Il 25 мая 2018 Интернет изменился раз и навсегда. По крайней мере в Европе. Даже если многие не понимали этого в то время, это было с того дня GDPR вступил в силу, регулирование, желаемое Европейской комиссией для стандартизации правил, касающихся обработки данных граждан на всем Старом континенте (включая Швейцарию). GDPR, в частности, транспонирует, «включает» и заменяет все национальные правила обработки персональных данных и защиты конфиденциальности.

Однако, что именно изменилось по сравнению с прошлым и что компании должны сделать чтобы не нарушать GDPR? И Какие санкции предусмотрены для тех, кто нарушает GDPR? Давайте во всем разберемся, разобрав практический случай.

Что такое GDPR

Акроним для Положение о защите данных Общие, Общее положение о защите данных на итальянском языке, GDPR — это набор правил и положений, которым должны соответствовать все субъекты, обрабатывающие данные веб-пользователей. В частности, GDPR касается обработка персональных данных пользователей компаниями, их сохранение последними и возможность для самих пользователей управлять ими простым и немедленным способом.

GDPR: что он дает

Ключевых моментов, вокруг которых вращается вся структура GDPR, по сути два:

• Упростить нормативно-правовую базу, в которой компании работают на рынке Европейского Союза (и других стран, имеющих соглашение с ЕС);
• Предоставьте пользователям больший контроль над своими данными с момента их получения компанией и до момента их удаления.

Чтобы это было возможно, GDPR требует от компаний, чтобы запросы на согласие были более четкими и «читабельными» для пользователей; устанавливаются лимиты на обработку и использование данных; наложение санкций на компании, которые нарушают положения правил обработки данных. Кроме того, в случае утечки данных (потеря данных, как правило, в результате кражи, совершенной преступниками) контролер данных (профессионал в компании, называемый Сотрудник по защите данных ) требуется как можно скорее уведомить власти и законных владельцев. Если этого не происходит, то штрафы, предусмотренные GDPR они станут еще более солеными.

В середине 2020 года появилась новинка относительно Согласие на обработку данных которые компании собирают с помощью веб-инструментов. Фактически, в предыдущие два года пользователю было достаточно прокрутить часть веб-страницы, чтобы считать согласие на лечение полученным. Решение Европейского суда устанавливает, что согласие должно быть активным и недвусмысленным. Это означает, что пользователь, чтобы принять файлы cookie, необходимо нажать на баннер, чтобы запросить согласие, выбирая, разрешать ли использование строго необходимых технических файлов cookie или всех файлов cookie. По этой причине, например, вы все чаще и чаще видите баннер согласия, даже если это сайт, который вы часто посещаете.

Чем рискуют те, кто нарушает GDPR: санкции

GDPR также предусматривает санкции довольно тяжелый в случае, если обработка данных компанией не соответствует положениям, содержащимся в них, или не выполняет свои обязательства в области связи.

Санкции бывают двух видов, в зависимости от серьезности совершенного нарушения. За незначительные нарушения (такие как отсутствие реестра обработки данных, неспособность назначить контролера данных, неуведомление о нарушении данных) наступает штраф. до 10 миллионов евро или 2% от мирового оборота если выше этой цифры. За серьезные нарушения (такие как отсутствие согласия на лечение, нарушение прав заинтересованной стороны, отсутствие или несоответствие информации о конфиденциальности и нарушение положений, касающихся передачи данных) штраф составляет до 20 миллионов евро или 4% мирового оборота.

Например, Alphabet, холдинговая компания, контролирующая Google и все компании на орбите гиганта Маунтин-Вью, имеет годовой оборот в 46 миллиардов долларов и в случае серьезного нарушения может быть вынуждена выплатить до 1,9 миллиард долларов штрафа.

Санкции GDPR: дело H&M

Однако управление данными и их защита касаются не только клиентов и пользователей сайта. Данные сотрудников также должны собираться, обрабатываться и архивироваться в соответствии с положениями Общего регламента обработки данных. Один из примеров — H&M., оштрафованная на сумму более 35 миллионов евро за незаконное профилирование своих сотрудников. Нарушение данных фактически раскрыло настоящий случай внутреннего шпионажа: как минимум с 2014 года H&M записывает данные, информацию и разговоры своих сотрудников, архивируя все (без авторизации) на частных серверах.

Особенно агрессивная деятельность по профилированию, что, очевидно, негативно сказалось на рабочих отношениях между шведским модным гигантом и его сотрудниками. Таким образом, орган по защите данных Гамбурга оштрафовал H&M на 35,3 миллиона евро. Со своей стороны компания принесла извинения сотрудникам, замешанным в скандале, кардинально реорганизовав офис.

Санкция, которая также служит предупреждением для всех других компаний: государственные органы (в данном случае немецкие, но санкции одинаковы по всему Европейскому Союзу и касаются также компаний, базирующихся за пределами ЕС) не разрешают данные нарушений или обработки данных, которые не соответствуют положениям GDPR. Любой, кто пойман на месте совершения преступления, дорого заплатит за свое поведение.