03 Августа 2018 в 13:23 780

GDPR для тех, кому лень читать

В некотором царстве, европейском государстве, несколько важных теть и дядь решили запилить новую дата-полиси, которая взорвала мозг всем юристам, причастным к диджитальному (в широком его понимании) бизнесу.

Фото: Depositphotos
Фото: Depositphotos
Итак, 25 мая 2018 года в силу вступил General Data Protection Regulation (GDPR). Данный регламент нацелен на то, чтобы защитить пользовательские данные, которые мы по доброте душевной оставляем где попало в Интернете.

К счастью, этот документ не абсолютно новый, а скорее качественный апгрейд Директивы 95/46/ЕС, которая действовала до внедрения регламента. Однако если существующая Директива предполагает имплементацию определенных законодательных актов в законодательства стран-участников ЕС, то GDPR является обязательным для всех. Нормы регламента являются нормами прямого действия.

Те, кто думал около 2-х лет (до внедрения регламента), что их пронесет, все-таки ошибались. Ребята, вас не пронесет, если вы работаете в ЕС, с ЕС или кто-то из ЕС как-то к вам причастен. А еще, если вы скупаете списки email-адресов для холодных рассылок, запрашиваете у пользователей данные, никак не касающиеся вашего продукта, и всячески шифруете информацию. Констатирую факт того, что вам придется что-то делать, чтобы не попасть под штрафы и не облажаться.

Две важные цифры для тех, кто надеялся до последнего, что пронесет:

• максимальный штраф 20М евро;
• компании дается только 72 часа, чтобы сообщить об утечке информации и что-то предпринять.

Если ваши коленки уже затряслись, и вы думаете о плане побега в нейтральную офшорную зону, то, пожалуйста, keep calm. Помимо страшилок существуют понятные объяснения того, что нужно делать и чего не нужно.

Начнем с ключевой информации, которую должны знать все (в частности, агентства и маркетологи).

• Изучите дату, которая присутствует в вашем бизнесе. Важно понять, откуда она берется, как собирается, где хранится и что с ней происходит потом.
• Если есть собственный сайт, опишите его в cookie policy, чтобы любой пользователь мог понять, куда сливаются его данные.
• Если вы как-то соприкасаетесь с сотрудниками ЕС и работаете с их датой, позаботьтесь о подготовке всех необходимых юридических документов.
• Если ваш юрист не компетентен в таком вопросе, обзаведитесь DPO (Data Protection Officer).

Сложнее всего в этой истории придется технарям, но мы мысленно их поддержим и скажем: «May the DPO be with you».

GDPR глобально влияет на процесс работы с данными. Т.к. основной позыв – это минимизация сбора информации о пользователях, то бизнесу придется адаптировать свои онлайн-продукты к этому правилу. Аналогичная история и с поставщиками данных для рекламных целей. Регламент стремится к устранению данных, которые пришли непонятно откуда и влияют на безопасность пользователей. Так, например, в Facebook после введения GDPR были удалены некоторые группы таргетингов по интересам.

Важно понимать, что данный регламент изменил не только процесс работы с данными, но и само понятие персональных данных. Концепция персональных данных дополнилась такой информацией, как Client ID и User ID (online identifier), месторасположением и другими факторами, которые имеют отношение к физическому, физиологическому, генетическому, экономическому, культурному и другим отождествлениям человека (личности). Это, конечно, жесть, ребята, потому что мы информационные камикадзе и уже давно все это посливали в Интернет, и какой-то компании могут сделать а-та-та, если наши данные будут как-то провокационно использованы.

Единственный вывод, который сейчас можно из этого сделать брендам: обновляйте свои политики конфиденциальности и говорите людям правду, зачем вам знать номер их кредитки.

Автор: Лера Федорчук, Digital Head UM Ukraine.

Присоединяйтесь к нашему каналу в Telegram.
 
,