Сфера деятельности постановления GDPR 25.05.2018

25 мая 2018 года Положение об общей защите данных Европейского союза (GDPR) вступило в стадию обязательного исполнения. Что повлекло за собой принятие нового закона и на кого он распространяется?

GDPR, или Общее правило защиты данных, является новым законом о неприкосновенности частной жизни граждан Европейского союза, который подразумевает обновление и ужесточение требований к защите данных. Среди изменений в новых правилах было расширено определение персональных данных, а также сфера охвата закона.

В соответствии с GDPR, требования документа распространяются на любую компанию, которая продает продукты и предоставляет услуги лицам, проживающим в ЕС, даже если она не находится там территориально.

Определение того, какие именно компании попадают под действие Общего регламента защиты данных, является сложной темой. Многие эксперты немного запутались при исследовании применимости в соответствии с монументальным регулированием. Зачастую публикуется противоречивая информация о том, влияют ли положения GDPR на работу конкретной компании.

Хотя Директива по защите данных применяется только к контроллерам данных, GDPR теперь применяется и к процессорам. Каждый из них обязан соблюдать определенные требования. Например, контроллеры данных теперь должны проводить оценки воздействия на данные (DPIA) и добавлять более тщательные методы получения согласия на сбор информации. Обработчики данных должны делать соответствующие записи, увеличивать меры безопасности для их защиты и уведомлять контроллеров о любых нарушениях, которые происходят. В некоторых случаях может потребоваться назначение сотрудника по защите данных (DPO) для контроля над стратегией обеспечения безопасности данных и соответствия требованиям регламента. Проще говоря, GDPR требует, чтобы пользователям была предоставлена ​​полная информация о том, как обрабатываются их персональные данные.

Читайте также: Европейские рынки онлайн-ставок: ключевые аспекты регулирования

Прежде чем перейти к требованиям, важно отметить, что приведенные ниже критерии применимы к организациям, даже если обработка персональных данных происходит за пределами ЕС.

Критерий 1: Если ваша компания, которая предлагает товары или услуги, независимо от того, требуется ли оплата субъекта данных, находится в ЕС.

Определение «предложение товаров и услуг» не является особо специфичным, если ссылаться на статью 3. В целом веб-сайты доступны по всему миру. Итак, будет ли это означать, что ваш бизнес по умолчанию предлагает товары и услуги гражданам ЕС? В одном из уточнений описывается представление о том, как это определение можно интерпретировать в соответствии с регламентом: веб-сайт, который просто доступен глобальной аудитории сам по себе, не является предложением товаров и услуг гражданам ЕС. Следовательно, сфера GDPR не распространяется на него. Однако существуют и дополнительные аспекты для рассмотрения.

Организации могут продемонстрировать «намерение предлагать товары и услуги» гражданам ЕС при следующих обстоятельствах:

• организация предоставляет возможность взаимодействовать с веб-сайтом на родном языке и валютой государства-члена ЕС;
• организация рекламирует своих клиентов или пользователей (т. е. размещает отзывы), которые основаны в союзе с целью обращения к другим пользователям в одной и той же местности.

Читайте также: Азиатские рынки сегодня и в ближайшем будущем

Ниже представлена наглядная схема для определения, какие компании и сайты попадают под сферу деятельности GDPR, принятого 25.05.2018:

В начале лета текущего года пользователи различных приложений и программ начали массово получать сообщения об изменении политики конфиденциальности. Это происходит в рамках принятия GDPR.

Важно помнить, что, в соответствии с GDPR, необходимо сообщать клиентам о проводимых процедурах сбора и обработки данных таким образом, чтобы информация была краткой, прозрачной и максимально понятной.

Имея информативную, подробную и удобную для пользователя политику конфиденциальности и систему уведомлений о конфиденциальности, можно легко удовлетворять требованиям GDPR.

Проще говоря, политика конфиденциальности — это то, где вы сообщаете своим пользователям:

• какую личную информацию вы собираете;
• как и почему вы ее собираете;
• как вы ее используете;
• как вы обеспечиваете ее безопасность;
• какие третьи стороны могут иметь к ней доступ;
• если вы используете файлы cookie;
• как пользователи могут контролировать любые аспекты этого процесса.

Обычно политика конфиденциальности — это длинные юридические соглашения с подробной информацией. Очень редко пользователи дочитывают их до конца. GDPR требует того, чтобы такой документ был максимально простым, кратким и понятным.

Читайте также: Наземные и онлайн-казино: кто победит?

Несмотря на то что закон был принят совсем недавно, руководство некоторых компаний решило, что соответствовать всем требованиям положений будет крайне сложно. Они просто прекратили свою деятельность. К таковым относятся сайты онлайн-игр Super Monday Night Combat и Loadout. Прежде всего, администрацию компаний напугали предстоящие затраты на изменение проекта для приведения его в соответствие с требованиями нового регламента.

Однако не только порталы компьютерных онлайн-игр попали под удар. Закрылись и сайты, предназначенные для хранения данных пользователей, такие как сервис проверки биографических данных PICOPS.

Серьезно пострадали и рекламные биржи, размещающие онлайн-рекламу по технологии программатик. Крупные компании, такие как Google, ограничили инструментарий для размещения пользователями платформы рекламы.

Читайте также: Регламент GDPR: в каких странах он действует?

Читайте также: GDPR. Как отразится на гемблинг-индустрии?