Общие правила защиты данных (GDPR)
Что такое Общие правила защиты данных (GDPR)?
Общий регламент по защите данных ( Европейском союзе (ЕС) . Поскольку Регламент применяется независимо от того, где находятся веб-сайты, его должны соблюдать все сайты, которые привлекают посетителей из Европы, даже если они специально не продают товары или услуги резидентам ЕС.
GDPR требует, чтобы посетители из ЕС раскрывали ряд данных. Сайт также должен принимать меры для обеспечения таких прав потребителей в ЕС, как своевременное уведомление в случае нарушения личных данных. Постановление, принятое в апреле 2016 года, вступило в силу в мае 2018 года после двухлетнего переходного периода.
Требования GDPR к обслуживанию клиентов
Согласно правилам, посетители должны быть уведомлены о данных, которые сайт собирает от них, и дать явное согласие на сбор такой информации, нажав кнопку «Согласен» или другое действие.1 (Это требование в значительной степени объясняет повсеместное распространение информации о том, что сайты собирают «куки» — небольшие файлы, содержащие личную информацию, такую как настройки и предпочтения сайта).
Сайты также должны своевременно уведомлять посетителей, если какие-либо их личные данные, хранящиеся на сайте, были нарушены.2 Эти требования ЕС могут быть более строгими, чем те, которые требуются в юрисдикции, в которой расположен объект.
Также требуется оценка безопасности данных сайта инеобходимость найма специального сотрудника по защите данных (DPO) или возможность выполнения этой функции существующим сотрудником.3
Информация о том, как связаться с DPO и другими соответствующими сотрудниками, должна быть доступна, чтобы посетители могли реализовать свои права на данные в ЕС, которые также включают возможность удаления своего присутствия на сайте, среди других мер.4 (Естественно, сайт должен также добавить персонал и другие ресурсы, чтобы иметь возможность выполнять такие запросы.)
Другие правила и полномочия Общего регламента по защите данных (GDPR)
В качестве дополнительной защиты потребителей GDPR также призывает к тому, чтобы любая личная информация (PII), которую собирают сайты, была либо анонимной (сделанной анонимной, как следует из этого термина), либо псевдонимизацией (с заменой личности потребителя псевдонимом).5 Псевдонимизация данных позволяет фирмам проводить более обширный анализ данных, например, оценивать средние коэффициенты задолженности своих клиентов в конкретном регионе — расчет, который в противном случае мог бы выходить за рамки первоначальных целей данных, собранных для оценки кредитоспособности ссуды.
GDPR влияет не только на данные, полученные от клиентов.В первую очередь, возможно, регулирование применяется к учетным записям сотрудников.6
Споры, связанные с GDPR
GDPR вызвал критику в некоторых кругах. Требование назначать DPO или просто оценить необходимость в них, как говорят некоторые, налагает чрезмерное административное бремя на некоторые компании. Некоторые также жалуются, что инструкции слишком расплывчаты в отношении того, как лучше обращаться с данными сотрудников.
Кроме того, данные не могут быть переданы в другую страну за пределами ЕС, если принимающая компания не гарантирует такую же степень защиты, как того требует ЕС. Это привело к жалобам на дорогостоящие нарушения деловой практики.
Существует еще одна обеспокоенность по поводу того, что затраты, связанные с GDPR, со временем будут увеличиваться, отчасти из-за растущей необходимости информировать клиентов и сотрудников об угрозах и средствах защиты данных. Существует также скептицизм в отношении того, насколько реально агентства по защите данных в ЕС и за его пределами могут согласовать свое соблюдение и интерпретацию правил и, таким образом, обеспечить равные условия игры по мере того, как GDPR вступит в более полную силу.