Адвокатите в областта на изкуството Чалрз и Томас Данзигер отговарят на най-често срещаните въпроси за Европейския регламент за защита на личните данни или така разпространеният GDPR. Ето какво споделиха те, пред изданието артнет.
Какво е GDPR?
Законът, който влезе в сила на 25 май 2018 година, установява сериозни изисквания към всички предприятия в Европейския съюз, както и техните клиенти специално от Америка. Всеки бизнес, който обработва лични данни на физически лица в ЕС в процеса на предоставяне на стоки и услуги или мониторинг, случващи се в Евросъюза.
Какви лични данни са обхванати от GDPR?
Законът се отнася до широк спектър от данни, който се отнася от финансова информация (като банкови данни) до име на човек, имейл, IP адрес. Той предоставя на потребителите по-големи права върху личните данни, като например достъп до тях в случай, че някоя компания ги съхранява, правото да изтриваш информация от интернет и правото да коригираш неточностите в тях.
GDPR също така повишава стандарта за използване на личните данни. Фирма, която възнамерява
да използва личните данни, трябва да покаже преди това, че е получила разрешение от въпросното лице. Изчезнаха дните на предварително маркирани квадратчета, които автоматично ви подписват за бюлетин или за получаване на промоционални имейли.
Освен това, дадена фирма може да събира данни, за които има законова бизнес цел. Това значи, че не можете да пазите данните на клиентите си, в случай че искате да ги използвате отново.
GDPR урежда прехвърлянето на лични данни от ЕС към други държави, като САЩ, където законите не са толкова строги и също така определя ясни изисквания как компаниите да реагират в случай на нарушение.
Нашата галерия съхранява само личните данни на колекционерите, закупили изкуство в миналото и не използваме нашите списъци за маркетинг или реклама. Трябва ли да предприемем действия по новия закон?
Да – трябва да описвате какви точно лични данни (имена на клиенти, имейли, информация за кредитни карти и др.) притежавате и трябва да обясните защо те ви трябват в извършването на вашата работа и от колко време ги притежавате. Това е, защото GDPR дава право на хората на достъп, изтриване и промяна на личните данни, когато пожелаят.
Ако мой клиент закупи творба на художник, когото представлявам, трябва ли ми разрешението на клиента, преди да предам някоя от личните му данни на артиста?
Отговорът, без съмнение, е да.
Аз съм художник и продавам малко произведения директно на клиентите. Законът не важи за мен, нали?
Грешка. GDPR важи и за солови търговци, като например художници, а камо ли за големи компании и организации. Ако продавате своето изкуство на гражданин от ЕС и събирате или обработвате данните на купувачите си, законът важи и за вас.
Ръководим малка аукционна къща във Франция. Нуждаем ли се от съгласие когато събираме лични данни от участниците в търг на живо, вместо онлайн такъв?
Законът се прилага за всеки бизнес, който обработва данните на гражданите на ЕС. Въпреки, че може да се предположи че защитата на данните е по-важна за онлайн бизнеса, няма разлика между търгът на живо и този, който е онлайн, щом се отнася за опазването на личните данни.
Ръководя галерия на Медисън Авеню. Защо да се тревожа за GDPR?
Въпреки това, независимо че бизнесът ви не е разположен в ЕС, в случай че вие купувате и продавате изкуство в ЕС, този закон важи и за вас. Ако изпращате масови имейли до лица от ЕС или получавате финансова информация, категорично е, че трябва да спазвате този закон.
Нашата онлайн аукцион къща вече има страница с условия и политика за поверителност, които описват как се обработват личните данни. Достатъчно ли е това?
Вероятно не. GDPR установява за съгласие и предоставя на потребителите широки права, свързани със събирането и обработването на техните лични данни. Трябва да сте в състояние да покажете, че сте получили валидно съгласие от вашите клиенти. То трябва да бъде недвусмислено и на ясен език, а също и изписано отделно от другите условия. Това означава, че политиката ви за поверителност трябва да бъде актуализирана, за да изясни правилата на вашите потребители.
Какво става ако не спазвам закона?
Наказанията са сериозни. Максималната глоба за значителни нарушения е или 20 милиона или 4% от годишния световен оборот на бизнеса от предходната финансова година, което от двете е по-голямо.
Тези санкции са ужасни. Какво включва договорката?
За съжаление, спазването на GDPR не е лесно.
Например, може да се наложи да подобрите вашите съществуващи формуляри за съгласие и да накарате клиентите си да ги подпишат отново, за да се съобразят с по-строгите изисквания. Може да се наложи да предоставите на физическите лица информация за причините, поради които събирате и обработвате личните им данни, кой би ги получил ако ги прехвърлите и колко дълго ще ги запазите. Вероятно ще трябва да подобрите и киберсигурността си. GDPR не предвижда специален стандарт за сигурността на данните, но изисква от фирмите да осигуряват “подходяща защита на личните данни, включително неразрешено и незаконно обработване и случайна загуба, унищожаване или повреда като използват подходящи технически или организационни мерки”.
Каква е цената на изпълнение?
Вероятно повече отколкото бихте похарчили. Може да включва инвестиране в технологии и обучение, както и усъвършенстване на вашата IT инфраструктура, за да се укрепи мрежовата и сървърна сигурност. Общите разходи ще варират в зависимост от размера на бизнеса Ви и от това дали понастоящем сте в съответствие с изискванията на GDPR – което означава, че разбирането на правилата на GDPR е първата стъпка. Във всеки случай, каквото и да плащате, за да се съобразите, може да се окаже само малка част от глобата, с която може да се сблъскате за нарушаване на закона.
Накратко, въпреки разпоредби като “правото да бъдете забравени”, GDPR е закон, който всъщност може би искате да запомните. Едно нещо е ясно: това ново законодателство вече е силно атрактивно за адвокати и IT професионалисти.
Нищо в тази статия не е предназначено да предоставя конкретни правни съвети. Томас и Чарлз Данзигер са партньори в Ню Йоркската фирма Danziger, Danziger & Muro, LLP, специализирана в областта на изкуството.
