GDPR (Общий регламент про защиту данных) – имитация или compliance?

Еще до того, как GDPR вступил в силу, многие компании активно готовились к его приходу и разрабатывали политики, согласия и процедуры в соответствии с новым Регламентом про защиту данных.

GDPR (часто ищут как GDRP, что не удивительно) это отражение новых Европейских тенденций в защите персональных данных. Множество инноваций связано с такими правами субъектов данных, как право на мобильность данных, право на защиту от автоматизированных решений и направлены на обеспечение реальной, а не декларативной безопасности.

Отдельного внимания заслуживает должность офицера по защите данных. DPO (Data protection officer) это работник или привлеченный специалист, который назначается компанией с целью обеспечения законности обработки персональных данных и наделен соответственными полномочиями.

А еще, не стоит забывать о новом алгоритме, связанном с оценкой рисков при обработке персональных данных. DPIA (Data protection impact assessment) это процедура, целью которой является определение возможного влияния обработки персональных данных на состояние защиты персональных данных субъектов данных. Проведение такой процедуры регламентировано статьей 35 GDPR.

Столько интересного, но начать стоит с базисов.

Что такое персональные данные в соответствии с General data protection regulation?

Разберем 3 примера от Information Commissioner’s officer :

• Трекинг с использованием

В рамках веб-сайтов происходит отслеживание действий пользователя, и происходит создание профиля пользователя в соответствии с онлайн идентификаторами.

Примером может быть использование cookie ID для отслеживания поведения пользователя на разных веб-сайтах и «обогащение» его профиля новой информацией о его действиях. В этом случае, конечно же, имеем дело с персональными данными.

• Считывание лица с единой целью – идентифицировать субъекта.

Имеет место запись индивидуальных особенностей лица субъекта данных с целью в дальнейшем иметь возможность отделить его от других субъектов. Обработка персональных данных? Да.

• Никнейм как персональные данные.

Социальная сеть предлагает пользователям регистрацию под вымышленными именами – никнеймами, которые могут показаться анонимными. С одной стороны – наличие информации, что пользователь «Белый Вепрь» зарегистрирован под таким ником, может показаться незначительной и такой, что не предполагает обработку его персональных данных. Однако, этот никнейм становиться онлайн – идентификатором в рамках GDPR, который позволяет отделить этого пользователя от других и, соответственно, такой никнейм будет персональными данными.

Интересно, не правда ли? Можно прийти к выводу, что главным критерием для определения, является ли какая-либо информация персональными данными будет возможность отделить конкретного субъекта от других субъектов с использованием онлайн и/или офлайн идентификаторов.

Экстерриториальность GDPR – где бы ты не был, будь добр быть в compliance

Говорят, что весь мир должен соблюдать требования General Data protection regulation. Говорят, что, если Ваша сосисочная с digital хот-догами находиться на Марсе и Вы продаете хот-доги европейцам, спрашивая: «Вам с кетчупом или с горчицей?», необходимо вручать privacy notice и брать согласие на обработку персональных данных.

Это не совсем так. С другой стороны, если у Вас есть веб-сайт, ориентированный на ЕС, на котором Вы будете завлекать посетить Вашу сосисочную, предлагать цены в Евро и мониторить поведение субъектов персональных данных – готовьте пакет документов под GDPR.

Не стоит забывать, что, если Ваша компания зарегистрирована в ЕС, подготовку к GDPR сразу стоит включать в план работ. При этом, если персональные данные субъектов из ЕС планируете передавать за пределы Европейского Союза, рекомендуем почитать о странах с надлежащим и ненадлежащим уровнем защиты персональных данных.

Специфика General data protection regulation для разных индустрий

Представим, что Вы подаете заявку на получение онлайн-кредита. Компания проводит «скоринг» Вас как потенциального должника на предмет шансов получить выдаваемые средства обратно вместе с процентами.

Да, вы предоставляете информацию о своих доходах, месте работы, но, вместе с тем, компания анализирует Вашу гео-локацию, перечень магазинов, где вы делаете покупки и другие персональные данные, что позволяет сделать Ваш профиль и «отправить Вас в определенную категорию».

На основе того, что большинство людей, которые делают покупки в магазинах определенного типа имеют высокую степень невозврата кредита, «машина» Вам отказывает.

Насколько это законно в контексте GDPR? Специфики защиты персональных данных финансовыми компаниями в рамках нового регламента действительно много и очень важно в отношениях с пользователями и клиентами обеспечить прозрачность, в том числе – относительно алгоритма принятия решений.

Возьмем другой пример – GDPR в отельном бизнесе. Например, отель 5 лет хранит информацию о том, какая мягкость подушек Вам по душе или о Ваших предпочтениях на завтрак. При этом, эти данные Вы небрежно сообщили персоналу отеля и забыли об этом. В результате – получаем целый профиль, и, соответственно – персональные данные.

Игра в имитацию compliance с GDPR. Насколько высоки ставки?

Рынок часто диктует тренды. Многие компании делают стандартные cookie policy, privacy policy и на этом закрывают вопрос с GDPR. На долго ли и какой ценой – совсем другой вопрос.

Некоторые организации могут получать согласие «в одну галочку» сразу на 10 целей в уже заполненной форме и запретом воспользоваться сервисом при отказе рассказывать story of your life, хотя для получения самой услуги, в этом нет необходимости.

Уже имеют место быть первые штрафы за нарушение и несоблюдение норм GDPR.

При подготовке Вашей компании к GDPR необходимо учитывать сферу деятельности, юрисдикцию и специфику обработки персональных данных именно в Вашем кейсе.

Не имитируйте compliance. Будьте надежным партнером для Ваших пользователей.