Зміст:
Відео: GDPR на русском. Основные принципы и права пользователей (Листопад 2024)
На сьогодні ви вже точно чули про GDPR, що є загальним Положенням про захист даних Європейського Союзу (ЄС). GDPR був прийнятий для захисту особистої інформації європейських користувачів від несанкціонованого розголошення та нецільового використання. Таким чином, GDPR встановлює дуже жорсткі обмеження щодо того, де можуть зберігатися дані громадян ЄС, як вони можуть бути використані, як довго вони можуть зберігатися та як захищаються.
Це означає, що вам може бути краще забути про європейський бізнес на деякий час, якщо ви не впевнені, що можете дотримуватися цих правил. В ЄС є чудовий веб-сайт, який пояснює процес. Якщо ви плануєте вести бізнес у Європі, вам та вашим ІТ-людям потрібно прочитати цей веб-сайт.
Але якщо ви велика компанія, яка вже займається бізнесом в ЄС, швидше за все, ви вже добре знаєте вимоги, і, напевно, ви вже на шляху до того, щоб мати можливість дотримуватися правил.
Але припустимо, ви не одна з таких організацій? Що ж, шанси на те, що GDPR все ж впливає на вас. Вам потрібно буде сісти і подивитися на свою ситуацію, щоб переконатися. Ось короткий погляд на основні речі, які вам потрібно врахувати.
Операції та захист даних
Спочатку подивіться на свої операції. Чи орієнтуєтесь ви на будь-який вид маркетингових зусиль, незалежно від того, наскільки вони малі, для громадян ЄС? Це може бути настільки ж простим, як версія веб-сайту європейською мовою або можливість приймати платежі в європейських валютах. Або ви збираєте будь-які особисті дані з будь-якою метою, навіть якщо це не для фінансової операції?
Це не означає, що ви орієнтуєтесь на європейців, якщо вони знайдуть ваш веб-сайт із США та купують щось продане в доларах США. Але навіть тоді потрібно бути уважним, що ти робиш із даними та як довго їх зберігаєш. Але якщо ви розраховуєте регулярно продавати європейським покупцям, то, можливо, буде корисно знайти європейську компанію, яка б там обслуговувала ваші рахунки.
Тим часом, якщо ви думаєте, що є ймовірність, що ви, в кінцевому підсумку, матимете справу з громадянами ЄС, тоді було б непогано дотримуватися правил щодо захисту та розкриття даних.
Правила захисту даних означають, що вам потрібно захистити дані громадян ЄС від втрат, крадіжок або розголошення. Ви також повинні позбутися даних, як тільки зможете. І якщо якісь дані громадян ЄС будуть порушені, ви маєте через 72 години повідомити про це європейські органи влади.
Вам також потрібно розкрити, як ви плануєте використовувати дані та як довго ви їх зберігаєте. Розкриття інформації повинно бути чітко і просто заявлено, і громадянин ЄС повинен мати можливість погодитися чи не погодитися. І про розкриття слід пам’ятати про деякі речі: ви не можете мати попередньо встановлені прапорці за замовчуванням, і ви не можете використовувати ці щільні, нескінченні юридичні документи «Термін та умови» як своє розкриття.
Громадянин ЄС може вирішити не погоджуватися з вашим розголошенням, і їм повинен бути спосіб сказати "ні". Однак якщо інформація, яку ви запитуєте, необхідна для надання товару або послуги (наприклад, номер кредитної картки або адреси доставки), вам не доведеться продавати товар.
Зауважте, що правила поширюються на обидві сторони після закінчення транзакції, тобто ви та компанія, що продає кредитну картку. Якщо ви плануєте продавати речі європейцям, вам слід підтвердити, що ваш процесор кредитних карток буде дотримуватися правил GDPR для клієнтів ЄС.
Право бути забутим
І, звичайно, є відоме «право бути забутим». Ви повинні мати змогу видалити ім'я та особисту інформацію будь-якого громадянина ЄС за запитом. Це означає з будь-якого місця, в тому числі резервного копіювання, де ця інформація може мати місце для проживання. Це вимагає, щоб ви стали знати про те, де є ваші дані та що в них, що ви, мабуть, зараз не можете зробити.
Право бути забутим є обмеженнями. Наприклад, якщо вам потрібно зберегти деякі дані, наприклад, відповідати вимогам Закону про переносимість та підзвітність медичного страхування (HIPAA) або Комісії з цінних паперів та обмін цінних паперів (SEC), вам доведеться відповідати законодавчим вимогам. Але крім цього, ви маєте змогу видаляти такі особисті дані за запитом.
Якщо все це виглядає як біль у шиї, то ви можете мати рацію. Або ви можете розглянути вимоги ЄС щодо GDPR як можливість упорядкувати свої операції з безпеки в повному обсязі. Наприклад, якщо ви зберігаєте та керуєте всіма вашими даними таким чином, щоб вони відповідали вимогам GDPR, ви матимете набагато більш безпечну роботу.
Так само, якщо ви скинете ці довгомотивні документи, що не можуть прочитати "Загальні положення та умови", і заміните їх чіткими заявами про наміри і попросите згоди, то ваші клієнти це оцінять. Крім того, якщо ви перестаєте зберігати дані, які вам насправді не потрібні, але від них потрібно захистити, то ваше життя спрощується, а ризик від порушення зменшується, оскільки хакери не можуть вкрасти те, що там немає.
Реально, GDPR кодифікує, що є справді найкращими методами для того, як ваша організація обробляє дані інших людей. Пошук способу дотримання цих правил допоможе вашій організації в цілому.