1.采用GDPR的主要目的是使企业生活更加艰难
实际上,GDPR的主要目标是使用户能够控制谁以及如何使用其个人数据,并能够轻松,随时禁止使用或更改出于营销目的使用个人数据的条件。
公司收集个人数据是为了改善营销并将其个性化-针对每个特定用户,考虑到他的偏好和兴趣,这些偏好和兴趣是根据互联网上用户行为收集的:访问站点,喜欢的对象,在页面上移动鼠标的行为。 在Internet上,您可以收集有关活跃平均用户的此类数据
例如:性别,年龄,婚姻状况,职业,兴趣,消费习惯。 如果我们为此添加地理位置监视,则某些公司手中每个人的信息量将变得令人恐惧,尤其是考虑到此数据的泄漏时。 考虑到用户行为和决策的可能操纵时,情况变得更糟-与
剑桥分析活动有关的新闻实例。
一些出版物提供
了一个程序示例,该程序仅基于10个点赞的分析,使您比同事更了解一个人。 该程序从70个喜欢的人中了解到的信息与其亲密朋友一样多,从150个喜欢的信息(如父母,兄弟或姐妹,以及300个或更多喜欢的信息)中获得的知识比他的配偶知道的要好。
从用户的角度考虑它,您会发现采用GDPR的无条件收益。 其主要目的是限制个人数据出于商业目的而不受控制地使用,当此类数据的主体不知道谁,出于何种目的以及如何使用从各种来源在Internet上收集的有关他的信息时。
2. GDPR适用于处理至少一个欧盟成员国公民的个人数据的俄罗斯公司
这也是一个谬论。 GDPR并非通过欧盟公民的个人数据来监管工作,而是利用欧盟所有个人的个人数据来监管工作
“ 本法规适用于处理联盟中数据主体的个人数据…… ”。
GDPR,艺术。 3(2) 。
根据欧盟委员会的代表(谁设法在2018年6月的国际会议上非正式地提出了一些问题[1]),GDPR不适用于处理欧盟以外人员的个人数据,即使他们已暂时离开。 同时,处理在欧洲旅行的俄罗斯公民的个人数据也受GDPR约束。
再次,参考欧洲委员会代表的非正式解释,为了引起监管机构的注意,有必要主要处理来自欧洲用户的大量数据。 如果俄罗斯公司的目标不是收集或处理来自欧洲人的数据,而其处理的数据偶尔会出现在欧洲,那么就遵守GDPR而言,监管机构不太可能对该公司的活动感兴趣。
有相反的意见认为,如果在欧盟以外提供服务(例如,可以在远离欧盟的地方预订位于俄罗斯的酒店房间),则该组织不应受到GDPR的约束,因为其活动不在欧盟进行,也没有遵守欧盟法律。 该意见并不完全符合GDPR的规定:如果该公司使用主要居住在欧洲的人员的数据,则GDPR适用于该数据。 如果以酒店为例,那么在您入住酒店时,欧洲人实际上就不在欧洲。 但是,如果在他返回后,酒店继续处理他的数据,例如,向他发送市场营销资料,那么事实证明她是使用一个欧洲人的数据工作的。 好吧,如果数据将不用于营销目的,而仅用于保留和登记住所,那么这就不成问题:GDPR允许收集和处理数据以执行合同,在这种情况下无需征得个人数据主体的同意。
3.始终需要用户同意使用他们的数据
不是那样的 对于非欧洲公司,仅当将个人数据用于营销目的(提供商品或服务)并监控欧洲的用户行为时,才会应用GDPR。 如果数据不用于这些目的,则GDPR的规定将不适用。
本规则适用于由联盟中未建立的控制者或处理器处理联盟中的数据主体的个人数据,其中处理活动涉及:
(a)向联盟中的此类数据主体提供商品或服务 ,而不论是否需要对数据主体进行付款; 或
(b)就其行为发生在联盟内部的情况进行监督 。
GDPR,艺术。 3(2) 。
当出于合同执行目的而获取数据时,则无需征得同意。 在其他情况下,使用个人数据
无需征得您的同意 。 但是,如果合同执行后数据仍保留在公司中并由公司存储(例如,存储在CRM中),则在这种情况下,需要用户的同意。
4.对于违反GDPR的行为将立即罚款,罚款将非常高
没有人会立即被罚款。 不同国家/地区的监管机构才刚刚开始使用新规则,并且会警惕彼此形成的做法。 他们不太可能急于立即施加罚款;相反,首先会有警告和指示。 GDPR中指示的罚款是上限;如果违反,罚款可能并不总是适用,可能很小。 罚款最有可能是基于这样的事实,即罚款应是相称且有效的,其主要目标不是扼杀业务,而是将其引导到正确的轨道上。
此外,还将并行形成司法惯例(包括卢森堡法院),监管机构还将在开始大规模检查和制裁之前等待其出现。
在与欧洲委员会的代表在会议上进行非正式对话时,有人表示有可能对一些巨头进行几次表演试验,以便在实践中清楚地知道哪种行为是不可接受的,并且会导致什么。
关于违反GDPR罚款的问题,以下立场最正确:
“总的来说,有必要在法律上将大量罚款视为一种抵制措施,而不是一种补充欧盟国家地方预算的新方法”
“罚款的具体数额将考虑很多因素,分别确定。 如果一个组织有意识地和恶意地侵犯了主体的权利,小心地将其隐藏起来并从此类PD处理中获得高额利润,则可能对其处以数百万美元的罚款”
关于俄罗斯公司可能因不遵守GDPR而被罚款的担忧,这些担忧很可能没有实现。 对于监管机构而言,要让在欧洲没有代表处的公司负责并不容易。 在非欧盟国家的领土上实施制裁将更加困难。 因此,与GDPR相关的主要法规将通过行业内的自我监管来进行:欧洲企业将逐渐拒绝与不符合GDPR要求的公司合作。 因此,不遵守GDPR的主要负面后果不是罚款,而是丧失了欧洲市场的竞争力。
5.未经适当的监督和许可,个人数据不得转移到其他国家。
如果与传输数据的公司达成协议,并且在此协议中提供了某些保证,则可以传输数据。 此外,还有
欧洲理事会第108号公约 (俄罗斯是该
公约的缔约国),其中指出:
“一方当事人不得出于保护隐私的唯一目的而通过特殊许可禁止或限制进入另一方领土的个人数据的跨境流动”
关于第108号公约的规定与GDPR对数据传输的限制之间的关系尚无确切答案,它们之间可能存在矛盾。 但是在任何情况下,都可以在存在协议的情况下以及在GDPR中指定的其他情况下传输数据。
[1]欧盟委员会DG CONNECT未来网络局代理局长Pearse O'Donohue。