Какво представлява Законът за поверителност на GDPR и защо трябва да се грижите за него?
Общият регламент за защита на данните (GDPR) е нов закон на Европейския съюз, който влиза в сила днес, и това е причината да получавате непрекъснати имейли и известия за актуализации на политиката за поверителност. И така, как това ви засяга? Ето какво трябва да знаете.
Новият закон за GDPR влиза в сила днес, 25 май 2018 г., и обхваща защитата на данните и неприкосновеността на личния живот на гражданите на ЕС, но също така се отнася и за много други страни по различни начини, и тъй като всички технологични гиганти са огромни мултинационални корпорации , това засяга много неща, които използвате ежедневно.
Проблемът GDPR се опитва да реши: компаниите събират и злоупотребяват с личните ви данни
От зората на интернет компаниите събират колкото се може повече данни за всеки, когото могат. Лесно е да събирате тази информация, така че няма причина те да не я прихващат.
Проблемът е, че през последните няколко години, много компании са били хванати, че не могат да защитят лично информацията или да я злоупотребяват. Скандалът с Cambridge Analytica, където изследовател използва викторина във Facebook, за да събере огромни количества данни за милиони потребители на Facebook и след това да го продаде на консултантска фирма, е само най-новият пример. Хакът на Equifax миналата година беше особено лош, защото изтичащата информация можеше да се използва за отваряне на кредитни карти. А това са само големите скандали. Много компании злоупотребяват с вашите данни по-малки, като ги продават на рекламни компании от трети страни.
ЕС възприема слабостта на ситуацията и използва БВП за да се опита да го коригира. Според новите закони компаниите, които не защитават адекватно потребителските данни или злоупотребяват с тях, са изправени пред огромни глоби.
Какво се счита за лични данни?
GDPR защитава „лични данни“, което тук означава „всяка информация, свързана с идентифицирано или идентифицирано физическо лице“ - и това е доста широко определение. В действителност личните данни обикновено включват неща като:
- Биографични данни като име, адрес, телефонен номер, номер на социалното осигуряване и т.н..
- Данни, свързани с вашия външен вид и поведение, като цвят на косата, раса и височина.
- Информация за вашето образование и трудова история, като заплата, висше образование, GPA, данъчен номер и т.н..
- Всички медицински или генетични данни.
- Неща като историята на обажданията ви, личните ви съобщения или данните за географското местоположение.
Това е далеч от пълен списък. Ключът е, че всички данни, които ви правят разграничими, са важни. При определени обстоятелства цветът на косата ви може да е достатъчен. В други дори и пълното ви име - ако е нещо общо с това на Робърт Смит - може да не ви направи разпознаваеми.
Какво прави GDPR?
GDPR дава на жителите на ЕС, които имат събрани лични данни, наричани „субекти на данни“ в правата по осем закона. Те са:
- Право на информиране: Ако дадена компания събира данни, те трябва да уведомят субектите на данните какво се събира, защо се събират, за какво се използват, за колко време ще се съхранява и дали ще се споделя с трети страни. Тази информация не може да бъде заровена дълбоко в условия на обслужване, които никой не чете; тя трябва да бъде кратка и на ясен език.
- Право на достъп: Ако те го поискат, всяка организация, която има лични данни относно субект на данни, трябва да им ги предостави в рамките на един месец.
- Право на коригиране: Ако даден субект на данни установи, че дадена компания има данни за тях, това е неправилно, те могат да поискат да бъде актуализирана. Компаниите имат един месец, за да се съобразят.
- Правото на изтриване: Субектът на данни може да поиска от компанията да изтрие всички данни, които се съхраняват в тях при определени обстоятелства. Например, ако данните вече не са необходими или те оттеглят съгласието си да бъдат използвани.
- Правото за ограничаване на обработката: Ако дадена организация не може да изтрие данните на субектите на данни - например, защото се нуждаят от това за правни спорове - тогава може да поискат от компанията да ограничи начина, по който се използва.
- Право на преносимост на данните: Субектите на данни имат право да вземат личните си данни от една услуга и да я използват с друга.
- Право на възражение: Ако данните се събират без съгласие, но за законни бизнес интереси, за обществено благо или от официален орган, субектът на данните може да възрази. След това организацията трябва да спре да обработва данните, докато не докаже, че имат основателни причини за това.
- Права, свързани с автоматизирано вземане на решения, включително профилиране: GDPR въвежда предпазни мерки, така че хората да могат да възразят или да получат обяснение за автоматизираните решения, които засягат тях и техните данни..
Друга голяма част от регламентите е, че компаниите трябва да имат законна причина за събиране или обработка на всякакви данни. Една от законните причини е, че те са получили съгласие да я използват за конкретна цел, но има и други, които се нуждаят от нея, за да се съобразят със законовите задължения или че събирането им е от обществен интерес.
Както можете да видите, правата, дадени на гражданите на ЕС съгласно закона, са доста широки и принуждават компаниите, които събират данни от тях, наистина да мислят за това, което събират и защо. Старите дни на просто събиране на всичко, което могат и надявайки се, че ще намерят полза от него по-късно, са изчезнали - поне в Европа. Ето защо почти всяка услуга, която някога сте давали имейл адреса си, се свързва с вас.
Това, което има много компании в суматоха, е, че санкциите за това, че не са съвместими с GDPR, са доста сурови. Една организация може да бъде глобена до 20 милиона евро или 4% от техния световен годишен оборот (което е по-голямо) съгласно законите. За тези, които харесват Amazon или Google, това означава милиарди долари в потенциални глоби, ако се злоупотребява с данните на гражданите на ЕС.
Какво означава GDPR означава за американците?
В тази статия ние се фокусирахме върху това какви права дава GDPR на жителите на ЕС по простата причина, че това е законодателство на ЕС. Това всъщност не се отнася за американските граждани, освен ако те не са също и жители на ЕС. Причината да получавате всички имейли е, че повечето компании нямат начин да кажат кой е гражданин на ЕС и кой не.
Това обаче не означава, че GDPR няма да ви засегне. Това накара много компании да преосмислят начина, по който обработват потребителските данни, а някои от тях започнаха да говорят за прехвърляне на правата на GDPR към резиденти извън ЕС. Също така е по-лесно за компаниите да наложат единен набор от правила за всички клиенти в много случаи.
Например, Apple пусна нов портал за неприкосновеност на личния живот, където хората могат да изтеглят всичките си лични данни или да изтрият акаунта си, с други думи да предоставят на хората права за достъп и изтриване. За момента само сметки на базата на ЕС могат да го използват, но Apple планира да ги пусне по света през следващите няколко месеца. Също така Facebook мърмори да даде същите защити на GDPR на някои потребители извън ЕС.