Это любая информация, по которой можно прямо или косвенно идентифицировать человека: имя, адрес проживания, биометрические данные, сведения о состоянии здоровья и т.д. GDPR дает максимально широкую трактовку для понятия "персональные данные" и включает в том числе IP-адреса, e-mail, информацию о психическом здоровье, культурном и экономическом бэкграунде.

Это значит, что любой банк, социальная сеть, университет или другое заведение, которое собирает личную информацию о гражданах ЕС, будет обязано соблюдать требования GDPR. Правила получения согласия на обработку личной информации станут строже, пользователь получит возможность в любой момент отозвать такое согласие. Фирмы обяжут обозначать цели использования персональной информации в ясной и доступной форме, а также раскрывать сведения о третьих лицах, которым они передают данные.

Более того, в законе прописано несколько специфических пунктов, которые ранее не были зафиксированы юридически:

• Право на забвение. Пользователь может потребовать удалить сведения о себе безвозвратно, если он больше не хочет, чтобы они хранились и обрабатывались.

• Право на перенос данных. По требованию пользователя фирма — собиратель информации обязана бесплатно предоставлять электронную копию персональных данных для другой компании.

• В случае кражи персональных данных компании должны будут в течение 72 часов предупредить регулятора и всех пострадавших.

• Роль офицера безопасности. Компании должны назначать ответственного за защиту данных и соблюдение требование GDPR.

• Особая защита детских персональных данных — согласие на обработку информации о малолетних детях должно быть авторизовано родителями. Пользователи Facebook в возрасте 13–15 лет должны будут указать родителей или опекунов, которые могут дать согласие на обработку персональных данных. Пользоваться мессенджером WhatsApp можно будет только с 16 лет.

GDPR защищает 512 млн человек, проживающих в ЕС, и требует соблюдения от всех компаний, собирающих информацию о европейцах. Это в равной степени касается IT-гигантов, таких как Facebook, Google и Amazon, и более мелких компаний, у которых даже может не быть представительства в ЕС.

Им грозят штрафы в размере 4% от их годового дохода или €10 млн — в зависимости от того, что больше.

Да, под действие закона попадет каждая третья крупная российская компания, считают аналитики KPMG. GDPR затронет многие финансовые и банковские группы, сферу телекома и поставщиков услуг связи, компании ТЭК, фирмы, занимающиеся пассажирскими перевозками (прежде всего авиаперевозчиков), онлайн-ретейл и поставщиков услуг, работающих с иностранными покупателями. К этой категории относятся такие компании, как "Яндекс", отслеживающие действия пользователей на различных сайтах.

Российским фирмам придется пересмотреть свое отношение к сбору и хранению персональных данных, считают эксперты KPMG. Компаниям будет необходимо проанализировать каждый отдельный процесс обработки персональных данных на соответствие требованиям GDPR, обеспечить их защиту и разработать процедуры по уведомлению пользователей и регуляторов об утечках личных сведений. На этот процесс могут уйти миллионы рублей.