Эпоха GDPR: што гэта такое і як гэта тычыцца беларусаў?

  GDPR – назва рэгламенту, які пачаў дзейнічаць як новы стандарт аховы персанальных дадзеных у краінах Еўрасаюза з 25 траўня.

  Гэты дакумент зараз будзе вызначаць фармат працы дзяржаўных органаў, кампаній і арганізацый з персанальнымі дадзенымі кліентаў і карыстальнікаў паслуг.

  Пад дзеянне рэгламенту трапляюць не толькі еўрапейскія кампаніі, але ўсе, хто мае хоць якое дачыненне да персанальных дадзеных жыхароў ЕС.

  GDPR не распаўсюджваецца на выкарыстанне звестак з бытавымі або асабістымі мэтамі. Гэта значыць, што твая запісная кніжка ў тэлефоне не будзе пакутаваць ад наяўнасці ў ёй нумароў грамадзян(-ак) Еўрасаюза. І фатаграфіі з адпачынку можна публікаваць, нават калі на іх прысутнічаюць выпадковыя мінакі з еўрапейскіх краін.

  Журналістаў GDPR таксама не тычыцца: можаш свабодна гаварыць з грамадзянамі(-камі) ЕС і не баяцца, што цябе прыцягнуць да адказнасці за распаўсюд іх асабістых дадзеных.

  Насамрэч спіс даволі шырокі. Галоўны крытэр – дадзеныя лічацца персанальнымі, калі ў іх прама ці ўскосна можна даведацца пра асобу чалавека.

  Цяпер гэта не толькі імя, прозвішча, банкаўскія дадзеныя і пошта, а таксама файлы cookie, дадзеныя сістэм інтэрнэт-статыстыкі, фоткі прафайлаў, інфармацыя пра заробак, медыцынскія звесткі, нават культурніцкая, эканамічная, сацыяльная і сэксуальная ідэнтычнасць.

  Празрыстасць, справядлівасць і законнасць: усе кампаніі павінны даступнай мовай тлумачыць сваім карыстальнікам(-цам) і кліентам(-кам), навошта яны збіраюць дадзеныя і як менавіта збіраюцца іх выкарыстоўваць.

  Абмежаванне мэтаў: калі мэта збору дадзеных змянілася, але дадзеныя працягваюць выкарыстоўваць, – гэта парушэнне.

  Мінімум дадзеных: запрошваць можна дадзеныя толькі ў аб’ёме, дастатковым для дасягнення мэтаў, прасіць залішняе – нельга. Пагадзіся, будзе дзіўна, калі сэрвіс таксі будзе прасіць, акрамя неабходнай геалакацыі, яшчэ і, напрыклад, месца тваёй працы.

  Кіраванне дадзенымі: ты як карыстальнік(-ца) любога сэрвісу можаш напісаць адміністрацыі з патрабаваннем прадастаўлення копіі ўсёй персанальнай інфы, якая ёсць у сэрвісе на цябе. У 30-дзённы тэрмін адказ павінен дайсці. Цяпер магчыма і болей: ты можаш патрабаваць выдаліць усю інфармацыю пра сябе без права на аднаўленне! Таксама з’явілася права на перанос дадзеных з аднаго сэрвісу ў іншы: напрыклад, можна будзе змяніць мадэль фітнэс-трэкера і забраць гісторыю дадзеных з сабой на іншую платформу.

  Абмежаванне захоўвання: тэрмін захоўвання дадзеных павінен супадаць з тэрмінам дасягнення мэтаў кампаніі. Напрыклад, авіяперавозчык, якому ты даеш свае імя і прозвішча для афармлення квітка, у тэорыі павінен выдаліць гэтыя дадзеныя, як толькі паслуга па перавозцы была зроблена.

  Бяспека захоўвання: нельга перадаваць дадзеныя трэцім асобам. А ў выніку «зліву» паведамляць пра гэта трэба цягам трох дзён, а не хаваць такую інфу цягам года, як Uber, напрыклад.

Што гэта значыць для жыхароў ЕС?

Зараз любы(-ая) жыхар(-ка) альбо рэзідэнт(-ка) ЕС могуць запрашваць у кампаній абсалютна любыя звесткі пра тое, якімі персанальнымі дадзенымі тыя валодаюць, як іх выкарыстоўваць і з якой мэтай, якім іншым кампаніям альбо асобам перадаюць, як доўга будуць выкарыстоўваць і г.д.

Акрамя гэтага, можна прасіць перастаць апрацоўваць твае персанальныя дадзеныя і выкарыстаць сваё right to be forgotten ці right to erasure – права ўвогуле выдаліць усе звесткі пра цябе

А мне што рабіць?

  Напэўна, ты і сам(-а) ужо заўважыў(-ла), што ўсе любімыя сайты і сэрвісы дасылаюць табе лісты альбо проста push-паведамленні пра тое, што яны цяпер таксама абнавілі свае terms of use. Дык вось, калі ты прадстаўляеш ці маеш кампанію, што хаця б якім чынам працуе з персанальнымі дадзенымі, то таксама раім звярнуць на гэта ўвагу. Для пачатку варта хаця б падрабязна прапісаць, якую інфу пра карыстальнікаў(-ц) вы збіраеце, навошта гэта робіце і як яе выкарыстоўваеце.

  Асаблівую ўвагу раяць звяртаць на саму форму згоды з апрацоўкай персанальных дадзеных. Ты ведаеш, што звычайныя шматстаронкавыя пагадненні юзеры звычайна не чытаюць, а таму амаль несвядома пагаджаюцца невядома на што. Таму такія формы пагадненняў варта рабіць «чалавечымі» і чытэльнымі: як мінімум акцэнтаваць увагу на асноўных момантах.

  Большасць зменаў у працы глабальных сэрвісаў ужо адбылася, бо кампаніі мелі два гады на падрыхтоўку, таму для звычайнага карыстальніка пераход адбудзецца амаль незаўважна. Горш будзе тым кампаніям, якія толькі пачалі задумвацца пра прыватнасць карыстальнікаў.

Як гэта тычыцца Беларусі?

  У некаторых выпадках пад дзеянне GDPR падпадаюць і беларускія кампаніі. Неабавязкова мець філіял у Еўропе – новыя правілы датычацца ўсіх, хто працуе з дадзенымі рэзідэнтаў(-к) ЕС. Асноўны крытэр – праца з дадзенымі еўрапейцаў, якія (дадзеныя, а не еўрапейцы) могуць быць атрыманыя і праз інтэрнэт.

  Разбярэм на канкрэтным прыкладзе. Ты вырашаеш працаваць наўпрост з еўрапейскім рынкам, заводзіш сабе старонку ў сеціве з каталогам прадукцыі і праплачваеш таргет на еўрапейскіх карыстальнікаў(-ц). У такім выпадку ты абавязаны(-ая) выбудаваць працэсы гандлю згодна з новым рэгламентам. То-бок прапісаць у карыстальніцкім пагадненні на сайце, для якіх мэтаў і якую інфу ты збіраеш.

  Канешне, пакуль складана ўявіць, як, напрыклад, будзе весці сябе ЕС у выпадку парушэння замежнай кампаніяй (у нашым выпадку – беларускай) рэгламенту, але ідэі ёсць: ад блакавання сайта да забароны экспарту пэўных тавараў. Але натуральна, неяк судова пакараць кампанію, асабліва праз беларускую сістэму, будзе складана.
На дадзены момант GDPR будзе перадусім актуальны для супрацоўнікаў IT-індустрыі. Бо тыя, хто распрацоўваюць софт ці маюць доступ да баз дадзеных еўрапейскіх кампаній, абавязкова павінны адпавядаць новаму рэгламенту.

  Падсумоўваючы, скажам так: калі ты хоць якім чынам працуеш з дадзенымі жыхароў ЕС – рыхтуйся забяспечваць іх правы згодна з GDPR.

Што будзе, калі парушыць GDPR?

  За менш сур’ёзнае парушэнне рэгламенту плануецца штраф у памеры да 10 мільёнаў еўра або 2% гадавога абароту кампаніі – у залежнасці ад таго, якая лічба пераважае. За больш сур’ёзныя парушэнні штрафы дасягаюць аналагічна 20 мільёнаў ці 4%.

  Падрабязней глядзі тут. 

  Натуральна, рэалізацыя такіх пакаранняў на тэрыторыі Беларусі альбо Расіі пакуль складана ўяўляецца, але гэта як мінімум можа стаць праблемай для міжнароднага бізнэсу ці сігналам для праверкі кампаніі лакальнымі кантралюючымі органамі.

А што яшчэ адбываецца ў Беларусі з персанальнымі дадзенымі?

  Ідзе праца па падрыхтоўцы закона аб ахове персанальных дадзеных. Здавалася б, ужо нядрэнна. Але гэта закон папярэдняга пакалення – ён яшчэ не ўлічвае тыя «навінкі», якія ёсць у GDPR: павялічаныя правы карыстальнікаў(-ц), права на забыццё і гэтак далей.

  Істотная праблема, якую бачаць праваабаронцы, – адсутнасць незалежнага кантралюючага органа, што будзе адсочваць выкананне закона, як ва ўсіх еўрапейскіх краінах. Гэтае пытанне яшчэ на разглядзе, і ёсць верагоднасць з’яўлення адмысловага беларускага агенцтва па абароне персанальных дадзеных.

  Гэта зможа вырашыць адразу шэраг праблем, але ў перспектыве мы ўсё роўна мусім рухацца ў бок прыняцця чагосьці падобнага да GDPR.

  Законапраект будзе гатовы восенню 2018-га і, спадзяемся, у хуткім часе прыняты.

Што яшчэ пачытаць?

  Поўны пераклад GDPR на рускую з каментарамі.

  Інфаграфіка па новых правілах ад Еўракамісіі.

  Відэа з адукацыйных майстар-класаў на GDPR DAY in Belarus.

  Карткі «Медузы» са смешнымі гіфкамі.

  Наш матэрыял пра карыстальніцкія пагадненні.