GDPR

Загальний регламент захисту даних (GDPR) набув чинності 25 травня 2018 року, замінивши старішу Директиву ЄС із захисту даних від 1995 року єдиним нормативним актом, який застосовується безпосередньо в кожній державі-члені. Він регулює, як організації обробляють персональні дані людей у ​​ЄС та ЄЕЗ. Територіальне охоплення широке: будь-яка компанія, яка обробляє дані резидентів ЄС, підпадає під дію GDPR, незалежно від того, де компанія розташована.

Що вважається персональними даними

GDPR визначення «персональних даних» ширше, ніж у більшості національних законів: будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи. Імена, електронні адреси, IP-адреси, файли cookie, ідентифікатори пристроїв, дані про місцезнаходження, фотографії, моделі поведінки. Навіть псевдонімні ідентифікатори враховуються, якщо псевдонім можна пов’язати з особою за допомогою інших доступних даних. Рішення залежить від того, чи міг хтось ідентифікувати особу, а не від того, чи хтось намагався.

Шість законних підстав

Для обробки персональних даних потрібна законна підстава — одна з:

• Згода — суб’єкт даних надав чітку, поінформовану, яку можна вільно відкликати. дозвіл
• Договір — обробка необхідна для виконання договору із суб’єктом даних (доставка замовлення, оформлення підписки)
• Юридичне зобов’язання — вимагається законом (податковий облік, боротьба з відмиванням грошей)
• Важливо інтереси — необхідні для захисту чийогось життя
• Публічне завдання — для суспільних інтересів, які виконуються офіційною владою
• Законні інтереси — інтереси контролера або третьої сторони, збалансовані з правами суб’єкта даних та slobodes

Вибір основи визначається контролером даних і розкривається в політиці конфіденційності. Слово «Згода» стало головним словом через банери файлів cookie, але це лише одна з шести основ — і регулятори ЄС чітко заявили, що згода не підходить як обхідний шлях для обробки, яка має підпадати під дію контракту чи законних інтересів.

Вісім прав суб’єктів даних

GDPR надають права суб’єктам даних, які організації повинні дотримуватися за запитом, зазвичай протягом 30 років. днів:

• Право доступу — отримати копію всіх ваших особистих даних і інформацію про те, як вони обробляються
• Право на виправлення — виправити неточні дані
• Право на видалення (право на бути забутим) — подати запит на видалення за певних умов
• Право на обмеження обробки — призупинити обробку на час вирішення суперечок
• Право на перенесення даних — отримати свої дані в машиночитаному форматі та передати їх іншій контролер
• Право на заперечення — зокрема на прямий маркетинг
• Права, пов’язані з автоматизованим прийняттям рішень — оскаржуйте рішення, прийняті повністю автоматизованими засобами
• Право бути поінформованим — чітка, доступна конфіденційність сповіщення

Штрафи, які мають зуби

Функція GDPR, яка привертає увагу новин: штрафи до 20 мільйонів євро або 4% глобального річного доходу, залежно від того, що більше. У 2023 році Ірландський DPC оштрафував Meta на 1,2 мільярда євро за несанкціоновану передачу даних у США, і те ж агентство вже оштрафувало їх на 405 мільйонів євро за обробку Instagram даних неповнолітніх. Люксембург оштрафував Amazon на 746 мільйонів євро. Штрафи досить значні, тому більшість транснаціональних корпорацій серйозно ставляться до дотримання вимог.

Тим не менш, правозастосування дуже різниться. DPC Ірландії займається справами, пов’язаними з більшістю американських технологічних гігантів, оскільки їхні штаб-квартири знаходяться в Дубліні, і його критикують за повільний розгляд. Інші DPA (Німеччина, Франція, Італія), як правило, діють швидше в менших справах.

Правила передачі даних

Одне з найбільш важливих положень GDPR: дані можуть залишати ЄС лише в країни з «належним» захистом або під певними гарантіями. Рішення Європейського суду щодо Schrems I (2015) та Schrems II (2020) визнали недійсними послідовні рамки передачі даних між США та ЄС, оскільки закони США про стеження не забезпечують захист, еквівалентний GDPR. Поточна структура конфіденційності даних (2023) є чинною, але вже оскаржується.

Практичний наслідок: багато компаній залишаються резидентами даних лише в ЄС для користувачів із ЄС, а хмарні постачальники США пропонують сховище в регіоні ЄС, яке за контрактом не передається.

Що насправді змінив GDPR

Видиме ефекти:

• Cookie banners. Зараз повсюдно, переважно болюче, часто з темним малюнком. Базова Директива про електронну конфіденційність (старіша за GDPR) уже вимагала їх; Застосування GDPR зробило їх універсальними.
• Політики конфіденційності. Довші, точніші, з розкриттям періодів зберігання та законних підстав.
• Видалення облікового запису. Кожен великий сервіс тепер пропонує кнопку самообслуговування видалення моїх даних.
• Дані експорт. Право на перенесення даних призвело до стандартизованих форматів експорту (Google Takeout, завантаження з Facebook).
• Обов’язкове розкриття порушень. Протягом 72 годин після того, як стало відомо про порушення персональних даних.
• DPO (спеціаліст із захисту даних) вимоги до організацій, які процес у масштабі.

Міжнародні ефекти хвилі

GDPR стали шаблоном. CCPA Каліфорнії (2020), LGPD Бразилії (2020), Закон DPDP Індії (2023) і десятки інших національних законів запозичили його структуру. Багатонаціональні корпорації часто стандартизують практику, еквівалентну GDPR, у всьому світі, тому що працювати за фрагментованими правилами дорожче, ніж за найсуворішими. Результат: правила конфіденційності, яких кожен повинен десь дотримуватися, стали правилами конфіденційності, які кожен надає всюди.