Что такое Общее регулирование защиты данных (GDPR)?
Общее положение о защите данных (GDPR) - это правовая основа, которая устанавливает руководящие принципы для сбора и обработки личной информации от лиц, которые проживают в Европейском Союзе (ЕС). Поскольку Регламент применяется независимо от того, где базируются веб-сайты, он должен учитываться всеми сайтами, которые привлекают европейских посетителей, даже если они специально не продают товары или услуги резидентам ЕС.
GDPR требует, чтобы посетители ЕС получали ряд раскрываемых данных. Сайт также должен предпринять шаги для облегчения таких прав потребителей ЕС, как своевременное уведомление в случае нарушения личных данных. Постановление, принятое в апреле 2016 года, вступило в силу в мае 2018 года после двухлетнего переходного периода.
Клиент-сервисные требования ГСДР
Согласно правилам, посетители должны быть уведомлены о данных, которые сайт собирает с них, и явно дать согласие на такой сбор информации, нажав кнопку «Согласен» или другое действие. (Это требование во многом объясняет повсеместное раскрытие информации о том, что сайты собирают «куки» - небольшие файлы, содержащие личную информацию, такую как настройки и предпочтения сайта.)
Сайты также должны своевременно уведомлять посетителей, если какая-либо из их личных данных, хранящихся на сайте, будет нарушена. Эти требования ЕС могут быть более строгими, чем те, которые требуются в юрисдикции, в которой находится сайт.
Также обязательна оценка безопасности данных сайта, и нужно ли нанять специального сотрудника по защите данных (DPO) или существующий сотрудник может выполнить эту функцию.
Информация о том, как связаться с DPO и другими соответствующими сотрудниками, должна быть доступна, чтобы посетители могли пользоваться своими правами на передачу данных в ЕС, в том числе возможность стереть свое присутствие на сайте, помимо других мер. (Естественно, сайт должен также добавлять персонал и другие ресурсы для выполнения таких запросов.)
Другие правила и мандаты Общего регламента защиты данных (GDPR)
В качестве дополнительной защиты потребителей, GDPR также требует, чтобы любая личная информация (PII), которую собирают сайты, была либо анонимной (анонимной, как подразумевает этот термин), либо псевдонимной (с идентификацией потребителя, замененной псевдонимом). Псевдонимизация данных позволяет фирмам проводить более обширный анализ данных, например, оценивать средние коэффициенты задолженности своих клиентов в конкретном регионе - расчет, который в противном случае мог бы выходить за рамки первоначальных целей данных, собранных для оценки кредитоспособности по ссуде.
GDPR влияет на данные, превышающие данные, полученные от клиентов. В частности, возможно, регулирование применяется к кадровым ресурсам сотрудников.
Споры, связанные с GDPR
GDPR вызвал критику в некоторых кругах. Некоторые говорят, что требование назначать ОИ или просто оценивать потребность в них налагает чрезмерное административное бремя на некоторые компании. Некоторые также жалуются, что руководящие принципы слишком расплывчаты в отношении того, как лучше всего обращаться с данными о сотрудниках.
Кроме того, данные не могут быть переданы в другую страну за пределами ЕС, если принимающая компания не гарантирует ту же степень защиты, которую требует ЕС. Это привело к жалобам на дорогостоящие нарушения в деловой практике.
Также существует обеспокоенность по поводу того, что затраты, связанные с GDPR, со временем будут увеличиваться, отчасти из-за растущей необходимости информировать клиентов и сотрудников об угрозах и средствах защиты данных. Существует также скептицизм по поводу того, насколько реально агентства по защите данных в ЕС и за его пределами могут согласовать свои меры по обеспечению соблюдения и толкованию правил, и, таким образом, обеспечить равные условия игры, когда GDPR вступает в полную силу.
