Это касается каждого! GDPR: предложения, от которых нельзя отказаться
Наверное, вы обратили внимание на то, что в последнее время многие фирмы обращаются к вам с просьбой пересмотреть личную информацию или дать согласие на ее использование. Пожалуй, это наиболее явный признак вступления в силу Общего регламента о защите личных данных — так по-русски называется законодательный акт, который все знают под аббревиатурой GDPR (General Data Protection Regulation). Зачем это надо и что изменилось?
Зачем надо и что такое?
Регламент GDPR отменяет действие прошлой директивы, которая была составлена более 20 лет назад и носила более рекомендательный характер по сравнению с сегодняшним регламентом. Поскольку с 1995 года в области обработки личных данных изменилось очень многое — постановление действительно меняет ”правила игры” и требует привыкания к новым условиям.
Начнем с самого начала. Что такое ”обработка личных данных”? Это любые действия с информацией, благодаря которой можно идентифицировать конкретного человека. Имя, фамилия, личный код, номер телефона, адрес электронной и обычной почты, данные о здоровье, привычки, пол, возраст — вариантов множество. Как только комбинация перечисленных данных позволяет показать пальцем на конкретного человека — мы уже говорим об обработке личных данных. Телефонный звонок или электронное письмо относятся к этой же категории. Даже если вы составляете список гостей для мероприятия — вы уже обрабатываете личные данные. Если вы с друзьями договорились об этом — ничего страшного не происходит. Но если такой список без вашего разрешения составила какая-нибудь организация и теперь присылает вам ”уникальные предложения” или донимает телефонными звонками — GDPR дает вам полную власть решить проблему раз и навсегда.
Не звоните мне больше
Конечно, и раньше можно было попросить больше не звонить. Но теперь доброе слово подтверждается и более весомым аргументом. Если раньше не было четко прописано, как можно бороться с такими звонками, то с 25 мая в Европе применяются конкретные и серьезные наказания, отбивающие всякое желание даже пробовать. Например, GDPR обязывает любую организацию, обрабатывающую ваши данные, отчитываться перед вами о том, каким образом и с какой целью она это делает. Если вам кто-то позвонил и начал предлагать очередной товар ”только сейчас и только для вас”, то по вашему запросу он обязан ответить, откуда он взял ваш номер и на каком основании он вообще звонит без разрешения.
Удалите информацию обо мне
Из этого следует и так называемое право быть забытым. Это значит, что если вы скажете назойливому рекламщику или напишете в ответ на рекламное предложение, что требуете удаления всех своих данных — фирма обязана будет полностью стереть любую информацию о вас и подтвердить это. Казалось бы, такая же возможность существовала и раньше. Отличие сегодняшнего регламента — опять же в обязательности и штрафах. Раньше рекламная фирма могла уклониться от ответа или ”забыть” удалить ваши данные. Если она это сделает сейчас, то GDPR устанавливает в случае нарушения штрафы в размере, который будет ощутимым для любой организации — до 20 миллионов евро или до 4% от годового оборота за каждый случай. Значит, если фирма откажется вам сообщать, откуда взяла ваш телефон или, еще хуже, продолжит звонить вам после четко выраженного запрета на использование данных (например — слов ”я больше не хочу, чтобы вы мне звонили”), то можете смело обращаться в Инспекцию по защите данных по вопросу нарушения GDPR. Дальше нарушителю мало не покажется.
Не фотографируйте меня
Новый регламент предусматривает и обработку личных данных в общественных местах, ведь фотографирование на улице, например, тоже можно назвать обработкой данных. В таком случае постановление предусматривает простые правила: если вы находитесь в общественном пространстве, значит вероятность, что вы можете попасть в кадр не исключается, и вы сами отдаете себе отчет. Здесь правила достаточно просты: фотограф должен явно демонстрировать, что он снимает, а попадающие в кадр люди, если они возражают, должны явно показать, что их снимать нельзя. Если кто-то делает фотографии на улице или на каком-нибудь мероприятии, и никто не возражает — предполагается, что все необходимые разрешения у фотографа есть. Но такое согласие всегда можно отозвать задним числом — если вы увидели себя на фотографии где-то в интернете и не хотите, чтобы эта фотография была публичной, то нужно сообщить об этом опубликовавшему изображение лицу — и он должен будет удалить снимок или заретушировать ваше лицо.
Нет согласия — нет услуг
Разумеется, есть и обратная сторона. Поскольку на использование личных данных теперь требуется согласие, значит, вы должны официально дать это согласие всем, кому вы разрешаете обращаться к вам или обрабатывать ваши данные. Например — социальные сети или карты клиента в магазинах. Без вашего согласия магазин не имеет право хранить ваши данные в базе своих клиентов. Значит, чтобы получить скидку, такое согласие надо дать. Это, в свою очередь, откроет для магазина возможность продолжать присылать вам письма и рекламные предложения. Отношения подобного рода ранее были более размытыми, теперь же, после введения нового регламента, ситуация становится более урегулированной: хотите пользоваться картой скидок — платите приватностью. Та же ситуация действует и в социальных сетях: хотите пользоваться Фейсбуком — соглашаетесь на его условия по использованию ваших данных. Впрочем, если вы уже имеете аккаунт в социальной сети, значит, все необходимые согласия с вашей стороны уже даны при регистрации.
Государству не откажешь
Однако, не стоит думать, что теперь запрещать использовать свои данные можно всем подряд. Есть случаи, когда обработка данных требуется вне зависимости от согласия человека. Такие случаи теперь четко определяются законами и прочими нормативными актами — некоторые государственные организации имеют право и без вашего согласия обрабатывать ваши данные, но только в том объеме, который требуется для выполнения их задач. Например, если полиция рассматривает нарушение Закона о дорожном движении — чиновнику, как правило, незачем ваше семейное положение. И наоборот — в ЗАГСе вряд ли кому-то понадобится выписка из регистра наказаний или история болезни. Государственные чиновники в любой момент времени обязаны по вашей просьбе отчитаться о том, как именно, в каком объеме и с какой целью они обрабатывали ваши данные. При этом не стоит путать государственные услуги и частные фирмы: государство или уполномоченные им лица всегда может сослаться на закон, в соответствии с которым оно выполняет свои функции. У обычных предприятий, как правило, такой возможности нет — следовательно, без вашего разрешения обрабатывать ваши данные они вообще не имеют права. Впрочем, если речь идет о вашем работодателе, то ваши данные он обязан обрабатывать как минимум для выплаты зарплат и организации отпусков.
В целом, новая директива призвана вернуть людям контроль над их личной информацией, поэтому опасаться ее не стоит. Скорее она представляет опасность для организаций, которые ранее использовали недостаточную урегулированность этой сферы и действовали в ”серых” зонах, где закон вроде и налагает ограничения, но не особо определяет ответственность. Теперь простым гражданам жить определенно станет легче, а вот любителям почтовых рассылок и спама — определенно станет ”веселее”.