Актуально

Навязчивая реклама, телефонный маркетинг, несанкционированный доступ к камере. От чего еще нас теперь будет защищать ЕС

14.05.2018Анна Чернова

25 мая в ЕС вступают в силу новые правила защиты персональных данных – General Data Protection Regulation (GDPR). Рассказываем, почему и для кого это важно и от чего эти изменения защитят обычных пользователей.

Материал подготовлен при помощи эксперта в области конфиденциальности персональных данных, директора компании Quick GDPR Ltd Елены Рязановой.

Почему это важно?

В этой статье мы расскажем, как бороться с агрессивным телефонным и email-маркетингом, когда вам звонят или пишут люди, которым вы не давали свои контактные данные. Как уберечь свою личную переписку и список телефонных контактов от попадания в чужие руки. А также что делать, если конфиденциальная информация о вас каким-то образом была раскрыта третьим лицам.

Если вы руководитель или владелец компании, стоит проверить, не распространяется ли действие нового закона на вас тоже. Даже если у вас российская компания, но вы продаете через интернет услуги, которыми может воспользоваться житель Европы, на вас, вероятно, будет распространяться действие этого закона.

Помните: новый регламент устанавливает довольно существенный штраф на несоблюдение правил — до €20 млн или 4% от годового глобального дохода компании. Выбор за вами, но мы бы перестраховались.

Зачем нужен GDPR?

Примерно несколько лет назад любознательные пользователи стали замечать, что их персональные данные используются в неожиданных целях и без их согласия. Информация из личной переписки может влиять на подбор контекстной рекламы, которую вам показывают на самых разных сайтах и в приложениях.

Например, вы написали другу сообщение в «Вотсапп» с просьбой привезти вам шампунь определенной довольно редкой марки, а на следующий день вы увидели рекламу именно этого шампуня во время просмотра ролика на «Ютьюбе». Вы недавно вышли замуж, и вам везде показывают рекламу тестов на беременность. Коллега подходит к вашему компьютеру, чтобы обсудить отчет, вы открываете сайт клиента, а на боковых баннерах отображаются средства от облысения.

Это не совпадение, а работа алгоритма, который собирает и обрабатывает big data — всю информацию о вас, ваших запросах и сайтах, которые вы посещаете.

Или вас включили в рассылку, на которую вы не подписывались. Или вам звонит сотрудник страховой компании, в которую вы никогда не обращались, называет вас по имени и сообщает, что ему известно, что вы владеете автомобилем. Все это и есть нецелевое использование ваших личных данных. Оно и привело к широкой дискуссии о праве людей на конфиденциальность персональной информации пользователей.

Это не совпадение, а работа алгоритма, который собирает и обрабатывает big data — всю информацию о вас, ваших запросах и сайтах, которые вы посещаете. Информация часто собирается поисковиками типа Google и приложениями, которыми вы активно пользуетесь — Facebook, Uber, What’s App. А затем перепродается маркетинговым компаниям.

Кому интересно, что я ищу в интернете и что обсуждаю с друзьями в чатах?

Маркетинговым компаниям нужна эта информация для того, чтобы анализировать ваш портрет как клиента и ваши предпочтения и, в конечном итоге, предлагать вам те товары и услуги, которые вы скорее купите.

Считается, что ровно так работала британская компания по анализу данных Cambridge Analytica, в руки которой попали личные данные 50 млн пользователей Facebook, которые она использовала для политической рекламы в ходе избирательной кампании Дональда Трампа в 2016 году.

Что плохого в том, что кто-то получит мои персональные данные?

Не всегда очевидно, почему персональные данные нужно особенно тщательно охранять. Объясняем: во-первых, это вопрос безопасности. Персональная информация может содержать ваш домашний адрес, номер паспорта, отпечатки пальцев или любые другие данные, по которым вас можно идентифицировать.

Существует понятие «чувствительная информация» — это расовая и этническая принадлежность, политические и религиозные убеждения, сексуальная ориентация, данные о здоровье, судимости и пр.

Во-вторых, разглашение некоторых данных третьим лицам может быть достаточно неприятным и болезненным. Существует понятие «чувствительная информация» — это расовая и этническая принадлежность, политические и религиозные убеждения, сексуальная ориентация, данные о здоровье, судимости и пр.

К примеру, недавно отделение британской полиции Humberside Police было оштрафовано на £130 тыс. за утерю дисков, содержащих видеоинтервью с предполагаемой жертвой насилия, ее личными данными и данными предполагаемого насильника. Конверт с дисками был оставлен на столе и пропал. Разглашение подобной информации стало бы довольно серьезным нарушением конфиденциальности.

Как можно защитить свои личные данные?

Несколько лет назад стало понятно, что с развитием технологий постепенно стали устаревать законы, защищающие права пользователей. В частности, последние 25 лет деятельность интернет-компаний регулировалась Директивой ЕС о защите персональных данных (Data Protection Directive) и другими локальными законами, принятыми в 90-х — начале 2000-х. Тогда трудно себе было представить, что такое мобильные приложения. Именно поэтому в 2016 году ей на смену пришел исправленный и дополненный регламент по защите данных — GDPR.

Так GDPR уже действует с 2016 года?

Закон вступает в силу 25 мая 2018 года. Два года были даны на то, чтобы компании перестроили свою деятельность и ознакомили пользователей с новыми правилами. C 25 мая всем компаниям, которые собирают собирают личные данные пользователей в Евросоюзе и не соблюдают новые правила, грозит штраф до €20 млн или 4% годового дохода компании.

Как конкретно меня защитит GDPR?

По новому закону будут действовать более строгие требования к сбору и хранению данных о вас. Под персональными данными стали понимать целый комплекс информации. Это весь ваш цифровой след или digital ID, в том числе адрес электронной почты и IP адрес, геолокацию, биометрические данные, все данные cookies и пр. GDPR унифицирует европейские положения, чтобы все следовали единым правилам и стандартам, обязует организации вести отчетность и вводит строгие наказания за неисполнение.

Теперь компании не имеют право спрашивать ваш пол, возраст, семейное положение, расовую и этническую принадлежность, если в этом нет особой необходимости. Получать доступ к вашей камере, фотографиям и контактам на телефоне приложения и сайты смогут только в случае, когда это нужно непосредственно для предоставления услуг в данном сервисе. В минимальном объеме и только под конкретные заявленные цели. Хранить и передавать кому-то еще данные о вас, ваших предпочтениях и вашей активности в маркетинговых целях теперь запрещено без вашего информированного согласия.

GDPR унифицирует европейские положения, чтобы все следовали единым правилам и стандартам, обязует организации вести отчетность и вводит строгие наказания за неисполнение.

Каждый пользователь сможет контролировать, что именно о нем знает приложение. Клиенту должно быть понятно, как и зачем о нем собирают информацию. Вы можете в любой момент запросить все данные, которые приложение о вас собирало с момента регистрации. И они вам их обязаны предоставить. Во-первых, вы всегда будете в курсе, что о вас знает сервис. Во-вторых, это бывает полезно, когда вы переходите из одного сервиса в другой похожий и хотите скопировать ваши настройки и предпочтения.

Пользователи теперь могут отказаться предоставлять определенную информацию, изменять уже предоставленную, контролировать цели сбора и обработки. После удаления аккаунта вы сможете потребовать удалить все, что компания о вас знает.

Что делать, если утечка все же произошла?

Еще один важный пункт. Если произошла утечка информации, например, сайт компании взломали, то об этом они обязаны сообщить в течение 72 часов. К сожалению, так происходит не всегда. В частности, в 2016 году компания Uber скрыла факт взлома, который привел к утечке базы данных 57 млн клиентов и водителей.  

Помимо этого пользователи теперь могут отказаться предоставлять определенную информацию, изменять уже предоставленную, контролировать цели сбора и обработки. После удаления аккаунта вы сможете потребовать удалить все, что компания о вас знает.

Если обобщить, GDPR — это мощный досудебный и внесудебный инструмент. То есть, если возникла конфликтная или спорная ситуация с работодателем или любым юридическим лицом, можно без запросов суда или дорогих адвокатов затребовать всю информацию. И другая сторона обязана вам эту информацию предоставить.

Если ребенок по неосторожности предоставил о себе какую то информацию, то потом он имеет право потребовать ее удалить.

Закон также защищает права и безопасность детей в интернете. Если ребенок по неосторожности предоставил о себе какую то информацию, то потом он имеет право потребовать ее удалить. И его интересы всегда превалируют над интересами того, кто хранит эти данные.

Так как новые правила защитят меня от агрессивной рекламы по почте и телефону?

Если вы что-то купили в интернете, компания имеет право предложить вам похожий товар или услугу, прислав письмо на оставленный вами email или позвонив вам. Но использовать ваши контактные данные для другой рассылки или рекламы нельзя. Помимо GDPR это также закреплено в британской директиве Privacy Electronic Communications and Regulations. Регулятор советует сначала попробовать разобраться напрямую, попросив больше не звонить и не писать .

Если вас после этого снова атакуют рекламой, вы можете подать жалобу в Information Commissioner’s Office, и тогда компания будет оштрафована. Чтобы это сделать, в начале разговора запросите название и данные компании и спросите, откуда у них ваши контакты. Закон обязывает звонящего это делать в любом случае, но не все это правило соблюдают. Здесь важно знать свои права.

А еще как-то можно защититься от навязчивых телефонных звонков с предложением что-то купить?

В Британии существует база под названием Telephone Preference Service. Если вы зарегистрировали в ней свой номер телефона, звонить вам с рекламными предложениями без вашего согласия незаконно.

Если вам звонит или пишет компания, у которой вы уже что-то приобретали, у вас должна быть опция отписаться от их рассылки и звонков.

Какие еще у меня есть права?

Общее правило здесь такое: все данные о вас принадлежат только вам, и вы имеете право ими распоряжаться. Даже та информация, которую не вы сами предоставили. Например, вы можете запросить у нового работодателя отзыв, который о вас написал ваш бывший начальник. И вам обязаны его показать. Если вы оставили свои персональные данные в одном месте (например, частной клинике или рекрутеру), а потом их без вашего согласия передали третьим лицам, вы можете пожаловаться в Information Commissioner’s Office. У них есть полномочия накладывать санкции и подавать на организацию в суд.

На какие компании распространяется GDPR?

На очень многие. На все компании, которые собирают и обрабатывают персональные данные граждан Евросоюза, независимо от того, находится ли сама организация в Европе или в любой другой стране.

Под этот закон, например, попадают, компании, которые находятся в России, но предоставляют онлайн-услуги жителям Евросоюза и обрабатывают их персональные данные.

Под этот закон, например, попадают, компании, которые находятся в России, но предоставляют онлайн-услуги жителям Евросоюза и обрабатывают их персональные данные. В этот список входят компании-перевозчики, авиакомпании, отели и многие другие организации. Этот закон также коснется дочерние общества крупных российских холдингов и дипмиссии, находящиеся на территории ЕС.

А что мне делать, если я — владелец бизнеса и предоставляю услуги пользователям из Евросоюза через интернет?

Во-первых, вам следует подробнее ознакомиться со всеми пунктами GDPR и убедиться, что вы соблюдаете все положения закона. Существует всего шесть законных оснований для обработки персональных данных. Во избежание штрафа до 25 мая необходимо привести деятельность вашей компании в соответствие с законом.

Во-вторых, на вас лежит ответственность за информирование ваших клиентов об их новых правах и возможностях. Вы можете это сделать в любой форме: разослать письма с объяснениями или даже сделать видеоролик или слайды в вашем приложении. Главное — чтобы информация была изложена просто, прозрачно и понятно.

На вас лежит ответственность за информирование ваших клиентов об их новых правах и возможностях. Вы можете это сделать в любой форме.

Если вы находитесь на территории ЕС, можете обратиться в компанию Quick GDPR Ltd, где есть русскоязычные специалисты. Если ваша организация находится на территории России, вам поможет компания-партнер B-152, специализирующаяся на приведении в соответствие организаций закону №152-ФЗ “О персональных данных” и GDPR. Специалисты компании B-152 также проводят обучение по GDPR для крупных российских компаний, таких как HeadHunter, Aviasales, RedWeb digital production и других.

Могу ли я сам понять, какую информацию надо дать моим клиентам и разместить на сайте в связи с принятием GDPR?

Да, можете. При помощи сервиса Quick GDPR от компании Quick GDPR Ltd вы сможете по доступной цене в течение 15 минут создать политику конфиденциальности и cookie для вашего сайта, которые теперь являются обязательными.

Сервис работает достаточно просто: вы добавляете информацию о вашей компании и вашу текущую практику работы с персональными данными в виде ответов на вопросы, и на основе ваших ответов генерируется политика конфиденциальности и cookie.

Эти компании также предоставляют сервис по сканированию сайта на уязвимость и соответствие требованиям закона с точки зрения безопасности передачи данных. Специальный алгоритм Site Secure в автоматическом режиме проанализирует слабые места. Специально для тех, кто ведет отчетность на английском языке, в течение недели будет доступна английская версия сервиса на европейских серверах.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: