17 июня 2018 BitCryptoNews Кронин Олег
В мае 2018 года вступил в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR). Удивительно, какое волнение вызывают эти банальные четыре буквы среди европейских и не только предпринимателей. Более 25% американских компаний планируют покинуть европейский рынок.
Что такое GDPR
Общий регламент по защите данных (далее — GDPR) был принят Европейским парламентом в апреле 2016 года. Новый регламент считается наиболее радикальным изменением условий защиты данных в интернете с 1998 года. Для подготовки к новым условиям бизнесу предоставили два года.
Главная задача GDPR состоит не в ущемлении прав бизнесменов, а в защите частной информации и расширении прав пользователей. Кроме того, регламент должен обеспечить унификацию европейского законодательства о защите данных. Последние скандалы, вызванные массовой утечкой частной информации, стали дополнительным аргументом при ужесточении контроля за сохранностью данных.
Кто должен следовать новым правилам
Если бизнес находится на территории стран ЕС или обслуживает граждан этих стран, следования регламенту необходимы, если компания:
стремится удержать клиентов и увеличить доход;
планирует выходить на европейский рынок;
запускает приложение для распространения на глобальном рынке;
планирует запустить стартап в сфере, имеющей отношение к интернету;
разрабатывает приложения для мобильных устройств и сайтов;
занимается размещением целевой рекламы в социальных сетях;
Изменения, предусмотренные регламентом
По сравнению с действовавшими ранее правилами по защите данных новый регламент предусматривает следующие важные изменения:
расширение понятия персональных данных. Кроме имени, контактных данных, финансовой и медицинской информации, персональными стали считаться IP-адреса, данные о расовом и этническом происхождении, сексуальной ориентации, политических и общественных взглядах;
процедура получения согласия пользователя на обработку данных стала сложнее. Сбор и хранение персональных данных необходимо юридически обосновывать и получать отдельное разрешение на любые процедурные изменения;
расширяются права субъектов данных. Компании должны иметь возможность удаления данных пользователей или передачи их другим сервисам по запросу. Пользователи получают право требования изменений и детальной информации о том, как используются их данные;
компании должны вести документацию по обработке данных, сохраняя информацию о времени получения согласия пользователя, его формулировку, процедуры, обеспечивающие безопасность, и отчеты обо всех действиях с данными;
компании обязаны в течение 72 часов сообщать контролирующим органам и пользователям о несанкционированном доступе к хранящимся у них персональным данным или о любых других нарушениях регламента.
Можно ли игнорировать GDPR?
GDPR
Выполнение требований регламента требует от компаний больших затрат денег и времени, даже несмотря на двухлетний подготовительный период. Эксперты полагают, что к введению новых правил готовы не более 40% из них. Многие надеются на то, что введение новых правил будет постепенным. Однако этим надеждам не суждено сбыться. Европейское Агентство по защите информации ясно дало понять, что контроль будет осуществляться с самого первого дня, а нарушителей регламента ждут огромные штрафы — от €10 до €20 млн или от 2% до 4% годового оборота, в зависимости от того, какая сумма будет больше. Кроме того, начиная с 25 мая пользователи получат возможность подавать судебные иски против нарушителей GDPR и также требовать компенсацию ущерба, нанесенного ненадлежащим обращением с их данными. Помимо финансовых потерь, которыми могут сопровождаться эти иски, существенный урон будет нанесен и репутации компании. Потенциальный ущерб репутации, вызванный несоответствием требованиям GDPR, может быть по тяжести сопоставим с банкротством.
Что делать сейчас?
На первый взгляд требования GDPR кажутся невыполнимыми, особенно если до этого не проводилось никакой специальной подготовки. Однако если посмотреть внимательнее, то можно заметить, что в оставшиеся пару недель для того, чтобы соответствовать главным требованиям регламента, надо сделать лишь 5 главных шагов.
1. Проанализировать данные, с которыми работает компания. Первый шаг к решению проблемы — признание ее наличия. Поэтому изменение процедур обработки данных стоит начать с понимания того, с какими именно данными работает компания. Составьте список всех категорий хранящихся данных. Зафиксируйте места, откуда вы их получаете, как долго храните, как они обрабатываются и с кем вы ими делитесь. Полученная карта должна дать полную картину входящих и выходящих из компании потоков информации и указать на критические точки, которые требуют изменения в соответствии с новыми правилами.
2. Убедиться в том, что компания обрабатывает персональные данные пользователей легально. Если компания в процессе работы передает информацию третьим сторонам, то с ними должен заключаться особый контракт, соответствующий требованиям GDPR. Если это невозможно, то необходимо сменить партнеров. Юридическими основаниями для обработки персональных данных, согласно регламенту, считаются:
наличие ожиданий и потребности со стороны пользователей в обработке их данных. Например, если компания продает билеты на самолет, то пользователи ожидают от нее определенных действий со своими персональными данными. Бизнес-интерес в этом случае не является главным и имеет минимальное значение;
наличие контрактных обязательств по обработке, например, использование куки файлов для отслеживания товаров, добавленных в корзину, при покупке в онлайн-магазинах;
полученное согласие пользователя на хранение и обработку его данных. Это согласие не должно подразумеваться. У пользователя всегда должен быть выбор — давать его или не давать. Поэтому до 25 мая следует подготовить текст, в котором простыми словами будет объясняться, как именно компания использует личную информацию, и предлагать его пользователям для получения согласия.
3. Обновить уведомление о конфиденциальности. Все внутренние и внешние уведомления такого рода должны соответствовать новым правилам, а значит, содержать ответы на следующие вопросы:
какие данные необходимы компании;
как они будут обрабатываться;
на каком легальном основании происходит обработка;
как долго данные будут храниться;
как пользователи смогут реализовать свои права.
4. Разработать и внедрить способы защиты пользователями своих прав. Компания должна иметь для этого работающие инструменты, в том числе шаблон запроса пользователя на предоставление информации о способах обработки данных. Кроме того, необходим специальный сервис, который будет удалять данные по запросам, а также отвечать на обращения пользователей в течение 30 дней.
5. Модернизировать систему, отвечающую за безопасность обрабатываемых данных. Компания должна иметь оперативно работающую систему оповещения о нарушениях безопасности, а сотрудники — пройти обучение по вопросам противодействия угрозам безопасности данных.
data protection
Как новый Регламент повлияет на онлайн-маркетинг
Всякий раз, когда вы осуществляете в сети маркетинговые операции, следует помнить о различиях между контроллерами и процессорами данных (data controllers и data processors), предусмотренных новыми правилами. Как контроллер компания ответственна за сбор данных, их хранение и использование. Если вы пользуетесь Google AdSense или сервисами Facebook, то они будут считаться процессорами данных, обрабатывая их от вашего имени, а вы — контроллерами. Большинство этих сервисов соответствует правилам GDPR, однако в некоторых случаях следует проводить дополнительную проверку. Например, если вы загружаете на сервис данные о потребителях, то должны уведомить их об этом и получить от них отдельное согласие на такую операцию. Если вы пользуетесь Google AdSense для того, чтобы использовать свой сайт для получения дохода, необходимо заручиться согласием пользователей на просмотр целевой рекламы, что в большинстве случаев нереально. Некоторые эксперты считают, что AdSense часто самостоятельно расширяет список демонстрируемой рекламы, тем самым снижая цену отклика.
Смогут ли пользователи манипулировать бизнесом
Многие бизнесмены опасаются введения регламента, считая, что он предоставляет пользователям широкие возможности влияния на процедуры обработки данных, ограничивая свободу и возможности принятия решений. Некоторые компании начали даже продавать свои данные крупным операторам, для того чтобы не иметь отношения к их обработке. Они не хотят хранить и обрабатывать полученные данные, а планируют брать их «в аренду» при необходимости, подобно тому, как это делают компании, занимающиеся интернет-рассылкой. Однако такие решения в большинстве случаев не являются рациональными.
GDPR
Несмотря на кажущуюся сложность подготовки к введению новых правил, стоит иметь в виду, что GDPR разработан не для того, чтобы осложнить жизнь предпринимателям, а для того, чтобы в первую очередь защитить интересы пользователей. Для этого все операции компании с персональными данными должны быть прозрачными и осуществляться с согласия предоставляющих их людей.
Утверждения о том, что GDPR разрушит онлайн-маркетинг, кажутся лишенными оснований, поскольку главным следствием введения регламента должно стать повышение доверия пользователей, которое благоприятно скажется на степени их лояльности и тем самым укрепит отношения между клиентом и компанией, а значит, будет способствовать развитию бизнеса.
https://bitcryptonews.ru/ (C) Источник
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Отправить жалобу