Что такое GDPR и зачем им всех нас пугают
25 мая 2018 года вступил в силу GDPR (общий регламент по защите данных) в Евросоюзе. Вы, несомненно, заметили странную активность огромного числа сервисов, как в B2C-, так и в B2B-сегментах, по обновлению своих правил сервиса и политик конфиденциальности.
Что же такое GDPR?
Это попытка навести порядок в сфере персональных данных на территории Евросоюза.
На протяжении долгих лет существовала Европейская директива по защите данных, на которую все откровенно “забивали”. Ведь она на то и директива, что не обязательна к исполнению.
Любые данные, будь то ФИО, пол, возраст, адрес, фото с выпускного, ваши вкусы, увлечения, история посещения сайтов, или даже хоум-видео с вашего смартфона (пусть и в хэшированном виде), продавались, покупались и обрабатывались как в ручном, так и автоматическом режимах безо всякой жалости.
Конечно, такая вакханалия не могла продолжаться долго. И поэтому появился “один закон для всех”. И его нельзя игнорировать.
Стоит ли мне переживать о нем?
Если вы хотите вести бизнес в ЕС – безусловно, да. И это абсолютно нормально – соблюдать законодательство той страны, где вы хотите вести бизнес.
А если я никоим образом не отношусь к Евросоюзу?
Тогда соответствие GDPR будет неплохим способом профилактики соответствия российскому законодательству (в частности ФЗ-152), которое, безусловно, почерпнет ряд положений GDPR и синхронизирует нормы законодательства. Потому что надежно защищать персональные данные своих граждан – это просто здравый смысл, а он, в конечном итоге (пусть зачастую и в отдаленном светлом будущем), всегда торжествует.
Полезные советы
Что больше нельзя делать
- хранить вечно все полученные данные
- игнорировать запросы пользователей на удаление, исправление или изучение данных
- замалчивать взломы
- считать, что данные в вашем распоряжении принадлежат вам, а не конечным пользователям
- относиться к защите данных как к необязательной процедуре
- продавать данные с концами
- не получать согласие на обработку персональных данных пользователей
Что придется сделать
- наладить управление жизненным циклом данных
- выяснить, какие данные попадают под регулирование GDPR или ФЗ-152
- убедиться, что системы защищены
- раскрыть в политике конфиденциальности все варианты использования собранных данных
- заключить соглашения об обработке данных (DPA) со всеми, кому передаёте данные для обработки
- раскрыть компании, с которыми у вас есть DPA
- получить согласие пользователей на использование их данных
- запланировать отзыв согласия
- немедленно сообщать о взломах, превышающих порог значимости
Что, вероятно, следует сделать
- хранить данные в офлайне, если они не нужны в онлайне
- удалить данные, которые больше не используются
- прочитать законы (ФЗ-152, GDPR) хотя бы раз или попросить сделать это одного из сотрудников
Что, вероятно, не следует делать
- притворяться, что не знаешь о законе и надеяться, что он исчезнет
- предположить, что закон не применяется к вам без надлежащего исследования
- изобразить из себя юриста и попытаться избежать соблюдения закона
- сознательно нарушать закон
Источник: рассылка stream-telecom.ru