Gdpr что это такое ssd

Обновлено: 03.07.2024

Регламент Европейского парламента 2016/679 по защите персональных данных GDPR вступит в силу 25 мая 2018 года. Мы изучили его основные принципы, нововведения и возможные штрафы за нарушения. Как подготовиться email маркетологу к новым правилам, расскажем в нашей статье.

Что такое GDPR

Цифровой маркетинг основан на анализе больших объемов данных о потребителях. Эта информация помогает создавать релевантные предложения и достигать больших результатов.

Однако обрабатывать информацию нужно законно. Именно для этого и вступают в силу обновленные правила Регламента — General Data Protection Regulation (GDPR). Согласно этому Постановлению, компаниям, которые работают с личной информацией пользователей, нужно пересмотреть три главных аспекта:

  1. Сбор данных.
  2. Обработку, хранение, изменение, удаление и передачу полученных сведений.
  3. Безопасность персональных данных.

На кого распространяется GDPR

Россия, Украина, Беларусь и другие страны СНГ не попадают под действие законодательства ЕС, но если в вашей базе подписчиков есть хоть один европеец, соблюдать правила придется.

Ответственные стороны

Давайте рассмотрим, кто участвует в сборе, обработке и хранении информации и какие обязанности выполняет:

  1. Субъект данных — человек, который оставил личную информацию.
  2. Контролер (data controller) — тот, кто получает персональные данные, а затем определяет цели и механизм их обработки (processing). Контролером считается любой бизнес, который собирает и использует информацию о пользователях. Он рассказывает зачем собирают данные, документирует процессы обработки, оценивает риски, связанные со сбором информации, заботится о безопасности данных и уведомляет надзорные органы и граждан о проблемах с ними.
  3. Обработчик (data processor) — компания-подрядчик, которая собирает, обрабатывает и хранит персональные данные по поручению контролера. В email маркетинге эту нишу занимает сервис рассылок. Обработчик уведомляет контролера о нарушениях.
  4. Надзорный орган (supervisory authority) — сторона, которая следит за обработкой персональных данных. Этот орган определяет значимость нарушения и назначает соответствующие штрафы.

Штрафы

Потенциальные штрафы за несоблюдение правил GDPR суровы. Они делятся на две категории и зависят от типа нарушения.

До 10 миллионов евро

Эта сумма или 2% от годового дохода компании — в зависимости от того, какая из них будет больше, назначается за нарушения обязательств контролера и обработчика. Сюда входят согласие на обработку данных ребенка и безопасность персональных данных.

До 20 миллионов евро

Такой размер штрафа или 4% от годового оборота компании — в зависимости от того, какая сумма будет больше, грозит за нарушение ключевых правил GDPR. Это основные права субъектов данных, принципы обработки и передачи персональных данных, правила согласия.

Если нарушение незначительное, компания получит выговор.

Рассмотрим ключевые принципы обработки данных согласно GDPR.

Законность, справедливость и прозрачность

Компания объясняет простым и понятным языком для чего и на каких условиях собирает персональные данные. Пользователь получает открытый доступ к этой информации, благодаря чему знает, как используются предоставленные сведения, и осознает риски, правила и свои права в их отношении.

В email маркетинге часто используют лид-магниты, чтобы увеличить базу подписчиков. Это полезный контент в виде бесплатных пробных периодов, статей, руководств и других материалов, которые потребитель получает не за деньги, а в обмен на контактные данные.

Чтобы такой метод соответствовал правилам GDPR, получите явное согласие пользователей на хранение и обработку данных. Такое согласие заключается в утвердительном действии подписчика, например:

  • галочка на сайте,
  • выбор технических настроек в личном кабинете сайта,
  • либо другое действие или документальное подтверждение того, что подписчик ознакомился с порядком обработки данных.

Как получить явное согласие в email маркетинге

При подписке просите пользователей ознакомиться с политикой конфиденциальности (privacy policy) и правилами использования (terms of use). В этих документах подробно опишите, каким образом вы собираете сведения о клиентах, как систематизируете, храните, изменяете и удаляете их.

Собирайте базу адресов с помощью double opt-in. При single opt-in пользователь вводит электронный адрес и нажимает «подписаться». Если же используется double opt-in, пользователю нужно дополнительно перейти по ссылке или нажать на кнопку в письме-подтверждении. Это и является активным действием субъекта данных, которым он дает явное согласие на обработку и хранение личной информации.

Как вариант, под активным действием субъекта данных может подразумеваться проставленная галочка в чекбоксе формы, как на примере ниже. В первом чекбоксе пользователь отметит, что ознакомлен с правилами использования и политикой конфиденциальности, а во втором согласится на рассылку. Не проставляйте галочки заранее — такое согласие не соответствует правилам GDPR.


Используйте другие каналы коммуникации. Наладить контакт можно не только с помощью email. Достойная альтернатива — это web push уведомления. При подписке на web push пользователи не оставляют персональные данные, но дают явное согласие получать уведомления, нажимая кнопку «Разрешить».

Explicit_consent_web_push

С помощью web push вы сможете оповестить клиентов о новостях, акциях и других важных событиях.

Web_push_notification

Минимизация данных

Регламент призывает маркетологов собирать лишь релевантные сведения о клиентах, которые понадобятся для выполнения целей. Если вам нужно знать размер верхней одежды подписчика или его цветовые предпочтения, обоснуйте зачем. Иначе собирать эти данные не рекомендуется.

Не просите лишней информации

Ограничивайтесь минимумом и обдумывайте вопросы, которые вы задаете в письмах-опросниках и формах подписки.

К примеру, туристическая компания Massachusetts Office of Travel & Tourism добавляет опрос в рассылку, приуроченную к Хеллоуину, но интересуется только тем, что поможет предложить релевантный тур.

Survey

Нажимая кнопку «Принять участие в опросе», подписчик переходит к страницам, где оставляет свои данные:

  • возраст,
  • информацию о детях,
  • города в штате Массачусетс, которые желает посетить,
  • когда предпочитает путешествовать: на выходные или в будни,
  • отношение к страшным развлечениям в этот праздник.

Survery in detail

Точность

Согласно этому принципу, пользователь имеет право попросить компанию об исправлении неточной или неактуальной информации о себе. Реагировать на такие запросы нужно быстро, поэтому разработайте удобную систему обновления данных.

Предложите подписчикам обновить предпочтения

Добавьте ссылку на страницу настроек в письмо (email preferences, update preferences, manage preferences) или подключите службу поддержки к изменению личной информации пользователя. При наличии страницы настроек, пользователи смогут перейти по ссылке и обновить данные о себе самостоятельно. Смотрите, как это делает компания Astley Clarke в своем письме.

Email_preferences

Вот что может изменить подписчик на странице предпочтений Astley Clarke:

Page_of_preferences

Ограничение цели

Собирайте и используйте личную информацию только в заявленных целях. Не утаивайте свои намерения от пользователя и обязательно просите повторного согласия, если первоначальная цель изменилась.

Говорите правду пользователям

Чтобы повторно не обращаться к подписчикам, продумайте все цели сбора данных наперед и четко обозначьте их в политике конфиденциальности.

В каких целях можно собирать данные:

Ограничение хранения

Компании разрешается хранить личные данные пользователя до тех пор, пока это необходимо для целей обработки.

Продумайте политику хранения данных

В отдельном пункте политики конфиденциальности опишите, как долго вы храните данные и что с ними происходит, когда подписчик уходит от вас.

Целостность и конфиденциальность

Компания несет ответственность за сохранность полученных данных, а значит защищает их от незаконной обработки, случайной потери, уничтожения или повреждения.

При утечке личной информации не мешкайте. В течение 72 часов сообщите пользователю и Национальному органу по защите данных (Data Protection Authorities) о случившемся.

В России данную функцию исполняет Роскомнадзор. В уведомление входит расследование инцидента, его причины, а также описание принятых мер. Все это необходимо для своевременной реакции субъектов и минимизации финансовых и других потерь.

Заботьтесь о безопасности данных и приучайте к этому пользователей

Перенесите информацию о пользователях из файлов Excel и Google Docs в систему CRM — это безопаснее и удобнее.

Права субъектов данных

Новые правила GDPR расширяют права европейцев по контролю своих персональных данных. Ответственность за их соблюдение несет контролер.

Доступ

Не ограничивайте доступ пользователя к данным. Рассказывайте, кто использует полученную информацию и зачем. Указывайте период хранения.

Портативность

Теперь пользователь может попросить электронную копию своих персональных данных. И передать материалы пользователю или другому сервису нужно в течение 30 дней. Такое нововведение упрощает процесс смены сервиса.

Удаление данных

Для email маркетинга — это в первую очередь изъятие электронного адреса субъекта из всех адресных книг. Прямая ссылка отписки в письме ускоряет этот процесс. Если подписчик больше не хочет получать рассылки, ему достаточно нажать на кнопку или перейти по ссылке «отписаться».

Unsubscribe GDPR

В сервисе SendPulse вам не придется удалять каждого отписавшегося вручную. Адреса таких пользователей попадают в список отписавшихся и в дальнейшем рассылка на эти адреса блокируется.

Unsubscribed_list

Ограничение обработки данных

Если пользователя не устраивает автоматическая обработка данных, он может запросить, чтобы его профиль составлял вручную живой человек. Опишите в правилах конфиденциальности, как у вас происходит ручная обработка данных и кто из сотрудников в ней задействован.

Защита детей

Чтобы собирать и обрабатывать данные детей до 16 лет, сначала получите согласие родителей. Не забудьте указать в политике конфиденциальности, как именно дети будут подписываться на рассылку.

Подведем итоги

Чтобы соответствовать требованиям принципов GDPR и уберечь себя от штрафов, начните с этих пяти шагов:

GDPR - (General Data Protection Regulation) - это закон, принятый Европейским Парламентом, который описывает правила защиты данных для граждан ЕС, которое начнет работать с 25 мая.

Последние утечки данных, в частности, исследования, проводимых Cambridge Analytica или приложение GetContact, показывают, насколько ваши данные могут быть использованы для разных целей компаниями.

Но я же в России (или в другой стране, не входящей в ЕС)

Сервисы не могут придумывать 100500 разных политик использования персональных данных для разных стран и стараются отвечать самым жестким требованиям, чтобы в будущем обезопасить свое развитие.

А что будет, если сервисы не будут отвечать данным требованиям?

Штрафные санкции включают в себя штрафы до 20 миллионов евро или 4% годового глобального оборота компании (смотря что больше). Например, утечка данных мобильного оператора TalkTalk в 2015 году было оценено рекордным штрафом в 500 тысяч фунтов стерлингов, то по новому закону было бы оценено в 59 миллионов фунтов стерлингов.

Некоторые компании, в свете новых требований начали отказываться от пользователей сервисов в Европе.

Так что там будет защищено, что пугает компании типа Гугла или Фейсбука?

При утечке данных пользователей компании обязаны отчитаться об этом регулятору страны в течение 72 часов, пользователей которых это затронуло.

Для компаний, у которых больше 250 сотрудников, нужно объяснение какие данные и почему они собираются.

Но основное нововведение, что компании должны получить согласие от пользователя, что конкретная информация будет собираться и обрабатываться.

Пользователи отныне имеют право знать какие данные собираются и запросить удаление тех данных, которые уже не нужны, или уже не релевантны.

По логике данного закона "персональные данные" включают в себя информацию, по которому можно определить человека, например, айпи адрес, имя, телефон, адрес, а также состояние здоровья, экономическое или культурное положение.

Если вы просто пользуетесь сервисами, то примите новые политики. Без этого они перестанут работать для вас начиная с 25 мая.

Если у вас есть сайт или какой-нибудь сервис, которыми пользуются граждане ЕС, то обязательно проверьте на следование закону.

Фото: Leon Neal / Getty Images

В 1995 году странами Евросоюза была принята Директива № 95/46/ЕС о защите прав частных лиц при обработке персональных данных (ПД). Однако компании в основном игнорировали ее. В итоге 25 мая 2018 года на смену документу пришел Общий регламент по защите данных (General Data Protection Regulation или GDPR). Важным отличием GDPR является его экстерриториальный принцип действия. Закон может затрагивать и российские компании. РБК Тренды разобрались, в чем преимущества этого документа для интернет-пользователей и в чем его отличие от российского аналога.

К каким компаниям применяется GDPR

Требования GDPR работают не только для европейских организаций, но и для иностранных компаний, которые имеют дело с персональными данными граждан ЕС или лиц, находящихся в ЕС.

Чтобы деятельность структуры была нацелена на ЕС, достаточно, чтобы на ее сайте было предусмотрено использование национального языка и валюты государства — члена Евросоюза, либо содержалось упоминание о потребителях или пользователях из этого региона.

Даже если сайт компании не содержит подобных упоминаний, достаточно того, что она может отслеживать активность любых пользователей и собирать эту информацию в своих целях. Важно, что GDPR применяется только при использовании персональных данных для маркетинговых целей и при мониторинге поведения пользователей в Европе. К примеру, на сайте организации может работать «Яндекс.Метрика» или Google Analytics, соответственно, он подпадает под действие GDPR. В 2018 году журналист «Медузы» (признана иноагентом в России) Султан Сулейманов, живущий в Латвии, воспользовался GDPR, чтобы запросить у «Яндекса» информацию о себе. Ответ пришел через два с половиной месяца после запроса. Он содержал ссылки на «Яндекс.Диск» с архивом копий данных, инструкции о том, как выгрузить письма из «Яндекс.Почты» и все файлы с «Яндекс.Диска». Архив включал текстовые документы в машиночитаемом виде по папкам в соответствии с сервисами «Яндекса»: «Карты», «Такси», «Кинопоиск», «Поиск» и др. Никаких пояснений к данным не было.

Содержимое архива Яндекса

Организация обязана назначить себе представителя в ЕС при хотя бы одном из условий:

  • постоянная обработка данных;
  • обработка в крупных размерах специальных категорий персональных данных;
  • обработка ПД, связанных с судимостями или преступлениями;
  • высокий риск нарушения прав и свобод человека.

Представителем компании может стать физическое или юридическое лицо, которое должно находиться в той же стране ЕС, что и субъекты данных. Оно взаимодействует с органами власти и несет ответственность за нарушения.

Фото:Unsplash

Кто отвечает за обработку данных

Процесс обработки информации включает субъекта персональных данных, а также контролера и процессора. В соответствии с GDPR контролер — это физические или юридические лица, которые определяют, с какой целью и какими средствами обрабатываются данные. На них ложится вся ответственность за выполнение требований по обработке и защите ПД. Процессор или обработчик — это физические или юридические лица, которые занимаются обработкой персональных данных по поручению контролера. Таким образом, обработка ПД становится возможной только от имени контролирующей организации. Контролер может сам выступать процессором, либо поручать эту работу сторонней компании.

GDPR и ФЗ «О персональных данных». Сходства и различия

Согласно статье 3 российского Федерального закона «О персональных данных», персональные данные — это любая информация, прямо или косвенно позволяющая определить физическое лицо. В GDРR имеется аналогичное определение, но вместо слова «определить» в нем используется «идентифицировать».

В европейском законе более подробно описывается информация, относящаяся к персональным данным:

  • имя;
  • идентификационный номер;
  • данные о местоположении;
  • онлайн-идентификатор;
  • комбинация идентификаторов/показателей. К онлайн-идентификаторами относятся IP-адреса, файлы cookie и т.п.

В российском ФЗ содержится понятие «обезличенных данных». Это анонимизированные персональные данные. Их гражданско-правовой оборот допускается для коммерческих целей и продажи третьим лицам. В законе прописано, что при статистических, исследовательских и аналитических целях согласие субъекта на их обработку не требуется. Однако формулировка статьи предполагает, что такие данные могут использоваться свободно и без получения согласия, даже если впоследствии возможно их соотнесение с личностью.

Фото:Shutterstock

Понятие согласия возникает при обработке персональных данных, несовместимой с целями их сбора. Однако и в этом случае обработка информации без согласия субъекта допускается при его участии в судопроизводстве, для исполнения полномочий власти, исполнения договора, для защиты жизни, здоровья или иных жизненно важных интересов субъекта, прав и законных интересов оператора или третьих лиц.

И российский ФЗ, и GDPR описывают согласие субъекта на обработку его данных. В обоих случаях документы подчеркивают принципы конкретности, информированности и сознательности. Но GDPR обязывает, чтобы согласие было вынесено отдельно от других условий и соглашений и включало все цели обработки. Процесс отзыва согласия должен быть простым, а запрос на обработку данных — обоснованным. Например, можно оспорить ситуацию, когда сервис по редактированию фотографий запрашивает согласие на обработку геолокаций.

Закон о персональных данных РФ содержит семь принципов обработки данных, а GDPR — шесть. В отличие от российского ФЗ, в GDPR важным является принцип прозрачности и оповещения о действиях, связанных с обработкой данных пользователей. Закон гласит, что информация должна быть легко доступной и ясной для субъекта. В мае 2021 года власти Германии запретили WhatsApp обрабатывать пользовательские данные жителей страны и отправлять их в рекламную сеть Facebook. Местный регулятор настаивает, что новые положения политики WhatsApp непрозрачны, сбивают с толку, вводят в заблуждение и противоречат сами себе, из-за чего пользователям трудно осознать последствия их согласия с новыми условиями.

Фото:Win McNamee / Getty Images

Условия правомерной обработки ПД в России и ЕС сопоставимы, но GDPR позволяет государствам вводить свои дополнительные требования. Европейский закон также устанавливает особые правила для дачи согласия несовершеннолетним. За детей, не достигших 16 лет, согласие должно давать лицо, осуществляющее функции родителя или опекуна.

В обоих документах присутствует право субъекта получить свои данные и информацию о том, как они обрабатываются, исправлять и удалять сведения о себе (право на забвение). Но есть отличие именно в составе этих данных. Если в российском ФЗ говорится, что человек может получить все обработанные данные по запросу, то в GDPR — только информацию об обработке в момент получения персональных данных.

Кроме того, в европейском законе выделено положение о праве на перенос своих данных. Компания должна предоставлять эти данные в структурированном и

машиночитаемом формате и передавать другой организации по запросу субъекта.


Схема действий при утечке данных прописана только в GDPR. Компания обязана проинформировать о ней надзорные органы и субъектов, иначе на нее будет наложен штраф. Надзорный орган назначается в каждой стране ЕС, а их руководители образуют Европейский совет по защите данных. В 2020 году комиссия по защите данных Ирландии оштрафовала Twitter за утечку данных пользователей, которая обнаружилась еще в январе 2019 года. Из-за ошибки приложение отключило параметр «Защитить ваши твиты» для некоторых пользователей, которые изменяли настройки своего аккаунта. Соцсеть должна была уведомить комиссию в течение 72 часов с момента обнаружения неисправности, но не сделала этого. В итоге сумма штрафа составила €450 тыс.

Извинения Twitter

GDPR вводит штрафы за любые нарушения. Их размеры доходят до 4% годового оборота компании (до €20 млн). Нематериальные санкции могут включать запрет со стороны надзорного органа на обработку персональных данных или их передачу контрагенту до момента устранения нарушений. Однако сначала надзорный орган выносит предупреждение и дает время на устранение нарушения. Компаниям выписывают крупные штрафы только при повторяющихся нарушениях. В 2019 году Французская национальная комиссия по информационным технологиям и правам человека (CNIL) оштрафовала Google на €57 млн за нарушение правил прозрачности при получении согласия на обработку и использование персональной информации пользователей.

В российском законе не прописан механизм, в соответствии с которым операторы-нарушители должны нести ответственность. Кроме того, в нем не предусмотрено конкретных санкций для случаев нарушений или игнорирования требований регуляторов. В ФЗ сказано лишь, что субъект персональных данных может требовать компенсации материального и морального вреда, а также убытков. В начале июля 2021 года суд Москвы по требованию Роскомнадзора признал незаконной деятельность «клона» Telegram-бота «Глаз Бога», где можно было пробивать данные людей. Администрация Telegram позднее удалила сам бот. Тем, чьи данные могли фигурировать в базе данных, не выплатили никаких компенсаций. Главным аргументом основателя «Глаза Бога» стало то, что бот агрегирует данные людей из открытых источников в интернете.

Пробив данных на канале «Глаз Бога»

В марте 2021 года Роскомнадзор предложил обязать операторов персональных данных компенсировать моральный вред жертвам интернет-мошенничеств, если они связаны с утечками по вине операторов. Предложение пока рассматривают.

В июне 2021 года в РФ был принят закон, который обяжет зарубежные ИТ-компании с ежедневной российской аудиторией от 500 тыс. человек открывать в стране филиалы, представительства или назначать уполномоченных юрлиц для взаимодействия с госорганами и регуляторами. Если эти требования не будут выполнены, то компаниям могут запретить распространение рекламы и сбор персональных данных российских пользователей. Под действие закона потенциально попадают Facebook, Instagram, Twitter, TikTok, Google AdWords, YouTube, WhatsApp, Viber, Telegram, Steam, WorldOfTanks и другие.

Что в других странах

В 2018 году, после принятия GDPR, в американском штате Калифорния разработали собственный закон, регулирующий правила работы с персональными данными.

California Consumer Privacy Act, или CCPA, вступил в силу 1 января 2020 года.

Теперь у интернет-пользователей в Калифорнии появилось право требовать у компании информацию, которую она о них собирает, и список третьих лиц, которые ее получают. Они также могут подавать в суд на организацию, которая неправомерно воспользовалась персданными и игнорирует запросы.

Под действие ССРА попадают компании, которые обрабатывают ПД резидентов Калифорнии как на территории штата, так и за его пределами, и получают как минимум $25 млн годового дохода. Если выручка компании меньше, но она хранит персональные данные более 50 тыс. человек, то такой бизнес также попадает под действие ССРА. При этом неважно, находится ли сама организация в Калифорнии или за ее пределами.

Отличие ССРА от GDPR заключается в том, что компания должна обрабатывать запросы, поступающие от пользователей. Компании не обязаны раскрывать какие-либо факты нарушений, если они не получили соответствующего запроса.

Если данные пользователя были потеряны или украдены, то организации придется заплатить от $100 до $750 каждому пострадавшему.

Если пользователь направил компании жалобу о нарушении, компания обязана решить проблему в течение месяца. В противном случае ее ждет штраф в размере $7 500.

Данный закон также запрещает компаниям дискриминировать пользователей, отказавшихся предоставить свои персональные данные, но разрешает вводить системы поощрений для тех, кто согласился на это.

В Казахстане в ноябре 2020 года вступил в силу приказ Министерства цифрового развития, инноваций и аэрокосмической промышленности «Об утверждении правил сбора, обработки персональных данных». Согласно документу, сбор и обработка собственником или оператором персональных данных допускается в объеме, определенном перечнем. Субъект ПД имеет право требовать от оператора изменения и дополнения своих данных при наличии оснований, а также имеет право знать о наличии персональной информации и путях ее получения.

Дата вступления в силу: 25.05.2018

Компания Samsung Electronics Co., Ltd. (“Samsung” или “мы”) и ее аффилированные компании с уважением относятся к вашему стремлению обеспечить конфиденциальность данных. Это уведомление о конфиденциальности действует в отношении личных данных, которые мы собираем посредством программного обеспечения Magician (“ПО”). Оно не относится к информации, которая собирается посредством других приложений, веб-сайтов и служб, предоставляемых компанией Samsung или ее аффилированными компаниями.

В этом уведомлении о конфиденциальности указано, какие типы данных собираются посредством ПО, как мы можем их использовать, как долго мы можем их хранить и кому можем передавать. Кроме того, здесь описаны ваши возможности относительно использования нами данных и осуществления ваших прав, а также меры, которые мы предпринимаем в целях защиты данных, и контактная информация для связи с нами по вопросам наших методов соблюдения конфиденциальности. Samsung выступает в роли оператора данных при обработке личных данных.

A. Данные, которые мы получаем

Ниже указаны ваши личные данные, которые собирает Samsung во время использования вами ПО.

  • Необходимые данные
    IP-адрес, язык Magician, версия Magician, сведения об SSD-накопителе (емкость, драйвер, версия драйвера, встроенное ПО, серийный номер, название модели, значение параметров SMART), сведения о материнской плате (тип, изготовитель), модель ЦП, объем памяти, список памяти, ОС, язык ОС, архитектура ОС.

B. Как мы используем данные, которые получаем

Samsung собирает данные посредством ПО. Собранные личные данные используются в целях улучшения услуг, предоставляемых в рамках ПО.

  1. Оптимизированные услуги
    Обеспечение удобства для пользователей за счет оптимизации используемой программы продукта
  2. Расширенная совместимость
    Обеспечение максимальной производительности продукта благодаря анализу различных сред использования.
  3. Дополнительные функциональные возможности
    Обеспечение широкого набора функций благодаря анализу среды использования и удобства работы

Samsung обрабатывает личные данные в указанных выше целях. Правовая основа для такой обработки включает необходимость обработки в целях выполнения условий договора между вами и Samsung (например, в целях предоставления вам ПО) и необходимость обработки для защиты законных интересов Samsung (например, для улучшения предоставляемых услуг).

В качестве условия заключения договора с нами вы обязаны предоставить нам личные данные для обработки в указанных выше целях. Если вы не предоставите нам личные данные, мы не сможем обеспечить для вас работу всех функций, доступных в ПО.

C. Передача данных

Мы не раскрываем ваши личные данные в рамках предоставляемых услуг, кроме случаев, описанных в данном уведомлении о конфиденциальности. Ограниченное число специалистов по работе с ПО в Samsung могут получать доступ к личным данным и иным способам обрабатывать их в связи со своими рабочими обязанностями и договорными обязательствами. Мы можем передавать ваши личные данные нашим дочерним и аффилированным компаниям, а также компаниям, которые предоставляют для нас услуги. Мы не даем поставщикам услуг разрешение на использование и раскрытие данных, за исключением случаев, кода это необходимо для предоставления услуг от нашего имени или выполнения законных требований.

Некоторые из упомянутых специалистов, аффилированных компаний и сторонних поставщиков услуг расположены за пределами Европейской экономической зоны, в том числе в странах, которые могут не обеспечивать такой же уровень защиты данных, как страны местонахождения наших клиентов, например, среди прочего, в Республике Корее. Samsung предпринимает надлежащие меры, чтобы обеспечить выполнение требований к конфиденциальности такими получателями данных и защитить передаваемые личные данные, например посредством использования стандартных условий договора в отношении защиты информации. Копию этих условий можно получить, обратившись к нам с помощью контактных данных, указанных в соответствующем разделе данного уведомления о конфиденциальности.

Samsung, наши дочерние компании, аффилированные компании и сторонние поставщики услуг также могут раскрывать ваши данные (1) в случаях, когда мы обязаны сделать это по закону или в рамках юридического процесса (например, по распоряжению суда или на основании вызова в суд), (2) в ответ на запросы правительственных учреждений, например правоохранительных органов, (3) для установления, осуществления и защиты наших законных прав, (4) в случаях, когда мы считаем раскрытие необходимым или приемлемым для предотвращения физического или другого вреда, а также финансовых убытков, (5) в связи с расследованием подозреваемых или совершенных незаконных действий, (6) в случаях, когда мы продаем или передаем наш бизнес или активы частично или полностью (включая случаи слияния, приобретения, продажи, передачи, реорганизации, роспуска и ликвидации), (7) в других случаях с вашего специального согласия.

D. Сохранение личных данных

Ваши личные данные сохраняются в перечисленных ниже ситуациях и сразу после достижения цели их использования уничтожаются.

  • В течение периода предоставления услуг
  • Если сохранение требуется на основании закона, договорных обязательств или установленных законом обязательств
  • Если сохранение требуется в целях, связанных со сбором личных данных, условиями договора, применением или статистикой.

E. Ваши права

В случае запроса на удаление личных данных вы признаете, что можете потерять доступ к бизнес-услугам и возможность использовать их и что оставшиеся личные данные могут сохраняться какое-то время в системе и архиве Samsung в соответствии с применимым законом, при этом Samsung не будет использовать эти данные для коммерческих целей. Вы осознаете, что, несмотря на запрошенное вами удаление, Samsung оставляет за собой право сохранять ваши личные данные или их соответствующую часть согласно нашей политике сохранения данных и применимым законам в тех случаях, когда компания Samsung приостановила, ограничила или отменила для вас доступ к веб-сайту по причине нарушения Условий использования Samsung и когда такие действия необходимы для защиты прав, собственности или обеспечения безопасности Samsung, а также каких-либо аффилированных компаний, бизнес-партнеров, сотрудников или клиентов Samsung, к которым это относится.

F. Как мы защищаем личные данные

Мы предпринимаем необходимые меры по обеспечению защиты административного, технического и физического характера в целях предотвращения случайного, незаконного или несанкционированного уничтожения, нарушения, утраты, изменения, раскрытия и использования личных данных, собранных нами в рамках предоставляемых услуг, а также доступа к таким данным. Samsung также использует приемлемые процедуры, чтобы обеспечить надежность этих данных с точки зрения целевого применения, а также их точность, полноту и актуальность.

G. Изменения в нашем уведомлении о конфиденциальности

H. Способы связи с нами

Если у вас есть конкретные вопросы, свяжитесь с нами (оператором данных), используя следующие контактные данные.

Samsung Electronics Co., Ltd.

129, Samsung-ro, Yeongtong-gu, Suwon-si, Gyeonggi-do 16677, Republic of Korea

Компания Samsung Electronics имеет представительства по всей Европе, поэтому ваш запрос будет гарантированно обработан специалистами по защите данных в вашем регионе.

Для связи с нами (оператором данных в ЕС) можно также использовать следующие контактные данные.

Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.

Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

Принципы GDPR:

  • Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.
  • Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.
  • Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.
  • Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.
  • Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.
  • Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.

2. Кого коснется

3. Почему мне это нужно знать

Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.

4. Что грозит тем, кто не выполняет требования

За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.

Тест: узнай, сможешь ли ты грамотно выйти на рынок в другой стране

Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

5. Что нужно сделать прямо сейчас

Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.

6. Где почитать больше по теме

Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.

Читайте также: