Как соблюсти требования GDPR и не попасть на штрафы
Вот уже несколько месяцев как действует Общий регламент по защите персональных данных граждан Евросоюза (GDPR), но споры вокруг него не утихают.
Потому что остается куча вопросов – что вообще считать персональными данными, стоит ли беспокоиться российским компаниям, какие конкретно меры следует предпринять для соблюдения регламента + свои нюансы есть у коммерческих сайтов, у онлайн-СМИ, для email-рассылки и даже Google AdWords & Google Analytics это тоже коснулось.
В этой статье мы разбираемся во всех хитросплетениях GDPR, чтобы у вас сложилась четкая картинка – как его применять и не попасть (тьфу-тьфу) на штрафы.
Итак, поехали – обо всем по порядку.
На кого распространяется GDPR
Регламент защищает всех без исключения граждан государств, входящих в Евросоюз.
По состоянию на июль 2018 года это 28 стран: Финляндия, Швеция, Дания, Литва, Латвия, Эстония, Ирландия, Великобритания (пока еще), Франция, Бельгия, Голландия, Люксембург, Австрия, Германия, Италия, Мальта, Испания, Португалия, Кипр, Греция, Болгария, Хорватия, Словения, Словакия, Чехия, Польша, Венгрия, Румыния.
Вот карта:
Обратите внимание: эти самые граждане могут находиться в какой угодно точке мира. Охранное действие регламента не имеет границ.
Если вы собираете, храните или обрабатываете персональные данные (в том числе cookies) хотя бы одного клиента из Европы, вы должны соблюдать регламент вне зависимости от того, где зарегистрирован сайт и компания.
То есть, когда какой-нибудь немец или француз приедут в Россию и будут сёрфить здесь интернет – закон вступает в силу. Для него, и для вас, если вы собираете персональные данные или используете cookie. Разумеется, заранее предусмотреть такую ситуацию невозможно. Поэтому на всякий случай мы рекомендуем быть на чеку всем.
Некоторые эксперты говорят: владельцам сайтов, работающих исключительно по России – не стоит беспокоиться. Тут тонкий момент. Конечно, если нет массового сбора данных европейцев, то даже в случае несоблюдения Регламента нарваться на серьезные штрафы нельзя.
Но! Как мы уже написали выше, невозможно сказать 100%, что к вам не придет хотя бы один «еврогражданин». А раз так, он может потребовать предоставить отчет / изменить / удалить персональные данные.
В России, правда, действует свой закон о защите персональных данных (152-ФЗ). В нем меньше положений, менее «драконовские» штрафы, но суть в том, что любой мало-мальски адекватный предприниматель в нашей стране и так хранит перс. данные. По большому счету GDPR – про те же самые вещи, что и 152-й закон. Только более глубоко.
Условно можно разделить субъектов Регламента на 2 категории:
1) Те, кто собирает, обрабатывает и хранит персональные данные в связи с реализацией товаров или услуг. Это коммерческие организации, на веб-ресурсах которых размещены формы заявки, формы обратного звонка и формы заказа. Начиная от одностраничников, и заканчивая интернет-магазинами.
2) Те, кто мониторит поведение посетителей. В первую очередь это различные сервисы веб-аналитики. А также онлайн-СМИ (порталы, блоги), которые используют cookie.
Дальше мы разберемся, что нужно делать каждому из них, но для начала разберемся с понятием персональные данные.
Что такое персональные данные
Четкого определения по пунктам нигде нет. Вот для сравнения выдержки из 152-ФЗ и GDPR:
То есть, это любая информация о человеке, по которой можно установить его личность прямым или косвенным способом.
Эксперты относят к ПД:
- ФИО;
- телефон;
- электронную почту;
- данные о здоровье;
- данные об интересах;
- данные о денежных операциях:
- сookie;
- IP-адрес.
Причем, учитывается совокупность факторов. Например, в поле «Имя» формы заявки человек напишет абракадабру, в поле «email» настоящий адрес почты – его можно идентифицировать.
Да что там емэйл, когда есть IP-адреса. Понятно, что за конкретным компьютером может работать несколько человек. Тем не менее, IP относится к перс. данным.
Кстати, не важно, как обзовете эти поля. Кто-то наивно полагает, что с формулировками «Как к вам обращаться» и «Куда вам выслать информацию» это не будет считаться персональными данными. Еще как будет:) Дело не в названии полей формы, а в сущности.
Назначение ответственного лица в ЕС
GDPR требует, чтобы операторы персональных данных, находящиеся вне территории ЕС, назначали в Европе лицо, ответственное за защиту данных (Data Protection Officer, DPO).
Назначать DPO не требуется, если обработка данных делается эпизодически и в маленьких объёмах.
Так что, еще раз возвращаясь к вопросу «На кого распространяется GDPR», подчеркнем:
Если вы целенаправленно и систематически не собираете ПД граждан Евросоюза, то и «не парьтесь». Достаточно соблюдать родной 152-й закон «О защите персональных данных».
Единственное, что может произойти: когда кто-то из иностранцев каким-то образом «залетит» к вам в базу, он вправе потребовать выдать ему состав данных, а также изменить их или удалить. Но это такая, чисто гипотетическая ситуация, с шансами 1 на миллион. Тем более, если вы представляете обычную организацию, работающую только по РФ.
Основные принципы GDPR и права субъектов персональных данных
- Знать, что собираются персональные данные (какие, для каких целей и как долго они будут храниться);
- Запрашивать их у компании;
- Требовать удалить все данные (право на забвение).
Что необходимо сделать владельцу сайта
- предоставить информацию о собранных персональных данных,
- изменять и дополнять ее;
- удалять данные по запросу.
Что будет за несоблюдение правил
Штраф за нарушение GDPR может достигать двадцати миллионов евро или 4% от годового оборота компании.
Однако не впадайте в панику — это максимальная планка, которая точно не будет применена при первом нарушении. Первый раз, скорее всего, вынесут предупреждение и потребуют привести все в соответствие регламенту.
Вы также можете получить запрет или ограничение на обработку персональных данных, и только в крайнем случае штраф (не обязательно многомиллионный).
Как может шокировать GDPR
И в заключении одна забавная история.
3 лучших расширения Яндекс Wordstat Статья
14 видов ретаргетинга Статья
Как собрать MAC-адреса через Wi-Fi и настроить на них рекламу Статья
Как маркетологу пробить свой потолок дохода Статья
Как снять рекламный ролик своими силами: что важно знать Статья
Как делаются лендинги с высокой конверсией: личный опыт Статья
Как снять рекламный ролик своими силами: что важно знать Статья
Как маркетологу пробить свой потолок дохода Статья
Локальное SEO: как малому и среднему бизнесу соперничать с крупными компаниями в выдаче? Статья