О GDPR, общих правилах, которые регулируют обработку персональных данных, ходит множество разных слухов. Правдивых и ложных. Мы подготовили подборку из пяти наиболее распространенных заблуждений и постараемся развеять бытующие мнения, разъяснить спорные моменты.n
Миф №1: GDPR приняли, чтобы усложнить бизнесменам жизнь
Нет, это мнение нельзя считать верным. Цель принятия этих правил другая. Благодаря этому пользователи получают возможность контролировать свои персональные данные, задействованные для улучшения маркетинга (то есть смогут по собственному желанию остановить этот процесс либо запретить вообще, изменив условия).nnЧаще всего многие организации собирают сведения о людях для оптимизации маркетингового процесса, делают его персонифицированным. Для этого собираются информационные материалы из разных источников интернета, основанные на поведенческой линии конкретного человека, ответах на анкетирования (например, возраст, личные предпочтения и интересы, привычки, профессиональные навыки и т.д.). Также полезным в сборе может стать мониторинг геолокаций. Собранная информация об одном человеке заинтересованной организацией может быть настолько подробной, что возникает угроза влияния на принятие решений этим клиентом.nnВ качестве примера подойдет программа, созданная британскими исследователями. Она характеризует личностные особенности любого человека по тем «лайкам», которые он проставляет в Фейсбуке. Десяти «лайков» достаточно, чтобы узнать информации больше, чем знают о пользователе его сослуживцы, семидесяти – чем близкие друзья, ста пятидесяти – чем родители и близкие родственники и т.д. В этом варианте польза GDPR для такого «подопытного» очевидна: свод этих предписаний ограничивает и контролирует использование сведений о нем для чьих-то целей, особенно коммерческих. В большинстве случаев многие даже не догадываются, кто, зачем и как пользуется сведениями о них.n
Миф №2: GDPR придумали для компаний, которые обрабатывают сведения о гражданах из стран Евросоюза
Нет, и это мнение неверное. Контролируется обработка информации о лицах, которые находятся на территории Евросоюза, а не о его гражданах. Если человек находится за границами ЕС, рассматриваемые правила к нему не применяются (даже в случаях временных выездов). Это подтверждает и представитель из Европейской Комиссии в своем интервью, выступив на международной Конференции в июне этого года.nnОн также разъясняет, что под внимание регулятора попадают большие объемы обрабатываемых персональных данных граждан, которые находятся в пределах Евросоюза. Если компании собирают сведения о своих пользователях, которые нерегулярно посещают страны ЕС, соответственно, объем информации минимален, то такая обработка данных, скорее всего, не попадет под внимание регуляторов.nnТакже неверным будет мнение и о том, что компания, предоставляющая свои услуги вне пределов Европейского Союза, не будет контролироваться GDPR. Например, в случае бронирования номеров осуществляемом удаленно. Разъясняем: если компанией обрабатываются персональные данные гражданина, который живет постоянно в одной из европейских стран, а на момент пребывания в гостинице не находится в Европе, то нарушений не будет. Но как только он вернется домой, а обработка сведений о клиенте в маркетинговых целях продолжится, регулятор начнет действовать. Использовать персональные данные клиента организация может в том случае, когда маркетинг не будет очевиден (например, только регистрация проживания). Официально разрешено собирать и обрабатывать сведения о пользователях даже без их согласия для исполнения договорных условий.n
Миф №3: в любом случае необходимо согласие лица на использование его персональных данных
И это утверждение не точное. Если организация не из Евросоюза, то GDPR вступит в действие только в двух вариантах:n
- явные маркетинговые цели (предложения воспользоваться услугами, товарами);
- мониторинг поведенческих данных лиц из Евросоюза.
В других случаях (часть 3.2) на применение даже согласия от пользователей не нужно, если информация о клиентах необходима, чтобы выполнить договорные условия. Но на ее хранение и обработку после выполнения договора понадобиться подтверждение на это согласия пользователя.n
Миф №4: нарушителей штрафуют без отсрочек, к тому же суммы штрафов большие
Неверное мнение. Мгновенно выписывать штраф нарушителю никто не будет. Новшества только вступают в действие, поэтому многие регуляторы формируют свою практику применения штрафных санкций. Первые их шаги – это предупреждения и предписания в адрес нарушителя. Большие суммы денежных штрафов – предельная мера наказания. В частных случаях размеры санкций могут быть значительно меньшими. Начисление их происходит в зависимости от конкретного случая правонарушения. Цель GDPR – регулировка бизнеса, а не его уничтожение. В помощь регуляторам, проводящим проверки и назначающим штрафные санкции, формируется и судебная практика.nnНа конференции представитель Европейской Комиссии озвучил возможность проведения показательных судебных процессов по делам злостных нарушителей. Это необходимо для практического понимания механизма наказаний и применения штрафов.nnnnnnЕсли организация не имеет своего представительства на территории Европейского Союза, то регулятору будет сложно привлечь ее к ответственности за несоблюдение GDPR. Поэтому для европейского бизнеса прогнозируется применение саморегулирования: отказ от сотрудничества с компаниями, не соблюдающими принятые на законодательном уровне рекомендации. Результат такого подхода – потеря конкурентоспособности на рынке ЕС.n
Миф №5: перенос персональных данных пользователя из одной страны в другую без разрешения запрещен
Нет. Передача сведений разрешена, но об этом должно упоминаться в договоре между компанией и пользователем. Это прописано в Конвенции Совета Европы 108.nnnnЕсли и есть какие-то противоречия между приведенным положением из 108-й Конвенции и GDPR, то нам о них ничего пока не известно. Читайте внимательно законы, изучайте их, чтобы обезопасить себя и не попасть под штрафные санкции.