GDPR — это тот самый европейский регламент о персональных данных, который в 2018 году перевернул жизнь маркетологам, юристам и айтишникам по всему миру. Документ задаёт правила, по которым организации могут собирать, использовать, хранить и защищать данные людей, живущих в странах ЕС и ЕЭЗ.
Идея у регулятора простая: вернуть контроль над персональными данными самим гражданам и навязать единые правила обработки на всей территории Евросоюза, чтобы компании не играли на разнице местных законов.
На кого это распространяется #
GDPR обязателен не только для европейских юрлиц. Под него попадают:
- любой бизнес в ЕС, если он имеет дело с персональными данными;
- любая компания извне, если она:
- продаёт товары или услуги людям в ЕС;
- отслеживает их поведение (через cookies, аналитику, трекинг и т.п.).
То есть условный сервис из США или Азии, который работает с европейскими пользователями, формально находится под действием GDPR, независимо от того, где у него офис и сервера.
Что вообще считается персональными данными #
- ФИО, email, номера телефонов;
- IP-адреса, геолокация;
- идентификаторы устройств;
- медицинские, финансовые, биометрические данные;
- любая информация, по которой можно прямо или косвенно идентифицировать человека.
Ключевые принципы GDPR #
- Прозрачность. Пользователь должен понимать, какие данные собираются и зачем.
- Ограничение цели. Нельзя использовать данные для того, о чём не договаривались.
- Минимизация. Собирать нужно только то, без чего реально не обойтись.
- Ограничение срока хранения. Держать данные «на всякий случай» годами — плохая идея с точки зрения регламента.
- Безопасность. Компания обязана защитить данные от утечек, взломов и избыточного доступа.
- Права субъекта данных. У человека есть возможность:
- получить копию своих данных;
- потребовать их удалить (право на забвение);
- ограничить обработку или отозвать ранее данное согласие.
Что это тянет за собой для бизнеса #
- пересмотр и переписывание политики конфиденциальности человеческим языком;
- организация механизма осознанного согласия (opt-in), а не спрятанных галочек;
- назначение DPO (Data Protection Officer), если объёмы обработки большие или данные чувствительные;
- обязанность сообщать об утечке регулятору в течение 72 часов после обнаружения;
- готовность к аудиту и, потенциально, независимой сертификации.
Что будет, если игнорировать #
- штрафы до 20 миллионов евро или до 4% годового глобального оборота — в зависимости от того, что больше;
- удар по репутации: публичные утечки под GDPR обычно хорошо освещаются в прессе;
- риски исков от пользователей и претензий от регуляторов.
Как это выглядит в реальной жизни #
Возьмём интернет-магазин из США, который продаёт одежду во Франции. Чтобы не попасть под раздачу, он:
- честно сообщает о сборе cookies и даёт выбор, какие включать;
- делает политику конфиденциальности на французском языке;
- получает явное согласие на маркетинговые рассылки;
- держит данные на европейских серверах или обеспечивает корректные механизмы трансграничной передачи;
- даёт пользователю простой способ удалить аккаунт и связанные с ним данные.
GDPR в итоге стал маркером зрелости обработки персональных данных. Если компания вкладывается в соответствие, это обычно означает, что она серьёзно относится к приватности и управлению рисками. Для клиента это дополнительный сигнал: его данные не будут использоваться как попало и находятся под реальной, а не номинальной защитой.
Аренда VPS/VDS — от ₽219/месяц
Почему выбирают VPS от AdminVPS:
✓ Дешевле физического сервера
✓ Более гибкий и мощный, чем обычный хостинг
✓ Бесплатная защита от DDoS и техподдержка 24/7
✓ Масштабируется под любые задачи
Виртуальный сервер VPS/VDS — ваш личный сервер для сайтов, магазинов, ботов и других проектов.
