Галочки “согласен” недостаточно: в Европе вступает в силу регламент по защите личных данных
Теперь европейцы оказавшиеся случайно в кадре на фоне вашего селфи, могут потребовать у вас денежной компенсации за нарушение их личных прав.
Новые правила обработки персональных данных в Европе начнут действовать уже с 25 мая и, безусловно, повлияют на многие сферы взаимодействия людей.
GDPR — General Data Protection Regulation — касается сбора, хранения, обработки и публикации персональных данных граждан Евросоюза. Фотография и видео являются личными данными, поскольку по ним можно с высокой точностью идентифицировать человека.
Следует ожидать, что GDPR может повлиять и на работу журналистов, аккредитованных в странах ЕС, и на работу фотографов и видео-операторов, а также может по-новому классифицировать поведение и привычки блогеров, любителей селфи и даже туристов.
Экстерриториальный принцип действия GDPR означает, что его действие распространяется в мире везде, где речь идет о персональных данных граждан и резидентов Евросоюза.
Единый для европейского пространства регламент Европейского парламента и совета по защите личных данных GDPR это новые правила обработки персональных данных в Европе, которые обязательны для международного IT-рынка. Регламент ЕС 2016/679, или GDPR, был принят 27 апреля 2016 года. Для адаптации информационных систем под новые правила было выделено два года, и с 25 мая 2018 года GDPR начинает свое действие.
С 25 мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро или 4% годового глобального дохода компании. Это означает, что при нарушении правил GDPR в каком-либо филиале международной корпорации штраф за нарушение будет начисляться с дохода всей корпорации.
Действие GDPR распространяется на все мировое сообщество, потому что главным объектом становятся персональные данные европейцев, а это значит, что применяться новые требования будут к любым компаниям и организациям, где бы они ни находились, если они имеют дело с резидентом или гражданином ЕС.
Персональные данные по новому регламенту разделены на собственно данные — любая информация, которая дает возможность прямо или косвенно определить физическое лицо.
К ним относятся имя, почтовый адрес, адрес электронной почты, фотография, IP-адрес, данные о местоположении, поведение в интернете (файлы cookie), данные профилирования и аналитики. Из этих данных можно вычислить фактически характеристики для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности конкретного физического лица (GDPR пункт 1, статья 4).
Также выделен определенный тип персональных данных, которые относятся к категории особых или конфиденциальных персональных данных: раса, религия, политические взгляды, членство в профсоюзах, сексуальная ориентация, информация о здоровье, биометрические данные, генетические данные.
Единый европейский регламент по защите персональных данных расширяет права граждан и резидентов ЕС по контролю за их персональными данными.
Европейские пользователи получают право запрашивать подтверждение факта обработки их данных, узнавать место и цель обработки, а также какие именно персональные данные используются, каким третьим лицам раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления.
Действует также право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам. Отчасти это право уже обеспечивалось в отношении поисковых систем. По GDPR любая компания, обрабатывающая данные, должна будет удалять чьи-либо персональные данные по запросу, если это не противоречит интересам общества или иным фундаментальным правам европейцев.
Новацией в правилах обработки данных ЕС стало право на переносимость данных (right to data portability): компании обязаны по требованию субъекта персональных данных предоставлять бесплатно электронную копию этих данных другой компании.
GDPR повышает требования в отношении формы получения согласия на обработку данных. Галочки клиента в графе “согласен” или “принимаю” уже недостаточно. Каждое онлайн-соглашение или договор должны соответствовать требованиям единого регламента, любое отступление от которого расценивается как нарушение.
Согласие человека на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя и не считается действительным, если у человека не было выбора или если несогласие влекло для него некий ущерб. Нельзя получать согласие человека на обработку его данных по умолчанию. Нельзя заранее ставить галочки в ячейке “согласен” или “принимаю”, как готовый вариант выбора клиента. Молчание или бездействие пользователя также нельзя расценивать как согласие. Подобные методы считаются нарушением GDPR.
Контроллер должен оформлять свои отношения с пользователями и клиентами в такой форме, чтобы иметь возможность продемонстрировать факт получения согласия клиента на обработку данных.
Информация о том, как клиент может отозвать свое согласие на обработку персональных данных, должна быть доступна и легко находима.
Согласие на обработку данных ребенка должно быть авторизовано родителями или законными представителями ребенка. Возрастной порог для родительской авторизации устанавливается государствами-членами ЕС отдельно и может находиться в пределе от 13 до 16 лет.
Информационные порталы и сервисы перед удалением данных по запросу должны проверять и убеждаться, что удаление данных не повлияет на свободу слова и на право доступа к информации, гарантированное европейцам статьей 11 Хартии Европейского союза по правам человека.
Подробнее: sputnik-news.ee