GDPR — General Data Protection Regulation, европейский закон о защите персональных данных. Применяется к любой компании, которая работает с данными граждан ЕС. Даёт пользователям конкретные права. Знание этих прав может пригодиться.

Что регулирует

GDPR относится к «персональным данным» — любой информации, по которой можно идентифицировать конкретного человека:

  • Имя, фамилия.
  • Email, телефон.
  • IP-адрес (да, по GDPR это персональные данные).
  • Геолокация.
  • Данные карты.
  • Биометрия.
  • Cookies и идентификаторы.

Главные права

1. Право на информацию. Вы вправе знать, какие данные компания собирает и зачем. У каждого сайта должна быть Privacy Policy.

2. Право на доступ. Можно потребовать выгрузить все данные, которые компания о вас хранит. Google, Facebook, любая компания обязана предоставить.

3. Право на исправление. Если у компании неточные данные — попросите исправить.

4. Право на удаление («право быть забытым»). Можно потребовать удалить ваши данные. С оговорками — компания может отказать если данные нужны для законных целей (бухгалтерия, налоги).

5. Право на переносимость. Можете запросить ваши данные в машиночитаемом формате и перенести в другой сервис.

6. Право возразить против обработки. Например, отказаться от обработки для маркетинга.

7. Право не быть объектом автоматизированных решений. Если алгоритм одобряет/отказывает в кредите — вы вправе требовать человеческого решения.

Как применять

В большинстве компаний на сайте есть страница «Privacy» с инструкциями. Обычно:

  1. Найти контакт Data Protection Officer (DPO).
  2. Отправить email: «Прошу выгрузить все мои данные согласно GDPR Article 15».
  3. Компания обязана ответить в течение 30 дней (можно продлить на 60 в сложных случаях).
  4. Если не отвечает или отказывает — жалоба в местный орган защиты данных.

Google, Facebook, Microsoft имеют автоматические инструменты:

  • Google: «Скачать ваши данные» через Google Takeout.
  • Facebook: Settings → Your Facebook Information → Download Your Information.
  • Apple: privacy.apple.com.

Удалить аккаунт окончательно

Сложнее. Не все сервисы дают простой способ:

  • Google: «Управление аккаунтом» → «Данные и конфиденциальность» → «Удалить аккаунт».
  • Facebook: Settings → Personal Information → Account Ownership → Deactivate or Delete.
  • Прочие: ищите в FAQ или пишите в поддержку «прошу удалить аккаунт согласно GDPR».

После удаления данные обычно удаляются в течение 30-90 дней. Резервные копии могут содержать ваши данные ещё некоторое время.

GDPR и Россия

GDPR — европейский закон. Российские компании не обязаны его соблюдать (хотя могут добровольно).

В России работает свой 152-ФЗ «О персональных данных». Он более ограниченный:

  • Есть право узнать, какие данные собирают.
  • Есть право требовать удаления.
  • Слабее в части «права быть забытым» по сравнению с GDPR.

Российские компании обязаны хранить персональные данные граждан РФ на серверах в России.

Что значит «вы пользуетесь правами»

Можно отправить запрос «прошу удалить все мои данные» в десятки компаний. Многие выполнят за пару кликов.

Это работает. У GDPR серьёзные штрафы (4% годового оборота или €20 млн). Большие компании боятся.

Маленькие компании могут проигнорировать, но при жалобе в орган защиты получат штраф.

Куда жаловаться

В каждой стране ЕС свой орган. Главные:

  • Ирландия — Data Protection Commission (там зарегистрированы Apple, Google, Facebook).
  • Германия — BfDI (Federal Commissioner).
  • Франция — CNIL.

Если вы из России — можно жаловаться в орган той страны, где зарегистрирована компания. Например, на Facebook жалоба идёт в Ирландию.

В России

Жалобы на нарушение 152-ФЗ:

  • Роскомнадзор.
  • Прокуратура (если есть серьёзное нарушение).

Эффективность ниже, чем в ЕС, но возможность есть.

Практический совет

Раз в год сделайте «инвентаризацию»:

  1. Заведите список сервисов, в которых зарегистрированы.
  2. Пройдитесь — посмотрите, какие действительно используете.
  3. Неиспользуемые — удалите аккаунты или запросите удаление данных.

Уменьшится цифровой след. Меньше мест, где могут утечь ваши данные.

VPN и GDPR

VPN не делает вас невидимым для GDPR — он скрывает IP, но сервис всё равно собирает другие данные (email, имя при регистрации). VPN — это технический инструмент, GDPR — юридический.

AnonVPN собирает минимум: для бесплатной версии вообще ничего личного. Для Premium — email и срок подписки.

Резюме

  • GDPR даёт сильные права пользователям ЕС.
  • Можно требовать выгрузку данных или удаление.
  • Большие компании имеют автоматические инструменты.
  • В России — 152-ФЗ, слабее, но есть.
  • Регулярная «инвентаризация» аккаунтов — хорошая практика.