Що таке загальний регламент захисту даних (GDPR)?
Загальний регламент захисту даних (GDPR) - це законодавча база, яка встановлює вказівки щодо збору та обробки персональної інформації від осіб, які проживають в Європейському Союзі (ЄС). Оскільки Регламент застосовується незалежно від того, де розміщені веб-сайти, до нього слід звертати увагу на всі сайти, які приваблюють європейських відвідувачів, навіть якщо вони спеціально не продають товари чи послуги для резидентів ЄС.
GDPR зобов’язує відвідувачів ЄС отримувати ряд розкриття даних. Сайт також повинен вжити заходів для сприяння таким споживчим правам ЄС, як своєчасне повідомлення в разі порушення персональних даних. Прийнятий у квітні 2016 року Регламент набув повноцінної дії в травні 2018 року, після дворічного перехідного періоду.
Вимоги до обслуговування клієнтів GDPR
Згідно з правилами, відвідувачі повинні бути повідомлені про дані, які збирає з них сайт, і явно дають згоду на цей збір інформації, натиснувши кнопку погодитися або іншу дію. (Ця вимога багато в чому пояснює всюдисущу інформацію про те, що сайти збирають «куки» - невеликі файли, що містять особисту інформацію, таку як налаштування сайту та налаштування.)
Сайти також повинні своєчасно повідомляти відвідувачів про порушення будь-яких їх персональних даних, розміщених на веб-сайті. Ці вимоги ЄС можуть бути більш суворими, ніж вимоги, що вимагаються в юрисдикції, в якій знаходиться сайт.
Також обов'язковою є оцінка безпеки даних на сайті, а також, чи потрібно найняти спеціального службовця з захисту даних (DPO), чи наявний персонал може виконувати цю функцію.
Інформація про те, як зв’язатися з ВООЗ та іншими відповідними працівниками, повинна бути доступною, щоб відвідувачі могли користуватися своїми правами на дані ЄС, які, серед інших заходів, також включали можливість їх присутності на веб-сайті. (Природно, що сайт також повинен додавати персонал та інші ресурси, щоб мати змогу виконувати такі запити.)
Інші правила та мандати Загального регламенту щодо захисту даних (GDPR)
В якості подальшого захисту споживачів GDPR також вимагає будь-яку особисту інформацію (PII), яку сайти збирають, бути або анонімізованою (надається анонімною, як випливає з цього терміна), або псевдонімізованою (особистість споживача замінена на псевдонім). Псевдонімізація даних дозволяє фірмам робити ще більш обширний аналіз даних, наприклад, оцінювати середній коефіцієнт заборгованості своїх клієнтів у певному регіоні - розрахунок, який інакше може перевищувати вихідні цілі, зібрані для оцінки кредитоспроможності за кредитом.
GDPR впливає на дані, що перевищують дані, отримані від клієнтів. Мабуть, особливо це правило стосується кадрових записів працівників.
Суперечки, пов'язані з GDPR
GDPR викликає критику в деяких районах. Деякі вимоги щодо призначення ДПО або просто для оцінки потреби в них накладають надмірну адміністративну тягар для деяких компаній. Деякі також скаржаться, що вказівки занадто розпливчасті щодо того, як найкраще поводитися з даними про працівників.
Крім того, дані не можуть бути передані іншій країні за межами ЄС, якщо компанія-отримувач не гарантує той самий ступінь захисту, який вимагає ЄС. Це призвело до скарг на дороге порушення бізнесу.
Існує додаткова стурбованість тим, що витрати, пов’язані з GDPR, зростатимуть з часом, частково через зростаючу потребу в навчанні клієнтів та службовців щодо загроз захисту даних та засобів їх захисту. Існує також скептицизм щодо того, як можливі органи захисту даних по всьому ЄС та за його межами можуть узгодити їх виконання та тлумачення регламентів, і таким чином забезпечити рівні умови, коли GDPR набуде більш повного ефекту.
