Рекомендации эксперта по принципиальным положениям GDPR |
25 мая вступает в силу новый регламент General Data Protection Regulation (GDPR), который заменит ранее действовавший Закон о защите персональных данных физических лиц. В жизнь частных лиц регламент не вносит никаких изменений, но его нужно соблюдать всем предприятиям, учреждениям и организациям, которые обрабатывают данные частных лиц.
Цель регламента — согласованно защищать конфиденциальность физических лиц во всем Европейском союзе. GDPR не запрещает получать и обрабатывать персональные данные, но определяет принципы обработки, хранения и удаления данных. Другими словами — регламент уточняет возможности частных лиц контролировать использование своих данных. Многие нормы, упомянутые в регламенте, уже действовали в различных объемах и комбинациях.
Требования GDPR касаются всех предприятий, учреждений и организаций, которые обрабатывают данные частных лиц. Их необходимо соблюдать не только банкам, но и страховым компаниям, медицинским учреждениям, интернет и розничным торговцам и другим.
GDPR базируются на 6 принципах и являются важными для каждого гражданина, поскольку значительно повышают приватность и защиту личной жизни, но для бизнеса несут дополнительные расходы или даже угрозу.
Рассмотрим на примере эти принципы: вы заказываете пиццу на сайте с доставкой на дом.
1) Законность, справедливость и прозрачность. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
Если пиццерия хочет при заказе узнать ваш день рождения, она обязана четко объяснить зачем ей эта информация.
2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
Пиццерия не может перепродать ваши данные другой пиццерии или спамерам. Пиццерия, получив ваши данные в заказе, может использовать их только для доставки заказа. Пиццерия не может в будущем рассылать вам емейлы, что неделю назад вы заказывали пиццу и не желаете ли повторить.
3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
При заказе пиццы можно собрать лишь адрес доставки, телефон и/или емейл, имя пользователя. Собирать дату рождения пользователя нельзя — это не влияет на доставку пиццы.
4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
Здесь, полагаю, и так все понятно.
5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
После доставки пиццы данные следует удалить. Заказ состоялся. Данные больше не нужны.
6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
Данные должны быть доступны только лицам связанным с доставкой — курьеру. Повар или администратор не должны видеть, где вы живете.
Как вы понимаете, для обычного человека это очень позитивная новость. А для бизнеса крайне негативная. Оставим в стороне техническую составляющую и сосредоточимся на бизнес-процессах.
Усложняются продажи
Весь сегодняшний мир живет на стремлении заполучить емейл с формы регистрации, а затем "долбить" на продажу. Если раньше можно было получить емейл, например, в чате по вопросу цены на товар и затем настроить рассылку, то сейчас этого сделать нельзя.
Усложняются повторные продажи
Купив миксер, покупатель не дает вам права емейлами его преследовать еженедельно по вопросам покупки пылесоса или уведомления о скидках.
Усложняется аналитика, особенно бигдата
Раньше можно было анализировать частые регионы доставки пиццы и делать выгодные предложения, теперь такая аналитика существенно затруднена в виду ограниченности целей и сроков хранения данных.
Конечно, бизнес попробует использовать любую лазейку, например, подписанием каких-либо дополнительных соглашений об обработке данных и так далее. Но у европейцев появилось право запрашивать информации, которую собрала пиццерия, узнавать цели и задачи сбора, а также требовать прекращения обработки своих личных данных.
Вопрос, кто кого победит, пока остается открытым.
<...>