Как соблюсти требования GDPR и не попасть на штрафы

 

Вот уже несколько месяцев как действует Общий регламент по защите персональных данных граждан Евросоюза (GDPR), но споры вокруг него не утихают. 

Потому что остается куча вопросов – что вообще считать персональными данными, стоит ли беспокоиться российским компаниям, какие конкретно меры следует предпринять для соблюдения регламента + свои нюансы есть у коммерческих сайтов, у онлайн-СМИ, для email-рассылки и даже Google AdWords & Google Analytics это тоже коснулось.

В этой статье мы разбираемся во всех хитросплетениях GDPR, чтобы у вас сложилась четкая картинка – как его применять и не попасть (тьфу-тьфу) на штрафы.

Итак, поехали – обо всем по порядку.

На кого распространяется GDPR

Регламент защищает всех без исключения граждан государств, входящих в Евросоюз.

По состоянию на июль 2018 года это 28 стран: Финляндия, Швеция, Дания, Литва, Латвия, Эстония, Ирландия, Великобритания (пока еще), Франция, Бельгия, Голландия, Люксембург, Австрия, Германия, Италия, Мальта, Испания, Португалия, Кипр, Греция, Болгария, Хорватия, Словения, Словакия, Чехия, Польша, Венгрия, Румыния.

Вот карта:

Карта Евросоюза

Обратите внимание: эти самые граждане могут находиться в какой угодно точке мира. Охранное действие регламента не имеет границ. 

Если вы собираете, храните или обрабатываете персональные данные (в том числе cookies) хотя бы одного клиента из Европы, вы должны соблюдать регламент вне зависимости от того, где зарегистрирован сайт и компания.

То есть, когда какой-нибудь немец или француз приедут в Россию и будут сёрфить здесь интернет – закон вступает в силу. Для него, и для вас, если вы собираете персональные данные или используете cookie. Разумеется, заранее предусмотреть такую ситуацию невозможно. Поэтому на всякий случай мы рекомендуем быть на чеку всем. 

Некоторые эксперты говорят: владельцам сайтов, работающих исключительно по России – не стоит беспокоиться. Тут тонкий момент. Конечно, если нет массового сбора данных европейцев, то даже в случае несоблюдения Регламента нарваться на серьезные штрафы нельзя.

Но! Как мы уже написали выше, невозможно сказать 100%, что к вам не придет хотя бы один «еврогражданин». А раз так, он может потребовать предоставить отчет / изменить / удалить персональные данные.

В России, правда, действует свой закон о защите персональных данных (152-ФЗ). В нем меньше положений, менее «драконовские» штрафы, но суть в том, что любой мало-мальски адекватный предприниматель в нашей стране и так хранит перс. данные. По большому счету GDPR – про те же самые вещи, что и 152-й закон. Только более глубоко.

Условно можно разделить субъектов Регламента на 2 категории:

1) Те, кто собирает, обрабатывает и хранит персональные данные в связи с реализацией товаров или услуг. Это коммерческие организации, на веб-ресурсах которых размещены формы заявки, формы обратного звонка и формы заказа. Начиная от одностраничников, и заканчивая интернет-магазинами.

2) Те, кто мониторит поведение посетителей. В первую очередь это различные сервисы веб-аналитики. А также онлайн-СМИ (порталы, блоги), которые используют cookie.

Дальше мы разберемся, что нужно делать каждому из них, но для начала разберемся с понятием персональные данные.

Что такое персональные данные

Четкого определения по пунктам нигде нет. Вот для сравнения выдержки из 152-ФЗ и GDPR:

Определение персональных данных по 152-ФЗ и GDPR

То есть, это любая информация о человеке, по которой можно установить его личность прямым или косвенным способом.

Эксперты относят к ПД:

  • ФИО;
  • телефон;
  • электронную почту;
  • данные о здоровье;
  • данные об интересах;
  • данные о денежных операциях:
  • сookie;
  • IP-адрес.

Причем, учитывается совокупность факторов. Например, в поле «Имя» формы заявки человек напишет абракадабру, в поле «email» настоящий адрес почты – его можно идентифицировать. 

Да что там емэйл, когда есть IP-адреса. Понятно, что за конкретным компьютером может работать несколько человек. Тем не менее, IP относится к перс. данным.

Кстати, не важно, как обзовете эти поля. Кто-то наивно полагает, что с формулировками «Как к вам обращаться» и «Куда вам выслать информацию» это не будет считаться персональными данными. Еще как будет:) Дело не в названии полей формы, а в сущности.

Назначение ответственного лица в ЕС

GDPR требует, чтобы операторы персональных данных, находящиеся вне территории ЕС, назначали в Европе лицо, ответственное за защиту данных (Data Protection Officer, DPO).

Назначать DPO не требуется, если обработка данных делается эпизодически и в маленьких объёмах.

Так что, еще раз возвращаясь к вопросу «На кого распространяется GDPR», подчеркнем:

Если вы целенаправленно и систематически не собираете ПД граждан Евросоюза, то и «не парьтесь». Достаточно соблюдать родной 152-й закон «О защите персональных данных».

Единственное, что может произойти: когда кто-то из иностранцев каким-то образом «залетит» к вам в базу, он вправе потребовать выдать ему состав данных, а также изменить их или удалить. Но это такая, чисто гипотетическая ситуация, с шансами 1 на миллион. Тем более, если вы представляете обычную организацию, работающую только по РФ.

Основные принципы GDPR и права субъектов персональных данных

Вот пять основных принципов:
 
1) Законность, справедливость и прозрачность: открыто объявляйте обо всех методах сбора и обработки персональных данных в своей политике конфиденциальности.
 
2 Ограничения цели: четко обозначьте, зачем вы собираете эти данные.
 
3) Ограничения хранения: укажите срок — нельзя хранить персональные данные дольше, чем вам требуется для достижения обозначенных целей.
 
4) Минимизация данных: разрешено собирать только необходимый для ваших целей минимум.
 
5) Целостность, конфиденциальность и точность: данные должны быть корректны и конфиденциальны.
 
Таким образом, у каждого жителя стран ЕС есть права, которые вы обязаны соблюдать:
 
  • Знать, что собираются персональные данные (какие, для каких целей и как долго они будут храниться);
  • Запрашивать их у компании;
  • Требовать удалить все данные (право на забвение).

Что необходимо сделать владельцу сайта

1) Проверить, что CRM система, которой вы пользуетесь, обеспечивает основные права ваших клиентов, то есть позволяет вам:
 
  • предоставить информацию о собранных персональных данных,
  • изменять и дополнять ее;
  • удалять данные по запросу.
Интересно, что появилось такое понятие как «право на переносимость данных» (right to data portability). Это значит, что по требованию пользователя вы должны передать все его данные третьей организации — так упрощается переход клиента от одной компании к другой. 
 
2) Предупреждайте о сборе информации.
 
Онлайн-СМИ и блогам достаточно расположить внизу страницы плашку с текстом в духе «мы собираем файлы cookies для персонализации контента на сайте. Продолжая использовать сайт, вы соглашаетесь с этим».
 
Есть разные варианты.
 
Краткий:
 
Первый вариант согласия
Развернутый:
 
Второй вариант согласия
 
Максимально подробный:
 
Третий вариант согласия
 
Как видите, во всех трех случаях обязательно стоит кнопка согласия + ссылка на Политику обработки персональных данных конкретного ресурса. Как минимум — определение, что такое куки и зачем вы их собираете.
 
3) Запрашивать подтверждение на отправку рассылки. В емэйл-маркетинге это называется double opt-in. Отправляя письмо с текстом «нажмите на кнопку, чтобы подтвердить согласие на рассылку», вы в явном виде получаете согласие пользователя и доказываете, что получили его адрес честным путем.
 
Вот стандартное double opt-in письмо Mailchimp:
 
double opt-in
 
4) Спрашивать у пользователей согласие на сбор персональных данных.
 
GDPR требует, чтобы пользователи давали свое согласие на обработку персональных данных в явном виде (как в примере выше).
 
Для этого разместите рядом с формой сбора данных галочку, нажимая на которую пользователь соглашается на обработку его персональных данных. Обратите внимание, что эта галочка не может быть нажата по умолчанию — пользователь должен сделать это самостоятельно.
 
Согласие на обработку персональных данных на сайте
 
Наличие внутренней политики обработки ПД мы даже не оговариваем отдельно. Она должна быть по умолчанию.
 
5) Сообщать о потере данных.
 
Если данные попадут к третьим лицам, которым они не предназначались (вас взломают, произойдет утечка по невнимательности или неосторожности или вы потеряете их любым другим способом), вы должны сообщить об этом пользователям в течение пяти дней. 
 

Что будет за несоблюдение правил

Штраф за нарушение GDPR может достигать двадцати миллионов евро или 4% от годового оборота компании.

Однако не впадайте в панику — это максимальная планка, которая точно не будет применена при первом нарушении. Первый раз, скорее всего, вынесут предупреждение и потребуют привести все в соответствие регламенту.

Вы также можете получить запрет или ограничение на обработку персональных данных, и только в крайнем случае штраф (не обязательно многомиллионный).

Как может шокировать GDPR

И в заключении одна забавная история.

32-летний британец Майкл потратил за два года на игру FIFA 10 000 $. По словам мужчины, он узнал о своих тратах благодаря новому европейскому закону о защите персональных данных GDPR.
 
Майкл решил посмотреть информацию, которую о нём собирает игровая корпорация EA, в том числе сколько денег он потратил во время игровых сессий. Пользователь был потрясен суммой, которую отдал ради FIFA.
 
P.S. Берегите себя и будьте здоровы!
 
При подготовке статьи использованы материалы.