С 25 мая 2018 года в Евросоюзе начнет действовать новый общий регламент по защите данных (General Data Protection Regulation, GDPR). Документ обязывает компании, в том числе и работающие в интернете, предоставить людям новые возможности защищать и контролировать сведения о себе. За нарушение регламента организациям могут грозить штрафы: минимальный — 10 миллионов евро или 2% годового оборота компании, максимальный — в два раза больше. «Медуза» кратко рассказывает о том, какие права и возможности теперь появятся у граждан Евросоюза — и не только.
Нововведения в некоторых случаях защищают права жителей России
Нормы европейского регламента распространяются на так называемые объекты данных. Это всегда конкретные люди. Они получают новые права и возможности по контролю над тем, как компании собирают и обрабатывают их персональные данные.
На вас должны распространяться новые правила:
- Если в момент обработки данных вы находитесь в Евросоюзе. Даже если вы иностранец и прилетели в ЕС на выходные. Российские компании, предоставляющие товары и услуги европейцам, тоже подпадают под действие новых норм.
- Если компания или ее подразделение, работающее с вашими персональными данными, зарегистрированы в Евросоюзе. Например, вы живете в России и покупаете в европейском интернет-магазине какие-то товары или услуги.
Правила на вас не распространяются:
- Если и вы, и компании, которые собирают и обрабатывают ваши персональные данные, находитесь за пределами Евросоюза. Даже если вы гражданин ЕС.
Компании должны объяснить ваши права простым и понятным языком. А уж потом брать согласие на обработку
Мало кто как следует читает договоры, когда хочет получить услугу. Простой пример: почти никто не читает пользовательское соглашение перед тем, как зарегистрироваться в соцсети или подписаться на какой-нибудь сервис. Одна из причин в том, что эти документы часто написаны непонятным юридическим языком. Теперь перед тем, как взять с человека согласие на обработку персональных данных, компании должны будут доступно разъяснить, о чем идет речь, перечислить его права.
Вы можете выяснить, что компания знает о вас и как использует эти данные
В регламенте четко прописано право человека получить от компании подробные сведения о том:
- какие именно данные она собирает о нем,
- в какой форме собираются данные,
- как используются,
- кто имеет к ним доступ,
- используются ли данные для автоматического составления профиля пользователей (например, чтобы потом показывать им таргетированную рекламу),
- по каким критериям определяется, сколько времени эти данные хранятся, и так далее.
Всю эту информацию компания должна предоставить по запросу в течение месяца (трех месяцев в исключительных случаях с объяснением задержки), бесплатно и в удобном формате.
Вы можете отозвать свое согласие на обработку данных в любой момент
И сделать это должно быть так же просто, как и дать согласие на предоставление персональных данных.
Вы сможете требовать удалить или запретить использовать свои персональные данные
Правом на забвение можно будет воспользоваться, если:
- персональные данные уже использовали по назначению и больше они не нужны,
- было отозвано согласие на обработку данных и нет законных преград для их удаления,
- данные собирались незаконно.
Правом на запрет использования можно воспользоваться, если вы, к примеру, собираетесь засудить компанию за нарушение правил обработки персональных данных, но не хотите терять улики. Или до тех пор пока компания не исправит или дополнит ваши персональные данные, если в них содержатся неточности.
Дети могут самостоятельно регистрироваться в интернете только с 16 лет
Если ребенок не достиг этого возраста, необходимо будет заручиться согласием его родителей или законных представителей. Из-за этого некоторые интернет-компании (например, мессенджер WhatsApp) подняли минимальный возраст пользователей в Европе до 16 лет.
Компаниям запретят собирать некоторые виды персональных данных
В общем случае нельзя будет собирать и обрабатывать информацию о:
- расовой или этнической принадлежности,
- политических взглядах,
- исповедуемой религии,
- членстве в профсоюзах,
- состоянии здоровья,
- сексуальной ориентации.
Генетические и биометрические данные нельзя собирать с целью точной идентификации отдельного человека. То есть какая-нибудь кофейня не сможет собирать с чашек образцы ДНК своих посетителей и таким образом отслеживать их предпочтения.
Замалчивать утечки данных будет запрещено
Если произойдет утечка важных персональных данных, вам об этом сообщат и понятным языком объяснят, что произошло. Обо всех серьезных утечках компании должны будут в течение 72 часов уведомлять надзорные инстанции.