Что такое GDPR и зачем им всех нас пугают

Что такое GDPR и зачем им всех нас пугают

На протяжении долгих лет существовала Европейская директива по защите данных, на которую все откровенно «забивали”.

25 мая 2018 года вступил в силу GDPR (общий регламент по защите данных) в Евросоюзе. Вы, несомненно, заметили странную активность огромного числа сервисов, как в B2C-, так и в B2B-сегментах, по обновлению своих правил сервиса и политик конфиденциальности.

Что же такое GDPR?

Это попытка навести порядок в сфере персональных данных на территории Евросоюза.

На протяжении долгих лет существовала Европейская директива по защите данных, на которую все откровенно «забивали”. Ведь она на то и директива, что не обязательна к исполнению.

Любые данные, будь то ФИО, пол, возвраст, адрес, фото с выпускного, ваши вкусы, увлечения, история посещения сайтов, или даже хоум-видео с вашего смартфона (пусть и в хэшированном виде), продавались, покупались и обрабатывались как в ручном, так и автоматическом режимах безо всякой жалости.

Конечно, такая вакханалия не могла продолжаться долго. И поэтому появился “один закон для всех”. И его нельзя игнорировать.

Стоит ли мне переживать о нем?

Если вы хотите вести бизнес в ЕС — безусловно, да. И это абсолютно нормально — соблюдать законодательство той страны, где вы хотите вести бизнес.

А если я никоим образом не отношусь к Евросоюзу?

Тогда соответствие GDPR будет неплохим способом профилактики соответствия российскому законодательству (в частности ФЗ-152), которое, безусловно, почерпнет ряд положений GDPR и синхронизирует нормы законодательства. Потому что надежно защищать персональные данные своих граждан — это просто здравый смысл, а он, в конечном итоге (пусть зачастую и в отдаленном светлом будущем), всегда торжествует.

Полезные советы

Что больше нельзя делать

  • хранить вечно все полученные данные
  • игнорировать запросы пользователей на удаление, исправление или изучение данных
  • замалчивать взломы
  • считать, что данные в вашем распоряжении принадлежат вам, а не конечным пользователям
  • относиться к защите данных как к необязательной процедуре
  • продавать данные с концами
  • не получать согласие на обработку персональных данных пользователей

Что придется сделать

  • наладить управление жизненным циклом данных
  • выяснить, какие данные попадают под регулирование GDPR или ФЗ-152
  • убедиться, что системы защищены
  • раскрыть в политике конфиденциальности все варианты использования собранных данных
  • заключить соглашения об обработке данных (DPA) со всеми, кому передаёте данные для обработки
  • раскрыть компании, с которыми у вас есть DPA
  • получить согласие пользователей на использование их данных
  • запланировать отзыв согласия
  • немедленно сообщать о взломах, превышающих порог значимости

Что, вероятно, следует сделать

  • хранить данные в офлайне, если они не нужны в онлайне
  • удалить данные, которые больше не используются
  • прочитать законы (ФЗ-152, GDPR) хотя бы раз или попросить сделать это одного из сотрудников

Что, вероятно, не следует делать

  • притворяться, что не знаешь о законе и надеяться, что он исчезнет
  • предположить, что закон не применяется к вам без надлежащего исследования
  • изобразить из себя юриста и попытаться избежать соблюдения закона
  • сознательно нарушать закон

Источник: рассылка stream-telecom.ru