GDPR — это общеевропейский закон о защите персональных данных, вступивший в силу 25 мая 2018 года. Регламент определяет, как организации должны собирать, использовать, хранить и защищать данные физических лиц, проживающих в странах ЕС и ЕЭЗ.
Цель GDPR — дать гражданам контроль над своими персональными данными и установить единые правила обработки этих данных на всей территории Евросоюза.
Кого касается
GDPR обязателен:
- для европейских компаний, работающих с персональными данными;
- для любых иностранных организаций, если они:
- предлагают товары или услуги гражданам ЕС;
- отслеживают поведение пользователей в ЕС (например, с помощью cookies, аналитики).
То есть, даже компания из США или Азии, обслуживающая клиентов из Европы, обязана соответствовать требованиям GDPR.
Что считается персональными данными
- Имя, email, номер телефона;
- IP-адрес, данные геолокации;
- ID устройства;
- Медицинская, финансовая, биометрическая информация;
- Любые данные, позволяющие прямо или косвенно идентифицировать человека.
Ключевые принципы GDPR
- Прозрачность — пользователь должен знать, какие данные собираются и зачем.
- Ограниченность цели — использовать данные можно только по согласованным целям.
- Минимизация — собирать только необходимые данные.
- Срок хранения — нельзя хранить данные дольше, чем нужно.
- Безопасность — компания обязана защищать данные от утечек и несанкционированного доступа.
- Права субъекта данных — у пользователя есть право:
- запросить копию своих данных;
- потребовать их удалить (право на забвение);
- ограничить обработку или отозвать согласие.
Для бизнеса это означает
- Необходимость пересмотра политики конфиденциальности;
- Обязательное получение осознанного согласия пользователя (opt-in);
- Назначение DPO (Data Protection Officer), если данные обрабатываются в больших объёмах;
- Сообщение об утечке в течение 72 часов;
- Возможность пройти независимую сертификацию и аудит.
Ответственность за нарушение
- Штрафы — до €20 миллионов или 4% годового оборота (в зависимости от того, что больше);
- Репутационные потери — недоверие со стороны клиентов и партнёров;
- Юридические искажения — иски со стороны пользователей и регуляторов.
Пример
Американский интернет-магазин продаёт одежду во Франции. Чтобы соответствовать GDPR, он:
- уведомляет пользователей о сборе cookies;
- предлагает политику конфиденциальности на французском языке;
- получает явное согласие на рассылки;
- хранит данные на европейских серверах;
- предоставляет клиенту возможность удалить аккаунт и все связанные данные.
GDPR — это не просто юридическое требование, а индикатор зрелости компании в вопросах работы с персональной информацией. Соблюдение регламента усиливает доверие, повышает конкурентоспособность и снижает риски. Для клиента это значит, что его данные обрабатываются ответственно и защищены от злоупотреблений.
VPS с перспективой
Планируете VPS на год? С кодом NEWCOM получаете больше, чем рассчитывали.