Евросоюз вводит новые правила работы с персональными данными

Документ обязывает компании, в том числе и работающие в интернете, предоставить людям новые возможности защищать и контролировать сведения о себе. За нарушение регламента организациям могут грозить штрафы: минимальный — 10 миллионов евро или 2% годового оборота компании, максимальный — в два раза больше. «Медуза» кратко рассказывает о том, какие права и возможности теперь появятся у граждан Евросоюза — и не только.

Нормы европейского регламента распространяются на так называемые объекты данных. Это всегда конкретные люди. Они получают новые права и возможности по контролю над тем, как компании собирают и обрабатывают их персональные данные.

На вас должны распространяться новые правила:

- Если в момент обработки данных вы находитесь в Евросоюзе. Даже если вы иностранец и прилетели в ЕС на выходные. 

- Если компания или ее подразделение, работающее с вашими персональными данными, зарегистрированы в Евросоюзе. Например, вы покупаете в европейском интернет-магазине какие-то товары или услуги.

Правила на вас не распространяются:

- Если и вы, и компании, которые собирают и обрабатывают ваши персональные данные, находитесь за пределами Евросоюза. Даже если вы гражданин ЕС.

Компании должны объяснить ваши права простым и понятным языком. А уж потом брать согласие на обработку

Мало кто как следует читает договоры, когда хочет получить услугу. Простой пример: почти никто не читает пользовательское соглашение перед тем, как зарегистрироваться в соцсети или подписаться на какой-нибудь сервис. Одна из причин в том, что эти документы часто написаны непонятным юридическим языком. Теперь перед тем, как взять с человека согласие на обработку персональных данных, компании должны будут доступно разъяснить, о чем идет речь, перечислить его права.

Вы можете выяснить, что компания знает о вас и как использует эти данные

В регламенте четко прописано право человека получить от компании подробные сведения о том:

- какие именно данные она собирает о нем,

- в какой форме собираются данные,

- как используются,

- кто имеет к ним доступ,

- используются ли данные для автоматического составления профиля пользователей (например, чтобы потом показывать им таргетированную рекламу),

- по каким критериям определяется, сколько времени эти данные хранятся, и так далее.

И сделать это должно быть так же просто, как и дать согласие на предоставление персональных данных.

Вы сможете требовать удалить или запретить использовать свои персональные данные

Правом на забвение можно будет воспользоваться, если:

- персональные данные уже использовали по назначению и больше они не нужны,

- было отозвано согласие на обработку данных и нет законных преград для их удаления,

- данные собирались незаконно.

Правом на запрет использования можно воспользоваться, если вы, к примеру, собираетесь засудить компанию за нарушение правил обработки персональных данных, но не хотите терять улики. Или до тех пор пока компания не исправит или дополнит ваши персональные данные, если в них содержатся неточности.

Дети могут самостоятельно регистрироваться в интернете только с 16 лет

Если ребенок не достиг этого возраста, необходимо будет заручиться согласием его родителей или законных представителей. Из-за этого некоторые интернет-компании (например, мессенджер WhatsApp) подняли минимальный возраст пользователей в Европе до 16 лет.

Компаниям запретят собирать некоторые виды персональных данных

В общем случае нельзя будет собирать и обрабатывать информацию о:

- расовой или этнической принадлежности,

- политических взглядах,

- исповедуемой религии,

- членстве в профсоюзах,

- состоянии здоровья,

- сексуальной ориентации.

Генетические и биометрические данные нельзя собирать с целью точной идентификации отдельного человека. То есть какая-нибудь кофейня не сможет собирать с чашек образцы ДНК своих посетителей и таким образом отслеживать их предпочтения.

Замалчивать утечки данных будет запрещено

Если произойдет утечка важных персональных данных, вам об этом сообщат и понятным языком объяснят, что произошло. Обо всех серьезных утечках компании должны будут в течение 72 часов уведомлять надзорные инстанции.