Разъяснения от Айстока по поводу нового нашумевшего закона EC о персональных данных. Опубликую здесь для тех у кого нет аккаунта на iStockPhoto или кто не хочет логиниться.
25 мая 2018 года в Европейском союзе вступает в действие новая законодательная норма относительно защиты персональных данных «Общий регламент по защите данных» (General Data Protection Regulation, GDPR). Мы считаем, что вам следует знать о нем следующее:
Что такое «Общий регламент по защите данных» (GDPR)?
GDPR предоставляет людям в ЕС больше возможностей контролировать использование их персональных данных и налагает определенные обязательства на юридические лица и на физических лиц, которые используют или осуществляют «обработку» этих данных. Как правило, действие GDPR распространяется на юридические лица и на физических лиц, которые находятся в ЕС или не находятся в ЕС, но предлагают товары и услуги физическим лицам в ЕС либо отслеживают действия людей, находящихся в ЕС.
Что такое «персональные данные»?
Понятие «персональные данные» интерпретируется широко и включает в себя все идентификационные сведения (включая, помимо прочего, адрес электронной почты, фактический адрес, номер телефона, пароль, логин и т. п., а также внешность человека, зафиксированную на фотографиях, иллюстрациях и видеоматериалах, а для музыкантов — сведения о заинтересованных сторонах, т. е. номер IPI). С подробным, но не исчерпывающим перечнем примеров персональных данных можно ознакомиться в Приложении А.
Как это отразится на авторах?
Как автор Getty Images вы сталкиваетесь с двумя видами персональных данных, указанных в GDPR:
(a) Персональные данные «субъектов данных», обработку которых вы осуществляете при фиксации их внешности, предоставлении информации в заголовке, включающем персональные данные, а для творческих/коммерческих материалов — при сборе вами их данных в форме разрешений моделей и собственников имущества и предоставлении этих данных нам. Getty Images требует, чтобы любые персональные данные граждан ЕС, предоставляемые авторами, были собраны в соответствии с GDPR (см. ниже).
(b) Лично ваши персональные данные, которые вы, будучи автором, сообщаете нам в рамках нашего с вами сотрудничества.
Обработка нами персональных данных, предоставляемых авторами, включает их безопасное хранение и обработку по мере необходимости для контроля, поддержки и ведения нашей деятельности по лицензированию материалов.
Как мне соблюдать GDPR при работе с Getty Images?
- Субъектам данных должен предоставляться доступ к их данным, поэтому вы обязаны по их требованию предоставить им копию их персональных данных, имеющихся у вас, включая, например, копию пленки или фотографии (далее — «материалы»), на которой они присутствуют, а для творческих/коммерческих материалов — копию разрешения модели или собственника имущества.
- Субъекты данных также имеют право на перенос данных, которое может быть реализовано путем предоставления им копии данных в формате электронной таблицы по их требованию.
- Субъекты могут потребовать у вас исправить их данные, если они неверны. Если субъект данных сообщит вам, что его персональные данные необходимо исправить, вы обязаны уведомить об этом нас, чтобы мы их исправили.
- Вы должны принимать соответствующие технические и организационные меры для обеспечения соответствующего уровня безопасности, гарантирующего постоянную конфиденциальность/целостность/доступность персональных данных.
- При этом в случае творческих/коммерческих материалов узнаваемые на них субъекты данных должны быть проинформированы о сборе их персональных данных. Обычно это осуществляется путем заключения соглашения в форме разрешения модели и/или разрешения собственника имущества.
Что мне делать, если субъект данных просит меня удалить его материалы?
- Обычно субъекты данных должны иметь возможность потребовать удаления их данных, имеют право ограничить и запретить обработку своих данных. Однако существуют исключения:
- Применительно к творческим/коммерческим материалам при наличии действующего разрешения модели или разрешения собственника имущества такое разрешение является подписанным контрактом, имеющим преимущественную силу перед GDPR (поэтому, например, модель впоследствии не может передумать и заявить, что не хочет, чтобы ее изображение воспроизводилось).
- Применительно к редакционным материалам фотографы/медиакомпании могут оспорить требование об удалении данных в соответствии с GDPR для соблюдения одного из этих исключений: юридические обязательства; архивирование данных в общественных/исторических интересах или в статистических целях; для защиты по судебным искам. Существует также преимущественное право на свободу самовыражения и информацию в целях журналистики, а также для научного, художественного и литературного самовыражения.
Если субъект данных заявит любое из этих прав на лицензируемые нами материалы, просим вас связаться с нами по обычным каналам.
Чем карается несоблюдение?
Несмотря на то что мы только в ближайшие месяцы узнаем о том, как именно контролируется и обеспечивается исполнение этого регламента, в GDPR предусмотрено строгое наказание за его нарушение как физическими, так и юридическими лицами, включая штрафы:
- до 10 миллионов евро или 2 % от доходов за предыдущий год по всему миру (в зависимости от того, какая из этих сумм будет больше) за некоторые нарушения при обработке данных; или
- до 20 миллионов евро или 4 % от доходов за предыдущий год по всему миру (в зависимости от того, какая из этих сумм будет больше) за некоторые нарушения при обработке данных и заявок субъектов данных и прочие перечисленные действия.
- Следует отметить, что эти штрафы не взимаются автоматически и налагаются в индивидуальном порядке.
- Угроза вашей репутации.
Как мне получить дополнительную информацию?
Мы не можем ответить на некоторые вопросы о GDPR, но на официальном сайте GDPR ЕС вы можете ознакомиться с более подробной информацией и перечнем органов, занимающихся защитой данных в каждой из стран ЕС.
С наилучшими пожеланиями,
Команда Getty Images | iStock
Приложение А. Примеры персональных данных
- IP-адрес
- Действия в сети Интернет (просмотренные страницы, переходы, метки времени, проведенное на страницах время, порядок просмотра страниц и т. п.)
- Направляющие ссылки
- Поисковые слова / запросы
- Данные файлов cookie, теги, веб-маяки
- Онлайн-покупки или операции
- Точные данные геолокации
- Прочие сведения об использовании (системы, программное обеспечение, приложения)
- Сведения о действиях вне сети (например, покупки в режиме офлайн и т. п.)
- Обрабатываемые вручную сведения (например, сведения об обращении в службу по работе с клиентами, данные проводимых вне сети опросов)
- Сведения о здоровье или медицинские данные
- Биометрические или генетические данные
- Имя
- Адрес электронной почты
- Номер телефона
- Номер факса
- Почтовый адрес
- Адрес для выставления счетов
- Имя пользователя
- Пароль, PIN-код или аналогичные данные
- Демографические сведения (пол, род деятельности, доход)
- Интересы, увлечения или отметки «нравится»
- Возраст, дата рождения или уровень образования
- Номер кредитной карты
- Номер финансового счета
- Данные другого расчетного счета
- Номер водительских прав
- Номер социального страхования или ИНН
- Иной государственный регистрационный номер
- MAC-адрес, номер IMEI или иной идентификатор устройства
- Любые иные уникальные идентификаторы
- Сведения об устройстве (название устройства, браузер/версия ОС, конфигурация устройства, настройки и т. п.)
- Диагностические/телеметрические данные и отчеты об ошибках
- Контакты/данные адресной книги
- Фотографии/изображения
- Аудио/голосовые записи
- Видео
- Прочий пользовательский контент (файлы Word, заметки в блогах, комментарии и т. п.)
- Поля для ввода произвольного текста