Что означает GDPR ?
GDPR – это Общие Правила Защиты Данных (General Data Protection Regulation). Это ядро европейского законодательства цифровой конфиденциальности.
Как это получилось?
В январе 2012 года Европейская комиссия опубликовала планы реформирования защиты данных в Европейском союзе, чтобы Европа соответствовала «цифровому веку». Спустя почти четыре года была достигнута договоренность о том, чего это будет касаться и каким образом будет осуществляться.
Одним из ключевых компонентов этих реформ является введение к Общим Правилам Защиты Данных (GDPR). Это новая структура ЕС применяется к организациям во всех государствах-членах и имеет значение для бизнеса и частных лиц по всей Европе и за ее пределами.
«Цифровое будущее Европы может быть построено только на доверии. Благодаря твердым общим стандартам защиты данных люди могут быть уверены, что контролируют свою личную информацию.» — сказал Андрус Ансип, вице-президент Digital Single Market при согласовании реформ в декабре 2015 года.
Что такое Общие Правила Защиты Данных (GDPR)?
По своей сути, GDPR это новый свод правил, разработанный чтобы дать жителям ЕС больше контроля над своими личными данными. Это призвано упростить регуляторную среду для бизнеса, чтобы как граждане, так и компании в Европейском союзе могли в полной мере извлечь выгоду из цифровой экономики.
Реформы, призваны, чтобы отразить мир, в котором мы сейчас живем и принести законы и обязательства, в том числе касающиеся персональных данных, конфиденциальности и согласия по всей Европе, чтобы ускорить эру интернета.
Изначально, почти каждый аспект нашей жизни вращается вокруг данных. От социальных сетей до банков, розничной торговли и правительства – почти каждый сервис, который мы пользуем включает сбор и анализ наших личных данных. Ваше имя, адрес, номер кредитной карты и другое — все собрано, проанализировано и возможно, что еще важнее, хранится в организации.
Что такое согласие GDPR?
Нарушения неизбежно случаются. Информация теряется, ее могут украсть или иным образом передана в третьи руки людям, которые никогда не намеревались ее увидеть – и эти люди, часто имеют злые намерения.
Согласно условиям GDPR, организации должны не только обеспечивать законный сбор и в строгих условиях, но те, кто собирает и управляет этим обязан защищать данные от неправомерного использования и эксплуатации, так же как и уважать права владельцев данных или выставлять санкции за не выполнение указанных действий.
К кому относится GDPR?
GDPR относится к любой организации, работающей внутри ЕС, так же как и к любой организации за пределами ЕС, которая предлагает товары или услуги клиентам или бизнесу в Евросоюзе. В конечном счете это означаем, что почти каждой крупной корпорации в мире нужна стратегия соблюдения GDPR.
Существует два разных типа обработки данных, к которым применяется законодательство:
«процессоры» и «контроллеры».
Контроллер это лицо, государственный орган, агентство или другой орган власти, который самостоятельно или с другими определяет цели и средства обработки персональных данных, а процессор (обработчик) – это лицо, государственный орган или другой орган, который обрабатывает персональные данные от имени контроллера. Если бы вы подпадали под действия Закона Великобритании о защите данных, вам, вероятно, так же потребуется соблюдать требования GDPR.
«У вас будет существенно больше юридической ответственности, если вы несете ответственность за нарушения. Эти обязательства для обработки являются новыми требованиями в рамках GDPR.» говорит Управление по надзору за информацией в Великобритании, орган, ответственный за регистрацию контроллеров данных, принятию мер по защите данных и решению проблем и неправильному обращению с данными.
В конечном счете GDPR возлагает юридические обязательства на процессор касательно введения копий личных данных и процесса сбора, обеспечивая таким образом более высокий уровень юридической ответственности в случае нарушений.
Контроллеры так же вынуждены следить, за тем, чтобы все контракты с процессорами соответствовали GDPR.
Чем являются личные данные в рамках GDPR?
Типы данных, которые подпадают под определение «личные» в соответствии действующего законодательства включают в себя: имя, адрес и фотографии. GDPR расширяет определение личных данных, так что IP адрес вполне может быть таким примером. Это так же включает в себя конфиденциальные личные данные такие, как генетические данные, биометрические параметры, которые могут быть обработаны однозначной идентификации личности.
Когда GDPR вступил в силу?
После четырех лет подготовки и обсуждения, GDPR был утвержден Европейским парламентом в апреле 2016 года, а официальные тексты и положения директивы были опубликованы на всех официальных языках ЕС в мае 2016 года. Закон вступил в силу по всему Европейскому Союзу 25 мая 2018 года.
Какой срок действия соблюдения GDPR?
Ожидается, что все организации будут соответствовать GDPR до 25 мая 2018 года.
Как Brexit влияет на GDPR ?
В настоящее время Великобритания собирается выйти из ЕС 31 октября 2019 года. Правительство Великобритании заявило, что это не повлияет на соблюдение GDPR в стране, и что GDPR будет соблюдаться для пользы Великобритании, несмотря на то, что страна уже не будет членом ЕС. Таким образом, Brexit вряд ли окажет какое-либо влияние на требования организации к соблюдению GDPR.
Что значит GDPR для бизнеса?
GDPR устанавливает один закон на континенте и единый свод правил, которые применяются к компаниям занимающимся своим бизнесом внутри государствах-членах ЕС. Это означает, что сфера действия законодательства выходит за пределы границ самой Европы, поскольку международные организации, базирующиеся за пределами региона, но осуществляющие деятельность на «европейской земле», все равно должны будут соблюдать свод этих правил.
Европейская комиссия утверждает, что при наличии единого органа надзора для всего ЕС, можно упростить и удешевить деятельность предприятий в регионе. Действительно, Комиссия заявляет, что GDPR в Европе будет экономить 2,3 миллиарда евро в год.
«Объединяя европейские правила о защите данных, законодатели создают возможности для бизнеса и поощряют инновации» — заявляет Комиссия.
Говорят, что регулирование гарантирует, что средства защиты данных встроены в продукты и услуги с самого раннего этапа разработки, обеспечивая «защиту данных путем разработки» в новых продуктах и технологиях.
Организациям также рекомендуется применять такие методы, как «псевдонимизация», чтобы получать выгоду от сбора и анализа личных данных, в то же время конфиденциальность их клиентов защищена. (Хотя некоторые группы утверждают, что это уже слишком поздно, учитывая количество подключенных устройств в мире.)
Что такое GDPR для потребителей / граждан?
Из-за огромного количества утечек и взломов данных, к сожалению, для многих реальность заключается в том, что некоторые из их данных — будь то адрес электронной почты, пароль, номер социального страхования или конфиденциальные медицинские записи — были обнародованы в Интернете.
Одним из основных изменений, которые приносит GDPR, является предоставление потребителям права знать, когда их данные были взломаны. Организации должны как можно скорее уведомить соответствующие национальные органы, чтобы граждане ЕС могли принять надлежащие меры для предотвращения злоупотребления их данными.
Организации в свою очередь обязуются уведомить потребителей как обрабатываются его личные данные понятным образом.
Некоторые организации уже предприняли шаги, чтобы убедиться, что это так, даже если это так же просто, как отправка клиентам электронных писем с информацией об использовании их данных и предоставление им отказа, если они не дают свое согласие. Многие организации, например, в сфере розничной торговли и маркетинга, связались с клиентами, чтобы спросить, хотят ли они быть частью их базы данных.
В этих обстоятельствах клиент должен иметь простой способ отказаться от своих данных, находящихся в списке рассылки. Тем временем, некоторые другие сектора были предупреждены о том, что им нужно сделать гораздо больше, чтобы обеспечить соблюдение GDPR, особенно когда требуется согласие.
GDPR так же привносит уточнение «право быть забытым», которое предоставляет дополнительные права и свободу людям, которые больше не хотят, чтобы их личные данные обрабатывались.
Организации должны будут помнить об этих правах потребителей.
Это электронное письмо о конфиденциальности от реальной компании? Может ли быть это мошенничество?
Организации всех размеров во всех секторах рассылают клиентам электронные письма с просьбой подписаться, чтобы получать сообщения и другие маркетинговые материалы. По большей части, если клиент хочет остаться в списке, ему просто нужно щелкнуть ту часть электронного письма, которая сообщает компании, что он хочет оставаться на связи.
Однако из-за того, что многие организации рассылают электронные письма о GDPR, преступники и мошенники воспринимают это как прекрасную возможность рассылать фишинговые электронные письма, чтобы поймать людей неосведомленными, особенно учитывая, как люди получали больше писем от организаций, чем обычно.
Исследователи из Redscan раскрыли одну из этих схем, в которой преступники изображают из себя Airbnb и утверждают, что пользователь не сможет принимать новые заказы или отправлять сообщения потенциальным гостям, пока не будет принята новая политика конфиденциальности.
Злоумышленники специально упоминают новую политику конфиденциальности ЕС в качестве причины отправки сообщения.
Тем не менее, те, кто стоят за это схемой использовали GDPR, чтобы украсть информацию, для того, чтобы пока настоящее сообщение от Airbnb не запрашивало никакой информации, те кто получают фейковые сообщения предоставляло личные данные злоумышленникам, которая включает в себя учетные данные, данные платежной карты.
И это не единственная попытка преступников использовать контрабанду GDPR для своей выгоды.
Что такое уведомление о нарушении GDPR?
GDPR устанавливает обязанность для всех организаций сообщать об определенных типах нарушений данных, которые включают несанкционированный доступ к личным данным или их потерю в соответствующий орган надзора. В некоторых случаях организации также должны информировать лица, пострадавших от нарушения.
Организации обязаны сообщать о любых нарушениях, которые могут привести к риску в отношении прав и свобод отдельных лиц и привести к дискриминации, ущербу репутации, финансовым потерям, потере конфиденциальности или любым другим экономическим или социальным недостаткам.
Другими словами, если имя, адрес, данные о рождении, медицинские записи, банковские реквизиты или личные данные клиента нарушены, организация обязана сообщить об этом пострадавшим, а также в соответствующие инстанции, чтобы сделать все возможное дабы ограничить ущерб.
Это должно быть сделано посредством уведомления о нарушении, которое должно быть адресовано непосредственно жертвам. Эта информация не может быть передана прессе, в социальных сети или на веб-сайте компании, только информирован должен быть пострадавший.
На выступлении в апреле 2019 года, ICO хотели выяснить, когда организации должны сообщать о нарушении и как это сделать. «Важно, чтобы организации понимали, чего ожидать в случае нарушения кибербезопасности», — заявил заместитель комиссара ICO по операциям Джеймс Диппл-Джонстон.
В рамках GDPR, когда организации необходимо уведомить о нарушении?
О нарушении необходимо сообщить в соответствующий надзорный орган в течение 72 часов после того, как организация впервые узнает об этом. Между тем, если нарушение является достаточно серьезным, чтобы означать, что клиенты или общественность должны быть уведомлены, законодательство GDPR гласит, что клиенты должны быть привлечены к ответственности без «неоправданной задержки».
Каковы штрафы и пеня за несоблюдение GDPR?
Невыполнение GDPR может привести к штрафу в размере от 10 миллионов евро до четырех процентов от годового оборота компании, эта цифра для некоторых может означать миллиарды.
Штрафы зависят от серьезности нарушения и от того, считается ли компания достаточно серьезно относящейся к соблюдению и нормам безопасности.
Максимальный штраф в размере 20 миллионов евро или четыре процента от годового оборота — в зависимости от того, что больше — за нарушения прав субъектов данных, несанкционированную международную передачу персональных данных и неспособность ввести процедуры или игнорировать запросы доступа к данные.
Более низкий штраф в размере 10 миллионов евро или два процента годового оборота будет применяться к компаниям, которые неправильно управляют данными. Они включают, но не ограничиваются ими, непредоставление отчетов о нарушении данных, неспособность обеспечить конфиденциальность при разработке и обеспечение защиты данных на первом этапе проекта, а также выполнять требование по назначению сотрудника, ответственного за защиту данных.
Какие пока что самые большие штрафы GDPR?
По состоянию на май 2019 года самый большой из предъявленных штрафов GDPR к настоящему времени составляет 50 млн. евро. Французский «сторожевой пес» CNIL в январе оштрафовал Google после того, 
как пришел к выводу, что гигант поисковой системы нарушает правила GDPR в отношении прозрачности и имеет действующую правовую основу при обработке данных людей в рекламных целях. Google собирается обжаловать штраф.
До Google наибольший штраф за несоответствие GDPR составлял 400 000 евро, когда португальская больница была оштрафована за «недостоверную» практику управления счетами. Вполне вероятно, что еще много штрафов будет выставлено, так как «сторожевые псы» защиты данных по всей Европе в настоящее время расследуют тысячи случаев.
Что содержится в уведомлении о нарушении в соответствии с GDPR?
В случае, если в компании произошла утечка данных, была ли это кибератака, человеческая ошибка или что-нибудь еще, компания обязуется выслать уведомлении о нарушении.
Это должно включать приблизительные данные о нарушении, включая категории информации и количество лиц, скомпрометированных в результате инцидента, а также категории и приблизительное количество соответствующих записей личных данных. Последний учитывает, как может быть несколько наборов данных, относящихся только к одному человеку.
Организации так же должны предоставить описание потенциальных последствий нарушения данных, такие как кража денег или мошенничество с идентификацией, а так же описание мер, которые предпринимаются для решения проблем с нарушением данных и противодействия любым негативным воздействиям, которые могут отразиться на людях.
Также необходимо будет предоставить контактные данные сотрудника по защите данных или главного контактного лица, имеющего дело с нарушением.
Нужно ли нам назначать сотрудника по защите данных?
Согласно условиям GDPR, организация должна назначить сотрудника по защите данных (DPO), если она осуществляет крупномасштабную обработку специальных категорий данных, осуществляет крупномасштабный мониторинг отдельных лиц, например отслеживание поведения, или является государственным органом. В случае государственных органов один DPO может быть назначен на группу организаций. Хотя организациям, не относящимся к вышеперечисленным, не обязательно назначать DPO, все организации должны убедиться, что у них есть навыки и персонал, необходимые для соответствия законодательству GDPR.
Не существует установленных критериев того, кто должен быть DPO или какой квалификацией он должен обладать, но, согласно Information Commissioner’s Office, у них должен быть профессиональный опыт и закон о защите данных, пропорциональный тому, что выполняет организация.
Неспособность назначить сотрудника по защите данных, если этого требует GDPR, может расцениваться как несоблюдение и может повлечь за собой штраф.
Как выглядит соблюдение GDPR?
GDPR может показаться сложным, но правда в том, что по большей части законодательство объединяет принципы, которые в настоящее время являются частью британского Закона о защите данных. Тем не 
менее, существуют элементы GDPR, такие как уведомление о нарушении и обеспечение того, что кто-то несет ответственность за защиту данных, к которым организации должны обратиться, или рискуют получить штраф. Не существует единого подхода для подготовки к GDPR. Скорее, каждый бизнес должен знать, что именно нужно достичь, чтобы соответствовать требованиям, и кто является контролером данных, который взял на себя ответственность за обеспечение этого.
«От вас ожидают принятия комплексных, но пропорциональных мер управления», — говорит британский ICO. «В конечном счете, эти меры должны минимизировать риск нарушений и поддерживать защиту персональных данных. На практике это может означать, что для организаций потребуется больше политик и процедур, хотя во многих организациях уже будут внедрены меры по эффективному управлению».
Это может быть обязанностью отдельного человека в малом бизнесе или даже целого отдела в многонациональной корпорации. В любом случае, чтобы все заработало, нужно учитывать бюджеты, системы и персонал. В соответствии с положениями GDPR, которые способствуют подотчетности и управлению, компании должны принимать соответствующие технические и организационные меры. Они могут включать положения о защите данных (обучение персонала, внутренний аудит деятельности по обработке и обзоры кадровой политики), а также хранение документации по действиям обработки. По словам ICO, другие тактики, на которые могут обратить внимание организации, включают минимизацию данных или предоставление отдельным лицам возможности контролировать обработку.
При подготовке к GDPR такие органы, как ICO, предлагали общее руководство в отношении того, что следует учитывать. Все организации должны убедиться, что они выполнили все необходимые оценки воздействия и соответствуют требованиям GDPR, или рискуют нарушить новые директивы.
GDPR вступил в силу, и что теперь?
По состоянию на 25 мая 2018 года GDPR вступил в силу за несколько дней, а недели ранее наблюдался всплеск числа компаний, отправляющих электронные письма клиентам с просьбой подписаться на новые политики конфиденциальности и согласия. В первые 24 часа электронные письма приходили настолько плотно и быстро, что многие пользователи сети ошеломлены.
В преддверии даты некоторые организации и платформы, в том числе сайты социальных сетей, просто прекратили свою деятельность — Klout явно не указывал на GDPR, но дата 25 мая, вероятно, не является совпадением. Это не единственная служба, которая прекратила операции или ограничивает доступ для европейских пользователей.
Европейские пользователи, посетившие утром 25 мая популярные новостные сайты в США, такие как The LA Times, The Chicago Times и The Baltimore Sun, обнаружили, что они не смогли получить доступ к веб-сайтам, а издатели указали на GDPR в качестве причины этого.
«К сожалению, в настоящее время наш веб-сайт недоступен в большинстве европейских стран. Мы занимаемся этим вопросом и стремимся рассмотреть варианты, которые поддерживают наш полный спектр цифровых предложений на рынке ЕС», — говорится в заявлении на веб-сайте Chicago Tribune.
Подобные заявления были опубликованы в новостных изданиях, которыми управляют группы Lee Enterprises и Tronc, и через год во многих из этих публикаций все еще отображается то же сообщение для европейских пользователей, которые пытаются посетить сайты.
Отказ пользователям в доступе к продуктам — по крайней мере, на данный момент — рассматривается многими как цена, которую стоит заплатить, чтобы избежать потенциальных штрафов. Хотя некоторые задают вопрос, что они делают с пользовательскими данными и было ли у них разрешение?
Что изменилось GDPR с момента его введения?
По состоянию на май 2019 года многие из этих проблем с американскими издателями до сих пор не решены, а Tronc по-прежнему приносит те же извинения пользователям в Европе.
Издатели — не единственные организации, которым приходится мириться с новой реальностью, поскольку некоторые из крупнейших технологических компаний, включая Facebook, заявляют, что они начали чувствовать укус GDPR. Социальная сеть обвинила GDPR в сокращении примерно миллиона пользователей в месяц во втором квартале года, а также в снижении роста доходов от рекламы в Европе.
В некоторой степени организации всех размеров оказались затронутыми этим. Аналитики Forrester говорят, что многие компании сообщили об уменьшении на 25-40% своего адресуемого рынка электронной почты и других форм контактов.
В результате многим компаниям приходится задумываться о новых методах привлечения потребителей и получения доходов. Аналитик Gartner предположил, что некоторым компаниям, возможно, придется пересмотреть свою стратегию центров обработки данных в результате принятия таких законов, как GDPR.
За год, прошедший с момента введения GDPR, некоторые крупнейшие мировые технологические фирмы попытались изменить положение своих продуктов как ориентированных на конфиденциальность, данная стратегия, вероятно, в какой-то степени появилась благодаря повышению осведомленности о конфиденциальности и согласии.
Генеральный директор Apple Тим Кук призвал США ввести эквивалент GDPR для предотвращения использования данных против пользователей. Между тем, генеральный директор Facebook Марк Цукерберг недавно говорил о том, каким будет будущее Facebook в частной жизни — хотя он и сам признает, что некоторым может в это трудно поверить.
Что будет дальше для GDPR и защиты данных?
Страны и регионы мира получают информацию от GDPR, внедряя или изменяя законодательство о защите данных. К странам, которые дали понять, что они изменят свои законы о конфиденциальности после введения GDPR, относятся Бразилия, Япония, Южная Корея, Индия и другие.
Кремниевой долина (Калифорния) также собирается ввести свои собственные законы о конфиденциальности данных в Калифорнийском законе о защите прав потребителей, который вступает в силу с 1 января 2020 года.
Законодательство следует по стопам GDPR, позволяя людям иметь большее право голоса относительно того, как используются их персональные данные, но во многих отношениях это не совсем так, к примеру, нет установленного срока для уведомления потребителей о нарушении и организации не будут оштрафованы за несоблюдение.
Тем не менее, введение этого законодательства в разгар технологической индустрии, по-видимому, предполагает, что конфиденциальность и согласие являются вопросами, которые могут изменить работу Кремниевой долины.