Произойдет это ценой введении целой серии обязательств для компаний, которые различаются в зависимости от их размера и использования имеющихся у них данных.
Основные права, включенные в RGPD, многие из которых уже были гарантированы различными национальными законами:
- Право на получение информации: если пользователь предоставляет некоторые из своих личных данных, он должен теперь знать, для чего они будут использоваться, как долго будут храниться и будут ли они покидать Европейский союз, сколько и какая информация будет находится в доступе; объяснения должны быть «ясными и понятными».
- Право доступа, исправления и удаления данных: пользователь сервиса должен иметь возможность легко запросить копию своих личных данных. В случае ошибки, особенно в случае потенциального вреда, организация или компания должны как можно скорее исправить информацию, содержащуюся в случае запроса. Также можно запросить удаление данных, отозвав свое согласие на их использование.
- Право на забвение: возможность полного удаления имени и данных, то есть гарантия, что во время поиска контента не появляются ссылки, наносящие ущерб какому-либолицу. Однако это право теоретически не касается свободы слова или информации и не применяется, если преобладают общественные интересы.
- Право на передачу данных: изменение поставщика электронной почты без потери прежнего электронного письма обычно возможно с помощью принципа «переносимости данных». Однако это может также касаться поставщика электроэнергии или банка. Компания, из которой пользователь отделяется, должна иметь возможность передавать данные новому поставщику услуг или, в противном случае, вернуть все данные пользователю в формат файла, который позволяет интегрировать его в другую систему.
- Право вмешиваться в автоматизированную систему: если алгоритмы играют все более важную роль в процессах принятия решений, например, для доступа к университетским данным, о возможности оспаривания и спроса на доступ к данным, человек должен быть предупрежден.
- Возможность обращения в случае неуважения к этим правам с помощью Национальной комиссии по компьютерной науке и свободе (Cnil) любой страны Европы, которая затем будет нести ответственность за передачу в Cnil страны данные о местонахождение компании или соответствующей организации. Окончательное решение будет принято «G28», организация Европейского Cnil, обязательная для всех европейских стран.
Разработаны новые правила для компаний. Все компании участвуют на различных уровнях, в зависимости от типа данных, которые они собирают, от их использования, или просто размера данных. По сути, малые и средние компании, прежде всего, должны защищать своих клиентов или поставщиков, согласно «правилам здравого смысла».
С другой стороны, RGPD касается всех компаний, работающих в одной или нескольких европейских странах, будь то европейская или нет. Что касается интернет-пользователей, они прибегают к Cnil. Цель состоит в том, чтобы «ограничить объем данных, обрабатываемых с самого начала».
Это означает, что компании должны правильно определять нужные им данные и обеспечить возможность их защиты. Им придется регулярно обновлять данные, а также информировать клиентов или субподрядчиков о собранных данных и с какой целью, а также о всех применяемых инструментах, необходимых для обеспечения прав владельцев и носителей этих данных.
Компании также должны определить, кто несет ответственность за файлы данных и имеет к ним доступ. При это необходимо будет обеспечить все необходимые меры для полной защиты, в частности, конфиденциальных данных.
