Какъв е законът за поверителност на GDPR и защо трябва да се грижите за него?

Общият регламент за защита на данните (GDPR) е ново законодателство на Европейския съюз, което влиза в сила днес и е причината да получавате непрекъснати имейли и известия за актуализации на правилата за поверителност. И така, как това ви засяга? Ето какво трябва да знаете.

Новият закон за ГДРП влезе в сила днес, 25 май 2018 г. и обхваща защитата на данните и неприкосновеността на личния живот на гражданите на ЕС, но също така се отнася за много други страни по различни начини и тъй като всички техни гиганти са огромни мултинационални корпорации , тя засяга много неща, които използвате ежедневно.

Проблемът GDPR се опитва да реши: компаниите събират и злоупотребяват с вашата лична информация

От началото на интернет компаниите събират възможно най-много данни на всеки, който могат. Лесно е да се събере тази информация, така че няма причина да не я затрупват.

Проблемът е, че през последните няколко години много компании са били уловени, като не са успели да защитят или да използват злоупотреба личната ви информация. Скандалът Cambridge Analytica, в който изследовател е използвал тест във Facebook, за да събере огромно количество данни за милиони потребители на Facebook и след това да го продаде на консултантска фирма, е само най-скорошният пример. Равносметката на Equifax през миналата година беше особено лоша, защото информацията, изтекла, можеше да се използва за отваряне на кредитни карти. И това са само големите скандали. Много компании злоупотребяват с данните ви по по-малки начини, като например да ги продават на рекламни компании от трети страни.

ЕС е обърнал лоша представа за ситуацията и използва GDPR, за да се опита да го поправи. Съгласно новите закони, компаниите, които не защитават адекватно потребителските данни или злоупотребяват с тях по никакъв начин, са изправени пред огромни глоби.

Какво се счита за лични данни?

GDPR защитава "личните данни", което означава "всякаква информация, свързана с идентифицирано или разпознаваемо физическо лице" - и това е доста широка дефиниция. В действителност личните данни обикновено включват неща като:

• Биографични данни като вашето име, адрес, телефонен номер, номер на социална осигуровка и т.н.
• Данни, свързани с вашия външен вид и поведение като например цвят на косата, раса и височина.
• Информация за образованието и трудовата ви история, като вашата заплата, колеж, GPA, данъчен номер и т.н.
• Всички медицински или генетични данни.
• Неща като историята на обажданията, личните ви съобщения или данните за географското местоположение.

Това далеч не е от пълен списък. Ключът е, че всички данни, които ви правят идентифицируеми, се броят. При определени обстоятелства може да е достатъчно вашият цвят на косата. В други, дори пълното ви име - ако е нещо обичайно като Робърт Смит - може да не ви накара да бъдете идентифицируеми.

Какво прави GDPR?

ГДРП дава на гражданите на ЕС, които събират личните си данни, наречени "субекти на данни" в законните осем права. Те са:

• Правото на информация: Ако дадена компания събира данни, те трябва да съобщят на субектите на данни какво се събира, защо се събират, за какво се използва, колко време ще бъде запазено и дали ще бъде споделено с трети страни. Тази информация не може да бъде погребана дълбоко в условия на обслужване, които никой не чете; тя трябва да бъде кратка и ясна.
• Правото на достъп: Ако поискат, всяка организация, която има лични данни относно субекта на данни, трябва да я предостави в рамките на един месец.
• Правото на поправка: Ако даден субект на данни установи, че фирма има данни за тях, които са неправилни, те могат да изискват актуализирането им. Компаниите имат един месец, за да се съобразят.
• Правото за изтриване: Субектът на данни може да поиска от дадена фирма да изтрие всички данни, които се държат върху нея при определени обстоятелства. Например, ако данните вече не са необходими или те оттеглят съгласието си за използването й.
• Право на ограничаване на обработката: Ако дадена организация не може да изтрие данните на субектите на данни - например, защото имат нужда от тях по правни въпроси - те могат да поискат от компанията да ограничи начина, по който тя се използва.
• Право на преносимост на данни: Субектите на данни имат правото да вземат личните си данни от една услуга и да я използват с друг.
• Право на възражение: Ако данните се събират без съгласие, а за законни бизнес интереси, за обществено благо или за официален орган, субектът на данните може да възрази. След това организацията трябва да спре обработването на данните, докато не докажат, че имат основателни причини да направят това.
• Права, свързани с автоматизираното вземане на решения, включително профилиране: GDPR въвежда предпазни мерки, така че хората да могат да се противопоставят или да получат обяснение за автоматизираните решения, които засягат тях и техните данни.

Друга голяма част от регламентите е, че компаниите трябва да имат законна причина да събират или обработват данни. Една от законните причини е, че те са получили съгласието да я използват за конкретна цел, но има и други, като те се нуждаят от тях, за да се съобразят със законовите задължения или че събирането им е в обществен интерес.

Както можете да видите, правата, дадени на законните граждани на ЕС, са доста широки и принуждават компаниите, които събират данни от тях, да мислят наистина за това, което събират и защо. Старите дни, когато просто събират всичко, което могат, и се надяват, че ще намерят приложение за него по-късно, са изчезнали - поне в Европа. Ето защо почти всяка услуга, която някога сте дали вашият имейл адрес, се свързва с Вас.

Това, което има много компании в разгорещеност, е, че санкциите за това, че не са съвместими с GDPR, са доста сурови. На организацията могат да се налагат глоби до 20 милиона евро или 4% от техния годишен оборот в световен мащаб (в зависимост от това кое е по-голямо) съгласно законите.За хора като "Амазон" или Google, това ще доведе до потенциални глоби на милиарди долари, ако не използват данните на жителите на ЕС.

Какво означава GDPR сред американците?

В цялата тази статия се фокусирахме върху правата, които GDPR предоставя на жителите на ЕС по простата причина, че това е закон на ЕС. Това всъщност не се отнася за американски граждани, освен ако не живеят и в ЕС. Причината, поради която получавате всички имейли, е, че повечето компании нямат начин да кажат кой е гражданин на ЕС и кой не.

Това обаче не означава, че GDPR няма да ви засегне. Това е причина много компании да преоценят как се справят с потребителските данни и някои от тях са започнали да говорят за прехвърлянето на правата на GDPR върху нерезиденти на ЕС. Освен това е много по-лесно компаниите да въведат единен набор от правила за всички клиенти в много случаи.

Например, Apple стартира нов портал за поверителност, където хората могат да изтеглят всичките си лични данни или да изтрият сметката си, с други думи да предоставят на хората права на достъп и изтриване. Засега само сметки в ЕС могат да го използват, но Apple планира да го разпространи в световен мащаб през следващите няколко месеца. По същия начин Facebook мърмори да даде едни и същи GDPR защита на някои потребители извън ЕС.