Что такое GDPR?
Это новое регулирование в ЕС, которое вступает в силу 25 мая 2018 и содержит новые правила, касающиеся персональных данных лиц, находящихся в ЕС.
GDPR касается персональных данных всех лиц, находящихся на территории ЕС.
Что относится к персональным данным?
- Имя
- Адрес
- Место нахождения
- Он-лайн идентификаторы
- Информация о здоровье
- Информация о доходах
- Информация об интересах в области культуры
- Другая информация, которая помогает определить конкретного человека
Кого касается GDPR и его требования?
(1) Компаний в любой стране мира, которые:
- Предлагают товары/услуги лицам в ЕС или
- Мониторят их поведение
(2) Компаний, которые имеют представительство / филиал в ЕС и обрабатывают персональные данные
Когда можно обрабатывать персональные данные?
- Если есть согласие пользователя*: Consent
- Если есть договорное обязательство с пользователем: Contractual obligation
- Если есть обязательство по закону (законодательство ЕС или национальное): Legitimate obligation
- Если требуется в общественных интересах (по законодательству ЕС или национальному): Public interest
- Если требуется для обеспечения жизненно важных интересов человека: Vital interests of individual
- Для законных интересов компании, но только после проверки того, что нет серьезного нарушения основных прав и свобод лица, чьи данные обрабатываются. Выводы в каждом отдельном случае могут быть обоснованы на конкретных фактах конкретной ситуации: Legitimate interest
При сборе данных пользователей их нужно уведомлять, что данные будут обрабатываться.
* Согласие пользователя на обработку его данных должно:
- Быть свободным (никто и ничто не заставляло его соглашаться, отказ не должен вызывать негативных последствий для пользователя. Предоставление согласия не может быть условием заключения соглашения с пользователем)
- Быть информированным (вся информация должна быть представлена пользователю до того, как он согласился)**
- Касаться конкретных целей, для которых данные собираются
- Все причины для обработки данных должны быть ясно изложены
- Быть явным и выражено в действии пользователя (например, самостоятельным проставление галочки у нужном месте, заранее проставленные галочки – не считается явным согласием выраженным в действии)
- Быть на понятном и четком языке и читабельно
- Содержать разъяснение, что такое согласие всегда может быть отозвано (отзыв согласия не должен вызывать негативных последствий для пользователя)
** Для того, чтобы согласие пользователя считалось информированным, ему должна быть предоставлена информация о:
- Организации, которая обрабатывает данные
- Цели обработки данных
- Тип данных, которые будут обрабатываться
- Возможность отозвать согласие на обработку данных
- Использовании данных для исключительно автоматического (машинного) принятия решения, включая профилирование
- При передаче данных в другие страны – рисках передачи данных в третьи страны, в отношении которых нет решения Комиссии ЕС о их безопасности с точки зрения защиты персональных данных и когда нет соответствующих мер по обеспечению безопасности данных
- Сроке, в течение которого данные будут храниться
Данные можно обрабатывать только для тех целей, на которые пользователь дал согласие.
Нужно ли получать новое согласие после 25 мая 2018?
Нет, если согласие пользователя было получено с соблюдением описанных выше требований.
Можно получать и передавать данные пользователей другой организации?
Да, если есть их на это согласие, полученное по правилам, описанным выше.
О чём ещё нужно подумать?
- Вести записи об операциях с данными пользователей
- Указать как пользователь может (i) получить информацию о том, какими его данными владеет компания, (ii) отозвать согласие на обработку его данных, (iii) внести изменения или (iv) удалить данные
- Быть готовым отвечать на обращения пользователей
- Не забыть узнать, сколько лет пользователю и попросить согласие его родителей, если ему меньше 16 лет
Автор: Elena Yurkina