Регламент GDPR - специализированное постановление, направленное на усиление защиты персональных данных жителей государств в ЕС.
GDPR распространяется на 28 стран. Регламент включает серию директив, регулирующих взаимодействие между компанией и ее клиентами в области сбора, обработки и хранения личной информации. Новое постановление вступило в силу 25 мая 2018 года.
Введение регламента GDPR коснулось целого ряда вопросов, касающихся персональных данных. Во-первых, данное понятие стало шире, во-вторых, в рамках нового закона было введено "право на забвение". Также появилась новая функциональная единица - офицер безопасности. Его задачей является соблюдение правил постановления.
В данной статье мы подробно ознакомим вас с основными нормами, требованиями и понятиями GDPR.
Краткий глоссарий для GDPR
Предлагаем подробнее ознакомиться с основными терминами, которые относятся к GDPR:
-
DPO (Data Protection Officer)
Так называют офицера безопасности, который назначается компанией для контроля над соблюдением требований регламента. DPO может стать физическое лицо, которое является сотрудником компании, или представитель организации- подрядчика.
-
Сбор персональных данных
В эту категорию попадают любые действия, направленные на получение информации о пользователях. Способ сбора может быть любым, в том числе покупка баз электронных адресов.
-
Обработка персональной информации
В эту категорию включают любые действия с личными данными пользователей, в том числе хранение и уничтожение информации.
-
Ответственный за обработку данных
Это сотрудник, который определяет объем и способ сбора данных в зависимости от цели кампании, выбирает методы обработки информации. Ответственным за обработку может быть работник компании или подрядчик, который в соответствии с инструкцией обрабатывает данные.
-
Контроллер данных
Это тот, кто непосредственно взаимодействует с филицом при сборе информации, определяет способ ее обработки.
-
Совместные контроллеры
Информация может собираться одновременно двумя контроллерами.
-
Оператор
Он не взаимодействует с клиентами, а занимается обработкой данных по приказу контроллера или совместных контроллеров. Если оператор перестанет следовать указаниям контроллера, он теряет свой статус и переходит в разряд контроллеров.
Экстерриториальное действие GDPR
Новое постановление касается всех компаний, которые осуществляют сбор, обработку и хранение персональных данных. Действие закона распространяется не только на организации, находящиеся в ЕС территориально, но и зарубежные компании, которые осуществляют деятельность в Европе. В частности, это касается российских организаций, которые уже вышли или планируют выйти на зарубежные рынки, работают с европейскими потребителями через Интернет. Даже если у компании отсутствуют филиалы в ЕС, но она работает с клиентами из этих стран, то на поставщика услуг распространяются требования регламента.
Если вашу клиентскую базу составляют резиденты РФ, есть смысл проверить наличие подписчиков с двойным гражданством. Если оно европейское, то действие GDPR распространяется и на вас.
Принципы GDPR и определение личных данных
К персональным данным относятся не только имя и фамилия, но и информация о месте жительства или регистрации, возрасте, семейном и экономическом статусе, банковские и платежные реквизиты, номер телефона, ip-адрес и cookies, параметры интернет-соединения, дата и время посещения сайта, никнейм, адрес электронной почты.
В категорию Sensitive Data - особо охраняемых данных - входит информация о генетических и биометрических признаках, по которым можно идентифицировать человека, данные о его здоровье (мед. анализы или заключения врачей). Также в эту группу входит перечень личных данных, которые касаются этнической принадлежности пользователей, их политических убеждений, вероисповедания, сексуальной ориентации. Закон запрещает собирать такие данные за исключением особых случаев, когда на сбор получено законное разрешение.
Основными принципами европейского регламента о защите данных являются:
-
Законность и прозрачность
Перед сбором данных компания должна уведомить об этом своих клиентов, подробно объяснить, с какой целью эти данных будут использоваться.
-
Ограничение цели и срока хранения
Данные собираются с определенной целью. Если она изменилась, и информация продолжает использоваться, это является нарушением. Еще одно важное изменение - данные должны храниться в течение определенного периода времени, пока они требуются для достижения цели. Далее информация подлежит удаления.
-
Ограничение объема сбора данных
Запрещается требовать от пользователей лишнюю информацию, которая не будет востребована при проведении маркетинговых исследований.
-
Безопасность хранения данных
Компании запрещается передавать сведения о пользователях третьим лицам. Если данные стали доступны другим людям, необходимо уведомить об инциденте в течение трех дней.
-
Управление информацией
В соответствии с новым регламентом, пользователь может узнать у компании копию личной информации. В течение 30 дней она должна быть предоставлена. Также пользователь имеет право требовать удаления всех данных о нем.
Цели и задачи GDPR связаны с защитой персональных данных, прав и свобод резидентов ЕС. Благодаря обновленному регламенту граждане европейских государств обрели новые возможности для контроля над своей личной информацией:
- Быстрый и легкий доступ к данным дает понимание, как и с какой целью собирается и обрабатывается информация.
- Право уведомления о нарушении безопасности данных дает возможность в течение короткого срока узнать об утечке информации.
- Право на забвение дает возможность пользователю уведомить компанию о желании навсегда удалить свои личные данные из базы.
- Право на перенос информации касается правил передачи персональных данных между поставщиками услуг.
Ключевые требования к сайтам интернет-магазинам при выходе на европейский рынок
Компаниям, которые работают с личными данными, нужно добавить на сайт страницу с условиями использования, опубликовать страницу "Политика конфиденциальности". Она включает следующую информацию:
-
цели сбора данных, время их обработки и хранения
-
информация об ответственном за обработку данных и офицере безопасности
-
информация о правах пользователей по управлению личными данными
-
контакты отделов и сотрудников, которые помогут пользователю реализовать свои права
Политика конфиденциальности может быть написана в одном экземпляре или нескольких - для каждого типа маркетинговых кампаний. Главным является то, что соглашение должно быть понятным пользователю, то есть написанным простым и доступным языком.
Еще один нюанс - предоставление информации о политике конфиденциальности до заполнения пользователем бланка с личными данными. В рамках нового регламента клиент должен собственноручно поставить галочку об ознакомлении с политикой конфиденциальности. Если по каким-то причинам пользователь этого не сделал, то это является признаком несогласия с политикой конфиденциальности и запрещает сбор данных.
Если бланк содержит запрос на несколько действий (сбор информации для рассылки, создания профиля пользователя, контакты для связи), то по каждому из пунктов нужно получить отдельное согласие.
Обратите внимание: новый регламент распространяется не только на новых клиентов, но и уже существующих. Нужно провести ревизию своей клиентской базы, чтобы выявить подписчиков, которые еще не подтвердили согласие на сбор и хранение личной информации. Таким клиентам отправляется уведомление о необходимости подтверждения. Если пользователь проигнорировал письмо, контакт должен быть удален из базы.
Также компаниям следует:
- проверить надежность защиты информации
- определить количество сотрудников, которые имеют к ней допуск
- назначить офицера безопасности и сотрудника, который будет работать с обращениями пользователей
- организовать ведение необходимой отчетности согласно положениям
Ответственность за нарушение законодательства GDPR
В случае нарушения правил компанию ожидает штраф в размере от 10 до 20 миллионов евро или от 2 до 4% оборота компании за минувший год, если сумма выше 20 млн евро. Серьезные штрафы и желание закрепиться на рынке ЕС побуждают владельцев бизнеса внимательно относиться к нововведениям.
Для получения коммерческого предложения по написанию политики GDPR для сайтов, просьба писать на veritaslaw2009@gmail.com.
Читайте другие статьи по темам:
Механизмы защиты для компаний, обладающих интеллектуальной собственностью.
Как можно распорядиться результатами интеллектуальной собственности.
Международная регистрация товарных знаков в Европейских странах.
Договор подряда между Заказчиком и программистом, разработчиком ПО.
Регистрация компании в Гонконге