У п'ятницю, 25 травня, в Євросоюзі набуло чинності нове законодавство про захист даних – так звані Загальні правила захисту даних (GDPR – the General Data Protection Regulation).
Згідно з ним, усі інтернет-сервіси, які працюють на аудиторію в ЄС, зобов'язані змінити умови користування так, аби надати своїм користувачам більше інформації про те, як використовується їхня персональна інформація. Порушникам нових законів загрожують великі штрафи.
Facebook, Google, Instagram і WhatsApp вже отримали перші багатомільярдні позови за невиконання нових правил.
За кілька днів до запровадження GDPR великі соціальні мережі почали повідомляти своїм користувачам про це і попросили підтвердити згоду з новими правилами. У зв'язку з цією вимогою в перший день дії правил (сьогодні) було подано чотири скарги – на Google і їх операційну систему Android, на соцмережі Facebook і Instagram, а також на месенджер WhatsApp. Причина – так звана примусова згода.
Скарги полягають у тому, що компанії толком не пояснили користувачам, у чому полягає суть змін, або просто видавали нові правила GDPR за зміну внутрішніх правил конкретної мережі.
Сума вимог до Google становить 3,7 млрд євро, до решти трьох компаній – по 1,3 млрд євро.
BBC уточнює, як розібратися з листами від соцмереж про зміну умов. Варто шукати у них такі ключові слова:
«Дата-провайдери» (Data providers)
Ця фраза може згадуватися в розділі про те, яку інформацію збирають і як саме. Користувачам радять уважно читати деталі того, які їхні особисті дані збиратимуться третіми сторонами.
«Дані про місцеперебування» (Location data)
Новий закон чітко визначає, що дані місця, які користувач відвідує чи відвідував у минулому, – це його особиста інформація. А значить, сервіси зобов'язані повідомляти, як вони збираються таку інформацію використовувати, зокрема, для ідентифікації конкретних користувачів.
«Акт підтвердження» (Affirmative act)
У випадку, якщо потрібна згода, її слід дати через чітку, однозначну дію. Навʼязливі методи, коли сервіси автоматично вносили користувачів до своєї розсилки, якщо ті не зняли галочку в потрібному місці, тепер поза законом.
«Контролер» (Controller)
Користувачам за межами ЄС слід перевірити, де розташований онлайн-сервіс, яким вони користуються. Facebook нещодавно перевів мільйони своїх користувачів з-під контролю свого ірландського офісу, що означає, що ці користувачі більше не будуть захищатися новими правилами ЄС.
«Цілі» й «Отримувачі» (Purposes and Recipients)
Тут ідеться про те, хто саме користуватиметься вашими даними і з ким вони ними ділитимуться.
Виконувати GDPR повинен будь-який бізнес, незалежно від юрисдикції, в разі, якщо в роботі він використовує дані жителів Євросоюзу, а пряму дію він має в 28 країнах-учасницях. Важлива особливість GDPR полягає в тому, що новий регламент не оперує поняттям «громадянство» і захищає персональні дані всіх осіб, які перебувають на території ЄС.
ОНОВЛЕНО: Як прокоментувала Mind старший юрист ESQUIRES, адвокат Віта Шкарапута, основним декларативним положенням GDPR було посилення захисту персональних даних громадян ЄС.
«Віднині кожний громадянин ЄС має право знати: хто обробляє його персональну інформацію, з якою метою і має право вимагати видалити свої персональні дані (право «бути забутим»)», – підкреслила юрист.
Як вона зазначила, чимало українських компаній підпадає під дію GDPR: компанії, що експортують свої товари та послуги фізичним особам на території ЄС, в тому числі, інтернет-магазини, IT – компанії, що розробляють програмне забезпечення та ін.
«За невиконання положень Регламенту розмір штрафу може сягати 20 млн євро або до 4 % від загального річного обороту компанії за попередній фінансовий рік (залежно від того, яка сума є вищою)», – попередила Шкарапута.
Нагадаємо: незабаром користувачі зможуть самостійно контролювати персональні дані, які збирають технологічні компанії.