Как GDPR повлияет на американские бренды

Использование (и неправильное использование) данных представляет собой уникальную проблему для законодателей и правоохранительных органов. В отличие от традиционных товаров и услуг, потоки данных не признают традиционных международных границ, а темпы технологических изменений означают, что закон о конфиденциальности данных всегда либо слишком широк, либо полностью устарел.

В частности, регулирующие органы изо всех сил пытались разработать эффективные методы правоприменения для компаний, которые имеют большое влияние на их территории, но физически базируются в другом месте.

Это основная тема текущего дела Верховного суда США United States v. данные, хранящиеся на серверах, независимо от того, находятся ли они в США или в других странах.

Точно так же многие до сих пор не оправились от скандала с Cambridge Analytica/Facebook, который продемонстрировал, как иностранные манипуляции с данными отдельных лиц могут потенциально вмешиваться во внутреннюю политику.

В этом контексте, возможно, неудивительно, что новый закон ЕС о конфиденциальности данных, Общий регламент по защите данных (GDPR), направлен на применение расширенных стандартов защиты данных не только к компаниям, базирующимся в ЕС, но и ко многим компаниям за его пределами.

В этом посте я исследую, что GDPR означает для американских брендов и какие шаги, если таковые имеются, они должны предпринять сейчас, чтобы подготовиться:

Что такое GDPR и как законы ЕС могут применяться к компаниям США?

Проще говоря, GDPR — это часть законодательства ЕС, направленная на защиту персональных данных граждан ЕС путем регулирования того, как организации собирают, хранят и обрабатывают эти данные.

В отличие от своей предшественницы Директивы о защите данных, которая, как правило, не регулировала компании, базирующиеся за пределами ЕС, GDPR применяется к любой обработке персональных данных субъектов данных, находящихся в ЕС, когда деятельность по обработке связана либо с: предложением товаров или услуги таким субъектам данных в ЕС (независимо от того, требуется ли оплата субъекта данных); или мониторинг их поведения, поскольку их поведение происходит в пределах ЕС.

Это означает, что GDPR относится не только к многонациональным компаниям, штаб-квартиры которых могут находиться в США, или к американским компаниям, ведущим бизнес напрямую в ЕС, но и ко многим американским компаниям, которые этого не делают. В онлайн-контексте GDPR будет актуален, если:

• У вас есть сильное присутствие в Интернете в ЕС (даже если вы не продаете напрямую в ЕС)
• Вы являетесь компанией электронной коммерции, которая принимает валюту ЕС и/или имеет суффикс домена ЕС (например, .co.uk, .fr, .de и т. д.)
• У вас есть посетители из ЕС, и вы проводите персонализацию на своем веб-сайте.

Цена ошибки

Если что-либо из вышеперечисленного относится к вашей организации, вам следует внимательно проанализировать свои методы обработки данных и определить, может ли GDPR применяться к вашей деятельности в Интернете. Одна из причин, по которой это так важно, заключается в значительных штрафах в соответствии с новым положением.

GDPR вводит серьезные санкции для компаний, которые не соблюдают новые правила. Штрафы могут достигать 20 миллионов евро, или 4% от мирового оборота организации — в зависимости от того, какая цифра больше.

До сих пор неясно, как регулирующие органы ЕС будут налагать эти санкции на американские компании, которые не имеют постоянного присутствия в какой-либо стране ЕС, но масштаб потенциальных штрафов должен означать, что даже компании, работающие только в США, должны серьезно относиться к новым правилам.

Соответствие может быть простым, но это не просто упражнение с галочкой

Вопреки распространенному мнению, соблюдения GDPR можно добиться просто и без огромного количества ресурсов. Однако это не простое упражнение с галочками, и некоторые шаги могут потребовать участия нескольких заинтересованных сторон в вашей организации.

Чтобы получить более подробное руководство по новым требованиям, регулирующий орган Великобритании опубликовал сводку GDPR, которая является отличной отправной точкой, если вы приступаете к этому свежему. Однако для компаний, которые не привыкли к законодательству ЕС о защите данных, соблюдение GDPR может также потребовать фундаментального изменения концепции данных:

1.) Персональные данные против PII

Определение «личных данных» в соответствии с GDPR намного шире, чем аналогичное американское понятие «личной информации» (PII).

PII, как это понимается в США, обычно ограничивается такими идентификаторами, как имя, номер социального страхования, дата и место рождения, а также биометрические, медицинские, образовательные, финансовые и трудовые записи. Напротив, персональные данные в ЕС означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу или «субъекту данных». Это включает в себя идентификаторы, включенные в определение PII в США, а также онлайн-идентификаторы, такие как адрес электронной почты, идентификатор файла cookie, IP-адрес, привычки просмотра, данные о местоположении и т. д.

На практике это широкое определение персональных данных означает, что такие действия, как персонализация веб-сайта, подпадают под действие GDPR, даже если такая персонализация включает только базовое использование аналитики на основе идентификатора файла cookie или IP-адреса пользователя.

2.) Принципы защиты данных и согласие

GDPR признает, что предприятия имеют законный интерес в сборе и использовании персональных данных (например, с целью понимания того, как посетители взаимодействуют с веб-сайтом компании). Однако при этом компании обязаны следовать определенным «принципам защиты данных», таким как обеспечение прозрачности в отношении субъекта данных.

Кроме того, могут быть случаи, когда требуется согласие посетителя, прежде чем его данные могут быть собраны, что в соответствии с GDPR требует большего, чем просто ссылка на заявление о конфиденциальности в Интернете. GDPR отменяет подразумеваемое согласие и предварительно отмеченные поля и возлагает на компании ответственность за демонстрацию того, что субъект данных полностью понял и согласился с тем, на что его просят дать согласие.

3.) Собственность

В отличие от США, где все данные, собранные с веб-сайта, как правило, считаются принадлежащими владельцу этого веб-сайта, в ЕС персональные данные принадлежат соответствующему субъекту данных. Соответственно, это лицо имеет право контролировать, как обрабатываются его данные, что отражено в обширных правах субъектов данных в соответствии с GDPR на доступ, копирование и требование к компаниям удалить их данные. Компании обязаны выполнять такие запросы в строго установленные сроки, в противном случае местные регулирующие органы могут применить серьезные меры принуждения.

Точно так же вводятся гораздо более строгие требования в отношении третьих лиц. В частности, субъекты данных должны быть проинформированы о том, с какими компаниями передаются их данные, и организации могут привлекать только третьи стороны, которые могут гарантировать надлежащий уровень безопасности данных. Это должно быть подтверждено конкретными договорными документами, которые соответствуют требованиям к содержанию GDPR. Понимание этих концептуальных различий будет иметь ключевое значение для компаний, стремящихся соблюдать GDPR.

Подведение итогов

GDPR изменит способ взаимодействия компаний с данными — не только в ЕС, но и во всем мире. Американские бренды, особенно те, которые широко представлены в Интернете, должны тщательно пересмотреть свои методы обработки данных и определить, может ли GDPR применяться к их онлайн-деятельности. Любые опасения следует обсудить с юристом заблаговременно до даты вступления GDPR в силу, чтобы избежать значительных штрафов в соответствии с новым положением.