С точки зрения всесторонней защиты данных историю можно разделить на периоды до и после введения GDPR.
В сфере всесторонней защиты данных весь мир разделился на «до GDPR» и «после GDPR».
Этот период в законодательстве ЕС стал одним из первых, предоставивших пользователям Интернета обширные права и инструменты для самозащиты. Это оказало большое влияние на правительства по всему миру, и большинство новых законов о защите данных очень похожи на европейский.
Среди прочего, это означает, что последние законы в области конфиденциальности предоставляют пользователям обширные права на защиту данных.
Но прежде чем углубляться в эту тему, нужно понять разницу между контролером данных, обработчиком данных и субъектом данных, так как мы будем использовать эти термины.
Контролер данных — это компания, которая собирает персональные данные.
Обработчик данных — это компания, которая обрабатывает данные от имени контролера.
Разница в том, что контролер решает, что, зачем и как будут обрабатываться данные, а обработчик выполняет работу. Например, вы решаете собирать адреса электронной почты («что») через форму регистрации («как») для отправки своей рассылки («зачем»). Mailchimp делает это за вас. Вы являетесь контролером данных, а Mailchimp — вашим обработчиком данных.
С другой стороны, субъект данных — это любой пользователь интернета, чьи данные вы собрали и/или обработали. У них есть права. Когда они решают реализовать эти права, вы должны соблюсти их. В противном случае вас могут оштрафовать.
Вам нужно знать о правах субъекта данных по GDPR.
Также я подробно излагаю, какие действия должны предпринять пользователи для осуществления своих прав, и какие обязанности возлагаются на компании в ответ на запросы субъектов данных.
В завершение я рассматриваю последствия игнорирования запросов субъектов данных.
GDPR распространяется на взаимодействия между бизнесом и пользователями, в которых хотя бы одна сторона из Европейского Союза.
Это значит, что это применимо в случаях, когда:
GDPR предоставляет субъектам данных следующие права:
Что это значит: Это право позволяет субъектам данных запрашивать информацию о том, собираете ли вы персональные данные, какие категории данных вы собираете, с какой целью и так далее. Это исходит из принципа прозрачности и обязывает вас быть открытыми перед пользователями о том, что вы делаете с их персональными данными и с какой целью.
Что должны предоставить контролеры данных: Когда бизнес, то есть контролер данных, получает запрос на информацию, он должен предоставить субъекту данных запрошенную информацию, такую как категории собранных и обработанных данных, цели обработки, методы сбора и обработки, третьим сторонам, которым данные были раскрыты, куда данные были переданы и так далее.
Что это значит: Право на доступ предоставляет субъекту данных возможность получить доступ к своим данным, которые находятся под вашим контролем.
Что должны предоставить контролеры данных: Если у вас есть их имя и адрес электронной почты, у них есть право на доступ к ним. Иногда запрос будет касаться всех их данных, а иногда только части. Вы должны строго следовать запросу и предоставить доступ к запрошенным данным.
Что это значит: Право на исправление означает право на коррекцию своих персональных данных. Например, контролер данных, который отправляет клиентам скидочные коды, может допустить ошибку в адресе электронной почты клиента, и тот не получит эти коды. Этот пользователь, то есть субъект данных, имеет право запросить исправление своих данных, чтобы его адрес электронной почты был исправлен, и он получил коды.
Что должны предоставить контролеры данных: Контролер данных должен исправить данные субъекта в соответствии с их запросом.
Что это значит: Право на удаление персональных данных, также широко известное как право быть забытым, означает удаление данных субъекта из записей контролера данных. Субъект данных может запросить удаление всех своих данных или только части. Они могут, например, попросить вас удалить их номер телефона, потому что хотят общаться с вами только по электронной почте.
Что должны предоставить контролеры данных: Они должны удалить персональные данные в соответствии с запросом. Помните, что предложение удалить некоторые категории данных не означает удаление всех данных.
Что это значит: Субъект данных может попросить контролера данных прекратить обработку своих персональных данных, если выполняется хотя бы одно из следующих условий:
Что должны предоставить контролеры данных: Контролер данных должен удовлетворить запрос на ограничение обработки тех категорий персональных данных, к которым относится запрос.
Что это значит: Иногда пользователи хотят перенести свои данные к другому контролеру данных. Обычно это происходит, когда пользователь меняет провайдера услуг. Например, он может перейти с Hulu на Netflix и хочет забрать с собой данные, которые Hulu собрал о нем.
Что должны предоставить контролеры данных: Контролер должен создать файл со всеми персональными данными заявителя и передать их ему. Данные должны быть в формате, пригодном для использования другими контролерами данных. Если субъект данных запрашивает перенос всех персональных данных, контролер не должен больше хранить данные этого субъекта, за исключением данных о соблюдении законности и правовых требований.
Что это значит: Субъект данных может возразить против обработки данных и попросить контролера прекратить ее.
Что должны предоставить контролеры данных: Контролер должен прекратить обработку данных по запросу, если не покажет законные основания для этого. Эти основания должны быть важнее, чем основания возражения субъекта данных.
Например, субъект данных может возразить против обработки своих платежных данных. Контролер должен выполнить запрос, но если он покажет, что обработка таких данных необходима для предотвращения мошенничества, он может продолжить обработку платежных данных.
Исключение составляет возражение против обработки данных для прямого маркетинга. Если субъект данных возражает против этого, контролер должен выполнить запрос.
Что это значит: Некоторые компании принимают автоматизированные решения о клиентах на основе алгоритмов. Например, страховая компания может рассчитывать страховые тарифы для потенциальных клиентов на основе их персональных данных (включая медицинские данные, зарплату и т.д.). GDPR позволяет пользователям запрашивать не подвергаться такому принятию решений.
Что должны предоставить контролеры данных: Они должны прекратить принимать решения о субъекте данных на основе автоматизированных методов, включая профилирование.
Путь от прав субъекта данных на бумаге до их реального выполнения пролегает через самостоятельное осуществление этих прав субъектами данных.
Права субъекта данных осуществляются путем подачи запросов от субъекта данных. Пользователи могут подавать любые запросы, и вы обязаны своевременно на них ответить.
GDPR требует, чтобы контролеры данных отвечали на запросы в течение 30 дней или 60 дней для более сложных запросов. Они должны сообщить пользователю об увеличении срока на дополнительные 30 дней.
Если контролер данных не отвечает или отвечает недостаточно, орган по защите данных может наложить на него штраф.
В общем, осуществление прав субъекта данных проходит через пять этапов. Вот как каждый из них выглядит с точки зрения субъекта данных и контролера данных:
Субъект данных направляет запрос контролеру данных. Он может подать запрос как угодно — по электронной почте, через специализированную веб-форму, по телефону или как-то иначе.
Контролер данных получает запрос. Для него не имеет значения, каким образом запрос был подан. Его нужно принять. В бизнесе часто создают специализированные формы на сайтах или почтовые ящики для запросов, но если субъект данных их проигнорировал, это ничего не меняет. Каждый полученный запрос должен быть обработан одинаково и получить ответ.
Контролер данных должен проверить личность заявителя. Это важный шаг, так как в процессе могут быть раскрыты персональные данные; если это происходит, они должны быть раскрыты правильному человеку. Контролер должен удостовериться, что данные не попадут к тому, кто не должен их видеть.
Контролеру не следует требовать дополнительных персональных данных для проверки личности, если это не необходимо. Идеально, если проверка будет основана на уже имеющихся данных. Например, вы можете проверить данные, связанные с электронной почтой, по адресу, с которого был отправлен запрос.
Если контролер не может разумно проверить личность субъекта данных, он может отклонить запрос.
Субъект данных должен предоставить все необходимые сведения для контролера.
Контролер данных должен идентифицировать запрос. Иногда субъекты данных подают неясные запросы. В таком случае контролер должен уточнить запрос. Он также может попросить у субъекта данных разъяснений.
Субъект данных должен ответить на любые вопросы, которые могут возникнуть у контролера. Если таковых нет, на этом этапе нужно просто подождать.
Далее, контролер данных должен изучить, собрать и упаковать данные, необходимые для выполнения запроса.
Субъекту данных делать ничего не нужно.
В конце концов, контролер данных должен выполнить запрос. Это может означать предоставление данных, исправление, удаление или что-то ещё.
Субъект данных должен ознакомиться с результатом. Если он не удовлетворен, может подать дополнительные запросы или пожаловаться в орган по защите данных.
Запросы от субъектов данных — это не головная боль для бизнеса и не способ для пользователей доставать компании.
Прозрачность создает доверие, а доверие пользователей — это большой козырь для любого бизнеса. Это способ улучшить взаимоотношения между компаниями и пользователями. Это предоставляет возможность для прозрачности, которая в конечном итоге может укрепить их связь.
Осведомленность о приватности данных в интернете постоянно растет. Бизнесу нужно соблюдать правила не только чтобы избежать крупных штрафов, но и для развития ресурсов.
Посмотрите наш список всех известных штрафов по GDPR, чтобы понять, каковы последствия невыполнения этих регуляций.
Затраты на это не так высоки, как может показаться. Соблюдение этих запросов довольно простое и легко достижимое. А выгода, в свою очередь, намного больше и того стоит, чтобы приложить усилия для соблюдения правил. Тут даже думать нечего.