Дмитрий Корчинский, спикер нашего курса GDPR и защита персональных данных, который начнется 7 апреля 2020 года, поделился своими мыслями по поводу преимуществ и недостатков внедрения GDPR в Украине.
Что такое GDPR?
Общий регламент о защите данных, или GDPR, – это регламент ЕС, который ужесточает регулирование в сфере персональных данных. Согласно ему, любая информация, которая может быть использована для идентификации человека, считается персональными данными.
Регламент действует на территории Европейской экономической зоны (ЕЭЗ), в которую входят страны ЕС, а также Норвегия, Исландия и Лихтенштейн. В Украине GDPR распространяется на те бизнесы, которые обслуживают клиентов из ЕЭЗ, имеют сайт на английском или любом другом языке ЕС, а также предлагают возможность оплаты одной из валют Европейского союза.
GDPR не убережет от утечки персональных данных, ведь она может произойти из-за хакерской атаки и чьей-то ошибки. Но полное соответствие правилам регламента минимизирует такую возможность.
Ответственность за нарушение
За несоответствие GDPR компанию могут оштрафовать или заблокировать работу на территории ЕЭЗ. Если нарушение очень серьезное, страна может установить криминальную ответственность. Также разрешено лишать прибыли, полученной в результате нарушения GDPR.
Если европейский пользователь считает, что его информацию обрабатывают с нарушением GDPR, он может подать иск на нарушителя в национальный суд своей страны.
Размер штрафа зависит от величины ущерба и субъективной оценки независимого органа, который следит за выполнением GDPR. Максимальный порог штрафов — 20 млн евро или 4% годового оборота компании. Выбор делают в пользу большей суммы.
Пока случаев нарушения GDPR в Украине не было. Но в ЕС уже выписали первые штрафы. Самый маленький – 4,8 тыс. евро за незаконную деятельность по видеонаблюдению в Австрии. А самым большим до недавнего времени оставался штраф в 400 тыс. евро, который был наложен на больницу после того, как сотрудники незаконно получили доступ к данным пациентов.
21 января Google был оштрафован на 50 млн евро французским регулятором.
Среди основных причин:
- не была предоставлена информация о целях сбора и хранения данных;
- пользователей некорректно уведомляют о том, что данные собирают;
- компания некорректно получает согласие на сбор данных.
Пока, это самый большой штраф по GDPR и первый серьезный «звоночек» для международного бизнеса.
Как соответствовать GDPR?
GDPR не устанавливает четких требований к техническим мерам защиты. Они лишь должны соответствовать принятым в индустрии нормам.
Сайты и приложения публикуют обновленные политики конфиденциальности. Некоторые нанимают специалиста по защите данных. Компания может справиться сама, однако в отдельных случаях закон требует назначение такого сотрудника.
Мифы о GDPR
Миф №1. Со вступлением GDPR в силу нельзя проводить фото- и видеосъемку в публичных местах. Например, украинский турист поехал в Париж и ему запрещено выкладывать в общий доступ фото, где видно других людей.
Факт. GDPR не запрещает обработку данных для личных, «домашних» целей.
Миф №2. На мой полностью украино-русскоязычный сайт зашел пользователь из ЕЭЗ и оставил свои данные. Теперь я должен полностью удалить его из базы и заблокировать доступ.
Факт. Нет, GDPR распространяется, если вы целенаправленно ориентируетесь на рынок ЕЭЗ. Если пользователь из ЕЭЗ случайно «загулял» на ваш сайт, то это не будет запускать GDPR-механизм. Однако если вы планируете размещать на сайте информацию на широко распространенных в ЕЭЗ языках, а также указывать цены в валютах ЕЭЗ, то попадаете в зону риска.
Миф №3. Если у меня в базе данных есть 1 клиент-европеец, и я активно предоставляю ему услуги, но не соответствую GDPR, мне выпишут штраф в 20 млн.
Факт. Если этот клиент попал к вам в результате вашего присутствия в ЕЭЗ, то технически GDPR на вас распространяется. Даже если это единственный европеец в базе данных. Но вероятность того, что вас оштрафуют за нарушение, ничтожно мала.
Миф №4. Если купить базу данных европейцев и при этом соблюдать правила GDPR, то такая обработка будет законной.
Факт. Покупка базы данных и активное ее использование без предварительного уведомления пользователей и без получения их согласия не попадает под определение «честная и прозрачная» обработка данных. Следовательно, такое действие может повлечь за собой как финансовые, так и репутационные потери.
Плюсы и минусы внедрения GDPR для бизнеса
Плюсы. GDPR пропагандирует честность, законность и прозрачность при обработке данных. Значит, компании могут повысить доверие со стороны клиентов. Бизнесы, которые не соответствуют GDPR, рискуют не только получить штрафы, но и потерять клиентов.
Минусы. Внедрение GDPR требует времени и денег. А некоторые его проявления на первых этапах это могут отпугнуть отдельных клиентов. Например, изменения на сайте или в других промо материалах, при помощи которых собираются данные, добавляют еще один шаг на пути пользователя. Следовательно, конверсия может снизиться.
Больше информации про особенности внедрения GDPR в Украине вы сможете узнать на нашем новом онлайн-курсе GDPR и защита персональных данных.
Переходите по ссылке, узнавайте полную программу, спикеров и регистрируйтесь!
Читайте также: Как удалить свои данные в интернете и зачем нам GDPR