ОНОВЛЕНО: Відсьогодні в ЄС діють нові правила - Facebook, Google та Instagram вже «влетіли» на мільярдні штрафи

У п'ятницю, 25 травня, в Євросоюзі набуло чинності нове законодавство про захист даних – так звані Загальні правила захисту даних (GDPR – the General Data Protection Regulation).

Згідно з ним, усі інтернет-сервіси, які працюють на аудиторію в ЄС, зобов'язані змінити умови користування так, аби надати своїм користувачам більше інформації про те, як використовується їхня персональна інформація. Порушникам нових законів загрожують великі штрафи.

Facebook, Google, Instagram і WhatsApp вже отримали перші багатомільярдні позови за невиконання нових правил.

За кілька днів до запровадження GDPR великі соціальні мережі почали повідомляти своїм користувачам про це і попросили підтвердити згоду з новими правилами. У зв'язку з цією вимогою в перший день дії правил (сьогодні) було подано чотири скарги – на Google і їх операційну систему Android, на соцмережі Facebook і Instagram, а також на месенджер WhatsApp. Причина – так звана примусова згода.

Скарги полягають у тому, що компанії толком не пояснили користувачам, у чому полягає суть змін, або просто видавали нові правила GDPR за зміну внутрішніх правил конкретної мережі.

Сума вимог до Google становить 3,7 млрд євро, до решти трьох компаній – по 1,3 млрд євро.

BBC уточнює, як розібратися з листами від соцмереж про зміну умов. Варто шукати у них такі ключові слова:

«Дата-провайдери» (Data providers)

Ця фраза може згадуватися в розділі про те, яку інформацію збирають і як саме. Користувачам радять уважно читати деталі того, які їхні особисті дані збиратимуться третіми сторонами.

«Дані про місцеперебування» (Location data)

Новий закон чітко визначає, що дані місця, які користувач відвідує чи відвідував у минулому, – це його особиста інформація. А значить, сервіси зобов'язані повідомляти, як вони збираються таку інформацію використовувати, зокрема, для ідентифікації конкретних користувачів.

«Акт підтвердження» (Affirmative act)

У випадку, якщо потрібна згода, її слід дати через чітку, однозначну дію. Навʼязливі методи, коли сервіси автоматично вносили користувачів до своєї розсилки, якщо ті не зняли галочку в потрібному місці, тепер поза законом.

«Контролер» (Controller)

Користувачам за межами ЄС слід перевірити, де розташований онлайн-сервіс, яким вони користуються. Facebook нещодавно перевів мільйони своїх користувачів з-під контролю свого ірландського офісу, що означає, що ці користувачі більше не будуть захищатися новими правилами ЄС.

«Цілі» й «Отримувачі» (Purposes and Recipients)

Тут ідеться про те, хто саме користуватиметься вашими даними і з ким вони ними ділитимуться.

Виконувати GDPR повинен будь-який бізнес, незалежно від юрисдикції, в разі, якщо в роботі він використовує дані жителів Євросоюзу, а пряму дію він має в 28 країнах-учасницях. Важлива особливість GDPR полягає в тому, що новий регламент не оперує поняттям «громадянство» і захищає персональні дані всіх осіб, які перебувають на території ЄС.

ОНОВЛЕНО: Як прокоментувала Mind старший юрист ESQUIRES, адвокат Віта Шкарапута, основним декларативним положенням GDPR було посилення захисту персональних даних громадян ЄС.

«Віднині кожний громадянин ЄС має право знати: хто обробляє його персональну інформацію, з якою метою і має право вимагати видалити свої персональні дані (право «бути забутим»)», – підкреслила юрист.

Як вона зазначила, чимало українських компаній підпадає під дію GDPR: компанії, що експортують свої товари та послуги фізичним особам на території ЄС, в тому числі, інтернет-магазини, IT – компанії, що розробляють програмне забезпечення та ін.

«За невиконання положень Регламенту розмір штрафу може сягати 20 млн євро або до 4 % від загального річного обороту компанії за попередній фінансовий рік (залежно від того, яка сума є вищою)», – попередила Шкарапута.

Нагадаємо: незабаром користувачі зможуть самостійно контролювати персональні дані, які збирають технологічні компанії.