Что такое GDPR и с чем его едят?

GDPR (General Data Protection Regulation)

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) – это новый регламент ЕС о защите персональных данных, формирующий обязательные к соблюдению единые принципы и подходы как для государств-членов ЕС, так и для некоторых иных государств (Исландия, Лихтенштейн, Норвегия).

19.04.2018 проведена гармонизация прочтения некоторых положений GDPR на разных языках ЕС.

Некоторые факты:

• вступил в силу 25.05.2018

• заменяет собой Директиву 95/46/EC от 24.10.1995

• гармонизирует правотворчество и правоприменение

• действует не только в ЕС, но и в иных странах, которые осуществили имплементацию норм GDPR – Норвегии, Лихтенштейне, Исландии в рамках Европейской ассоциации свободной торговли (за исключением Швейцарии)

• локальный надзор осуществляется национальными органами стран-участниц Евросоюза по защите данных (Data Protection Authorities)

• общий надзор осуществляется Европейским советом по защите данных (European Data Protection Board)

• непосредственно применяется национальными судами государств-членов ЕС и Судом справедливости Евросоюза (European Court of Justice)

*** Краткий обзор на GDPR

- действия организаций направлены на ЕС

Под действие Европейского регламента о персональных данных (GDPR) могут подпасть в том числе компании, которые учреждены и находятся за пределами Евросоюза, если, в частности, они (п. п. 23, 24 Преамбулы Регламента):

1) обрабатывают данные граждан ЕС, предлагая им свои товары или услуги (в том числе бесплатно).

Так, если вы не знаете, какое гражданство у лиц, которым вы предлагаете свои товары или услуги, учтите, что будет предполагаться, что среди них есть граждане ЕС, если вы одновременно:

- используете язык или валюту, распространенную в одном или нескольких государствах ЕС;

- даете возможность заказать товар или услугу на данном языке либо упоминаете покупателей или пользователей, находящихся в Евросоюзе (например, указали на сайте, что товары или услуги предлагаются гражданам ЕС);

2) обрабатывают данные в целях мониторинга поведенческой активности граждан ЕС. В частности, если они отслеживают деятельность гражданина в Интернете, чтобы, к примеру, составить его профиль для анализа или прогнозирования его личных предпочтений.

- основные субъекты: субъекты персональных данных (Data Subjects), контроллеры (Data Controllers), операторы (Data Processors), надзорные органы (Supervisory Authority)

- персональные данные делятся на идентифицирующие и неидентифицирующие

- чувствительная информация: религия, политика, секс, раса, этническое происхождение, генетика, биометрия, здоровье, членство в профсоюзах

- сбор/обработку персональных данных должен осуществлять по определенным правилам

- на сбор/обработку персональных данных должно быть получено согласие

- хранение персональных данных должно быть безопасно и не "сливаться"

- Data Protection Officer (DPO) – это сотрудник в штате или на аутсорс, который помогает компании внедрить и/или поддерживать систему по защите персональных данных согласно GDPR. В ст. 37 Европейского Регламента подробно описывается, в каких случаях назначение DPO в штат обязательно

- процедура DPIA (DATA PROTECTION IMPACT ASSESSMENT) дает возможность определить потенциальные угрозы и запланировать меры для защиты компании от рисков, которые могут возникнуть в процессе работы с персональными данными

- Data protection by design and default - по сути, это означает, что вы должны интегрировать или «включить» защиту данных в свою деятельность по обработке данных и бизнес-практику, начиная со этапа проектирования и заканчивая жизненным циклом.

- прозрачность обработки персональных данных

- возможность субъекта отказа от обработки

- уведомление надзорного органа о фактах нарушений, взломов и т.д.

- обязательные корпоративные правила / binding corporate rules (BCR) — это политика защиты данных, которой придерживаются компании, созданные в ЕС, для передачи персональных данных за пределы ЕС в рамках группы предприятий или предприятий.

- оборотные штрафы для компаний, которые нарушают работу с персональными данными

*** Механизмы GDPR, на которые стоит обратить особое внимание

Legitimate Interests Assessment (Art.6) – Оценка сбалансированности законных интересов субъекта и контролера

Privacy Notices (Art.12-14) - Предоставляемая информация при сборе персональных данных

Right To Be Forgotten (Art.17) - Право на удаление данных («право на забвение»)

Right To Data Portability (Art.20) - Право на переносимость данных

Automated individual decision-making, including profiling (Art.22) - Автоматизированное индивидуальное принятие решений, включая составление профиля

Data Protection By Default (Art.25) - Защита данных по умолчанию

Data Protection By Design (Art.25, 32) – Проектируемая защита данных

Representatives of Non-EU Controllers or Processors (Art.27) - Представители контролеров или обработчиков, не учрежденных в Евросоюзе

Personal Data Breach Notification (Art.33) - Уведомление надзорного органа об утечке персональных данных

Personal Data Breach Communication (Art.34) - Сообщение субъекту данных об утечке персональных данных

Data Protection Impact Assessment1 (Art.35) - Оценка воздействия на защиту данных

Prior Consultation (Art.36) - Предварительная консультация

Data Protection Officer (Art.37-39) - Назначение на должность инспектора по защите персональных данных

Data Protection Certification (Art.42) - Сертификация

One-Stop-Shop Supervisory Mechanism (Rec.127-128) - Сотрудничество между руководящим надзорным органом и заинтересованными надзорными органами («механизм единого окна»)

*** База с «тёмными» паттернами

Тёмный паттерн (англ. dark patterns) — это пользовательский интерфейс, который заставляет вас делать то, чего обычно вы бы не сделали.

Например, подписаться на рассылку, купить премиум- версию программы вместо пробной или нажать на уведомление.

Интерфейсы и информация, предоставляемая пользователям, всегда должны точно отражать последствия предпринятых ими действий и соответствовать пользовательскому опыту.

Необходимо использовать добросовестный подход к проектированию пользовательских интерфейсов, чтобы пользователи осознавали риск своих действий в отношении собственных данных и конфиденциальности.

09.08.2023 исполнительный директор Управления комиссара по информации (ICO) по регуляторным рискам опубликовал совместное сообщение со старшим директором отдела цифровых рынков Управления по конкуренции и рынкам (CMA), в котором объявил о выпуске совместного документа ICO-CMA о вредном дизайне на цифровых рынках. Документ адресован веб-дизайнерам, разработчикам и организациям, создающим веб- сайты.

В частности, использование в веб-дизайне формулировок, предполагающих правильное или неправильное решение в отношении политики конфиденциальности или упрощение определенных вариантов, чтобы склонить пользователя к выбору того или иного варианта, может нарушать законодательство о защите данных. Кроме того, такие методы дизайна вызывают опасения с точки зрения потребительского и антимонопольного законодательства.

Федеральная торговая комиссия США (FTC) выпустила отчёт по тёмным паттернам — это методы проектирования пользовательских интерфейсов, которые используются в попытке склонить пользователя к действиям, которые он считает нежелательными.

Как пример — непримечательная галочка в форме, которая приводит к покупке ненужной дополнительной услуги или передаче пользовательских данных. Намеренно спрятанная за десятью кликами кнопка отписки от сервиса тоже является тёмным паттерном.

В общем, запутать пользователя и повысить конверсию/понизить отток стремятся все, а в FTC предприняли попытку придать все эти трюки таксономии и регуляции, оставив чёткий посыл всем growth-хакерам — «we will continue to take action».

ТГ-канал: t.me/abordage_law

Источник: vk.com

Комментарии: