истории

Евросоюз вводит новые правила работы с персональными данными. Какие новые права появятся у европейцев (и у россиян)?

Meduza
Bernd von Jutrczenka / dpa / AFP / Scanpix / LETA

С 25 мая 2018 года в Евросоюзе начнет действовать новый общий регламент по защите данных (General Data Protection Regulation, GDPR). Документ обязывает компании, в том числе и работающие в интернете, предоставить людям новые возможности защищать и контролировать сведения о себе. За нарушение регламента организациям могут грозить штрафы: минимальный — 10 миллионов евро или 2% годового оборота компании, максимальный — в два раза больше. «Медуза» кратко рассказывает о том, какие права и возможности теперь появятся у граждан Евросоюза — и не только.

Нововведения в некоторых случаях защищают права жителей России

Нормы европейского регламента распространяются на так называемые объекты данных. Это всегда конкретные люди. Они получают новые права и возможности по контролю над тем, как компании собирают и обрабатывают их персональные данные.

На вас должны распространяться новые правила:

  • Если в момент обработки данных вы находитесь в Евросоюзе. Даже если вы иностранец и прилетели в ЕС на выходные. Российские компании, предоставляющие товары и услуги европейцам, тоже подпадают под действие новых норм.
  • Если компания или ее подразделение, работающее с вашими персональными данными, зарегистрированы в Евросоюзе. Например, вы живете в России и покупаете в европейском интернет-магазине какие-то товары или услуги.

Правила на вас не распространяются:

  • Если и вы, и компании, которые собирают и обрабатывают ваши персональные данные, находитесь за пределами Евросоюза. Даже если вы гражданин ЕС.

Компании должны объяснить ваши права простым и понятным языком. А уж потом брать согласие на обработку

Мало кто как следует читает договоры, когда хочет получить услугу. Простой пример: почти никто не читает пользовательское соглашение перед тем, как зарегистрироваться в соцсети или подписаться на какой-нибудь сервис. Одна из причин в том, что эти документы часто написаны непонятным юридическим языком. Теперь перед тем, как взять с человека согласие на обработку персональных данных, компании должны будут доступно разъяснить, о чем идет речь, перечислить его права.

Вы можете выяснить, что компания знает о вас и как использует эти данные

В регламенте четко прописано право человека получить от компании подробные сведения о том:

  • какие именно данные она собирает о нем,
  • в какой форме собираются данные,
  • как используются,
  • кто имеет к ним доступ,
  • используются ли данные для автоматического составления профиля пользователей (например, чтобы потом показывать им таргетированную рекламу),
  • по каким критериям определяется, сколько времени эти данные хранятся, и так далее.

Всю эту информацию компания должна предоставить по запросу в течение месяца (трех месяцев в исключительных случаях с объяснением задержки), бесплатно и в удобном формате.

Вы можете отозвать свое согласие на обработку данных в любой момент

И сделать это должно быть так же просто, как и дать согласие на предоставление персональных данных.

Вы сможете требовать удалить или запретить использовать свои персональные данные

Правом на забвение можно будет воспользоваться, если:

  • персональные данные уже использовали по назначению и больше они не нужны,
  • было отозвано согласие на обработку данных и нет законных преград для их удаления,
  • данные собирались незаконно.

Правом на запрет использования можно воспользоваться, если вы, к примеру, собираетесь засудить компанию за нарушение правил обработки персональных данных, но не хотите терять улики. Или до тех пор пока компания не исправит или дополнит ваши персональные данные, если в них содержатся неточности.

Дети могут самостоятельно регистрироваться в интернете только с 16 лет

Если ребенок не достиг этого возраста, необходимо будет заручиться согласием его родителей или законных представителей. Из-за этого некоторые интернет-компании (например, мессенджер WhatsApp) подняли минимальный возраст пользователей в Европе до 16 лет.

Компаниям запретят собирать некоторые виды персональных данных

В общем случае нельзя будет собирать и обрабатывать информацию о:

  • расовой или этнической принадлежности,
  • политических взглядах,
  • исповедуемой религии,
  • членстве в профсоюзах,
  • состоянии здоровья,
  • сексуальной ориентации.

Генетические и биометрические данные нельзя собирать с целью точной идентификации отдельного человека. То есть какая-нибудь кофейня не сможет собирать с чашек образцы ДНК своих посетителей и таким образом отслеживать их предпочтения.

Замалчивать утечки данных будет запрещено

Если произойдет утечка важных персональных данных, вам об этом сообщат и понятным языком объяснят, что произошло. Обо всех серьезных утечках компании должны будут в течение 72 часов уведомлять надзорные инстанции.

Денис Дмитриев, Владимир Прокушев