GDPR — правила обработки персональных данных


Вступают в силу с 25 мая 2018 года. Касаются не только ЕС. Базируются на 6 принципах. Являются важными для каждого гражданина, поскольку значительно повышают приватность и защиту личной жизни. Но для бизнеса несут дополнительные расходы или даже угрозу.

Рассмотрим на примере эти принципы: вы заказываете пиццу на сайте с доставкой на дом.

1) Законность, справедливость и прозрачность. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.

Если пиццерия хочет при заказе узнать ваш день рождения, она обязана четко объяснить зачем ей эта информация.

2) Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).

Пиццерия не может перепродать ваши данные другой пиццерии или спамерам. Пиццерия, получив ваши данные в заказе, может использовать их только для доставки заказа. Пиццерия не может в будущем рассылать вам емейлы, что неделю назад вы заказывали пиццу и не желаете ли повторить.

3) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки. 

При заказе пиццы можно собрать лишь адрес доставки, телефон и/или емейл, имя пользователя. Собирать дату рождения пользователя нельзя — это не влияет на доставку пиццы.

4) Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).

Здесь, полагаю, и так все понятно.

5) Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки. 

После доставки пиццы данные следует удалить. Заказ состоялся. Данные больше не нужны.

6) Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Данные должны быть доступны только лицам связанным с доставкой — курьеру. Повар или администратор не должны видеть, где вы живете.

Как вы понимаете, для обычного человека это очень позитивная новость. А для бизнеса крайне негативная. Оставим в стороне техническую составляющую и сосредоточимся на бизнес-процессах.

Усложняются продажи

Весь сегодняшний мир живет на стремлении заполучить емейл с формы регистрации, а затем "долбить" на продажу. Если раньше можно было получить емейл, например, в чате по вопросу цены на товар и затем настроить рассылку, то сейчас этого сделать нельзя.

Усложняются повторные продажи

Купив миксер, покупатель не дает вам права емейлами его преследовать еженедельно по вопросам покупки пылесоса или уведомления о скидках.

Усложняется аналитика, особенно бигдата

Раньше можно было анализировать частые регионы доставки пиццы и делать выгодные предложения, теперь такая аналитика существенно затруднена в виду ограниченности целей и сроков хранения данных.

Конечно, бизнес попробует использовать любую лазейку, например, подписанием каких-либо дополнительных соглашений об обработке данных и так далее. Но у европейцев появилось право запрашивать информации, которую собрала пиццерия, узнавать цели и задачи сбора, а также требовать прекращения обработки своих личных данных.

Вопрос, кто кого победит, пока остается открытым.

Комментарии