Регламент GDPR. Как защитить персональные данные клиентов, а себя - от штрафов

25 мая 2018 вышел еще более строгий и кровожадный регламент General Data Protection Regulation (GDPR). Он предполагает колоссальные штрафы – 20 млн. € или 4% от общего дохода компании за год. И что самое неприятное - предпочтение отдается большей сумме.

GDPR что это?

Действие закона направлено на защиту интересов граждан и их права на конфиденциальность. Ужесточение последовало вследствие участившихся случаев взломов баз данных, а также незаконного использования персональных данных (далее ПД) пользователей. Поспособствовала выходу нового регламента и утечка данных в Facebook, которая еще свежа в памяти.

Что касается самого документа, то он очень спорный, оставляет много открытых вопросов. Сомнительные трактовки, неоднозначные формулировки, но допускать ошибки строго запрещено. При этом суммы штрафов просто колоссальные, поэтому рекомендуем отнестись к проблеме информационной безопасности очень внимательно, ответственно и серьезно. Не забывайте, регламент – это закон. А незнание или неверное трактование закона не освобождает нас от ответственности. Так что разбираемся в нововведениях, внимательно изучаем, какие меры нужно предпринимать, и стоит ли реагировать вообще.

GDPR и 152-ФЗ: особенности, различия, ключевые этапы

152-ФЗ распространяется на граждан РФ. Однако есть поправка: если хоть один из ваших клиентов является резидентом ЕС, то регламенту GDPR нужно соответствовать, он также на вас распространяется. Как определить таких пользователей пока непонятно, а в некоторых случаях просто невозможно, ведь конкретных инструкций в документе относительно того, как выявить иностранных клиентов - нет.

Но четко известно, на какие факторы будут обращать внимание контролирующие инстанции – это валюта, язык и целевая аудитория. Итак, Вы обязаны соблюдать регламент, если:

• На ресурсе присутствуют действия, связанные с гражданами ЕС: рассчитывается стоимость доставки заказа до стран Евросоюза

• В портфолио приведены примеры сотрудничества с зарубежными клиентами или они перечислены в Ваших партнерах

• В контактной информации о компании написано, что Вы открыты для сотрудничества с клиентами по всему миру

• Вы используете рекламную кампанию, направленную на регионы ЕС.

Под действие документа подводят любые маркеры, которые свидетельствуют о действующем или возможном сотрудничестве с клиентами из Евросоюза, а также о сборе и использовании ПД.

Если в числе клиентов вашей компании присутствуют граждане РФ, а также резиденты ЕС, а вы собираете или используете их ПД, то дальнейшая информация очень важна для вас!

А теперь детально разберем, что собой представляет GDPR и как не попасть под штрафы.

Чтобы ваш сайт и деятельность в целом ответствовали требованиям регламента, обратите внимание на следующие моменты:

1. Политика конфиденциальности

Обязательно разработайте и разместите на сайте документ с одноименным названием. Здесь подробно указан перечень моментов, которые нужно включить. Далее кратко разберем основные пункты:

• Раскрыть понятие «Controller», «Processor» и «субъект» * персональных данных с указанием не только прав, обязанностей, но и ответственности сторон.

^{* Обращаем внимание, что данные понятия раньше не использовались. «Субъект» – лицо, чьи данные подлежат сбору и обработке (сюда можно отнести посетителей сайта и клиентов), «Processor» – отвечает за сбор и обработку информации (подразумевается владелец ресурса или сервис лидогенерации ), «контролер» – отвечает за сбор и использование информации. Чаще всего в его роли выступает владелец сайта, именно он решает, какую информацию необходимо собирать и в каких целях использовать. Если сравнивать регламент с 152-ФЗ, то в последнем законе мы используем только два понятия: «оператор» и «субъект», так как «оператор» объединяет задачи контроллера и процессора одновременно.}

• Указать Вашу роль – controller, processor. Обязательно публикуйте контактные данные с указанием юр. адреса, имени и должности ответственного за ПД* (а когда имеется представитель в странах Евросоюза, то не забудьте указать его name & contacts).

^{* Вы обязательно должны назначить ответственное лицо, когда уточняете религиозные взгляды, сексуальную ориентацию, сведения личного характера. Ответственное лицо обеспечивает контроль и безопасность ПД, взаимодействует с пользователями, если они желают отозвать информацию или переадресовать. Если ваша компания занимается исключительно коммерческой деятельностью на территории ЕС, то создавать дополнительно новую должность нет необходимости. Достаточно просто назначить любого сотрудника компании, указать его контакты для жалоб и вопросов, а он будет отвечать за контроль и управление информацией.}

• Укажите, какую именно персональную информацию Вы собираете.
• Обязательно уточните, зачем Вам нужны эти сведения, как и в каких целях Вы собираетесь их использовать.
• Расскажите, как субъект может отозвать, внести изменения или переслать свои ПД.
• Укажите, в какой DPA* может обращаться субъект, если у него появились претензии.

^{* Обязательно в каждой стране Евросоюза имеются Data Protect Authorities (DPA). Это специальные представительства, они обязаны контролировать соблюдение GDPR в странах Евросоюза. Любой субъект имеет право обратиться в такую организацию и подать жалобу, а сотрудники DPA должны проверить соблюдение Вашей компанией действующих правил GDPR. Стоит отметить, что представительства подчиняются напрямую Европейской Комиссии.}

• Обязательно указывайте, сколько времени хранится информация на ресурсе: месяц, год.

• Уточняйте, как вы обеспечиваете безопасность полученной информации: ее хранение, использование и передачу.

• Указывайте, каким компаниям* вы планируете передавать полученную информацию, обязательно отмечайте для чего.

^{* К примеру, если будете передавать персональные данные клиента третьим лицам (это могут быть службы доставки, банковские организации), то обязательно нужно отразить в своей политике перечень этих организаций и цель передачи сведений. И самое главное, что Вы должны быть уверены, что Ваши партнеры соблюдают правила нового документа. Лучше всего оформить с субпроцессорами договор о неразглашении данных, если это невозможно, то хотя бы проверить наличие политики.}

• Публикуйте возрастное ограничение 16+ . Когда проект всецело ориентирован именно на детскую аудиторию и предполагает материал для детей (мультфильмы, игры, обучающие материалы), следует брать согласие с родителей на сбор и использование ПД их детей, если они собираются.

• Оповещайте о присутствии cookie-файлов. Указывайте, как и для каких задач они собираются, каким способом их можно отключить.

Очень важно, чтобы текст политики был написан простым, логичным и понятным языком, избегайте сложных, непонятных или двусмысленных фраз, публикуйте строго (!!!) на языке клиента. Запомните, если Вы ориентированы на партнеров из Германии, то публикуйте политику на их официальном немецком языке. Если планируете сотрудничество с испанцами – излагайте на испанском. Являясь обладателем мультиязычного сайта, подавайте информацию на каждом из языков.

В качестве примера - политика на «Букинге». Кстати, она соответствует одновременно обоим документам:

2. Более детально про формы для сбора ПД

• Какие данные можно собирать, в каком объеме
  

Четких разъяснений относительно того, какие сведения разрешается собирать и в каком количестве, нет. Но одно известно точно - нельзя требовать или использовать информацию, которая абсолютно не предназначена для ваших целей (доставка заказа, покупка билета). Если реализуете какие-либо онлайн-продукты, не имеете права требовать указывать «Адрес» или «Место жительства». Запрашивайте исключительно необходимые сведения – минимум информации! Это также повышает удобство пользования сайтом.

Ниже приведен пример формы, которую предлагает одна крупная компания при бронировании авиабилетов. Запрашивается самый минимум, никаких лишних данных здесь нет.

• Персональное согласие клиента на обработку информации

Если в 152-ФЗ согласие пользователя еще допускается по умолчанию, то по новому регламенту предварительно проставленные галочки в чекбоксах исключены. Строго персональное подтверждение пользователя непосредственно перед отправкой формы! И субъект должен самостоятельно выполнить данное действие, чем подтвердить свое согласие.

• Подписка на рассылку

GDPR строго контролирует, чтобы сведения запрашивались и использовались строго в обозначенных целях. Если берете сведения для оформления заказа, то использовать их для рассылки любой информации категорически запрещено. Вы предварительно должны уведомить и предупредить клиента. А в самом лучшем случае – использовать для рассылок дополнительный интерфейс и обязательно (!!!) получить согласие. 

Автоматическая подписка запрещена:

Как вариант можно сформировать запрос на применение имеющейся информации в других целях. Опять же, когда Вы получаете сведения от клиентов для оформления заказа и уже накопили достаточно большую клиентскую базу, вполне могли бы делать рассылку новинок или акционных предложений, но только согласия от клиентов нет. А действовать без согласия – обречь себя на штраф. Для этих целей можно сформировать специальную рассылку, где необходимо:

• указать, когда, где и при каких обстоятельствах вы получили адрес субъекта;

• описать, с какой целью Вы желаете использовать информацию в дальнейшем (рассылка акций, новинок, персональных предложений и т.д.);

• попросить согласие клиента на использование сведений.

И только после полученного согласия включить клиента в базу. Рекомендуем внимательно и очень тщательно проработать данную рассылку, чтобы раскрыть все выгоды и преимущества для клиента – это поможет получить максимальное количество положительных ответов.

3. Какие изменения коснулись управления ПД

Согласно новому регламенту пользователь должен иметь полный доступ для управления данными: проверять, вносить изменения, удалять и даже скачивать. Допустимые разрешения: XML, JSON и CSV.

Оптимальным решением остается создание персонального кабинета с возможностью управления информацией.

Документ также дает пользователю право запросить свои данные и даже передать их другому лицу. И самое важное, что при переходе клиента к партнерам или конкурентам его данные обязаны отправить вы. Цель такого нововведения – повысить комфорт клиента, избавить его от необходимости вводить одну и ту же информацию несколько раз.

Единственное остается непонятно, как это будет реализовано на практике. При этом многие крупные компании, работающие в странах Евросоюза, уже добавили этот пункт в свои политики. «Booking» отметил пункт следующим образом:

Нововведение может коснуться совершенно разных сфер нашей жизни, например, банковских или медицинских учреждений. При смене банка или клиники клиент имеет право попросить о передаче данных в другую организацию. Согласитесь, грамотно и удобно.

4. Хранение и защита ПД

• Сроки
  

Согласно новому регламенту обязательно необходимо фиксировать сроки хранения ПД. И Вы обязаны эти сроки соблюдать. Все ПД клиента не могут быть удалены ранее указанного срока, а также не имеют право храниться свыше него, если сам клиент не потребует этого. В качестве исключений всевозможные исследования, проведенные в интересах общества: научные доклады, разработки и достижения, архивы, соц.стат, исторические факты. Их разрешается хранить в обезличенной форме или с использованием усиленных мер безопасности.

Оперативно на эти изменения отреагировали в корпорации Google. Они уже оповестили, что будут удалять статистические данные Google Analytics, которые хранятся дольше 26 месяцев. Если вы желаете сохранить информацию, своевременно сделайте соответствующие настройки в «Хранилище данных» с указанием требуемого периода: от 14 до 50 месяцев или «Без срока действия». Иначе вся накопленная за два с лишним года статистика просто исчезнет.

• Надежность защиты данных

Как 152-ФЗ, так и новый документ требует максимальной защиты ПД на все случаи жизни: от повреждения, уничтожения, незаконного или несанкционированного использования. Вся полученная информация должна быть защищена надежным шифрованием, а доступ разрешен исключительно должностным лицам, которые имеют право.

Единственное, что остается под вопросом – как оценить степень надежности защиты?

Этот пункт не получил слишком много обновлений. Из числа новшеств только то, что при хакерской атаке или взломе базы, наличии утечки данных из хранилища вы должны уведомить о случившемся полицию и пользователя. На всё про всё у Вас 72 часа или 3 дня.

5. Cookie-файлы

• Оповещение
  

Вы обязаны оповещать пользователей, что применяете cookie-файлы при первом же посещении Вашего ресурса. Оповестить можно двумя способами: настроить всплывающее окно или использовать статичное уведомление. Главное, чтобы в оповещении находилась ссылка на соответствующий пункт в политике, который подробно рассказывает о сборе и использовании файлов, а также оповещение должно содержать действие пользователя, разрешающее или запрещающее сбор информации.

• Политика использования cookie-файлов
  

Вносить информацию об использовании cookie-файлов можно в общее положение. Однако многие компании из ЕС публикуют ее отдельно. Точно непонятно, зачем и почему они это делают. Возможно, так более удобно пользователям. Самое главное включить в нее все необходимые моменты:

o   простым и понятным языком объяснить, что такое cookie;

o   указать, как и зачем используются эти файлы;

o   оповестить пользователей, как запретить сбор персональных данных с помощью cookie (можно даже предоставить ссылку на соответствующие инструкции).

6. Документальное оформление

Документальное подтверждение соблюдения GDPR позволит избежать лишних проблем и легко пройти проверку контролирующих инстанций (если такое случится). Чтобы сберечь свои нервы и деньги подготовьте соответствующие документы:

• Опубликуйте на ресурсе политику соблюдения требований GDPR (все необходимые моменты мы указывали в этой статье).

• Составьте внутренние правила и перечислите процедуры работы с ПД клиентов. Этот документ подписывают все сотрудники, которые имеют доступ к ПД клиентов.

• Подготовьте реестры ПД.

• Обеспечьте создание учетных записей ПД.

• Подпишите приказ о назначении ответственного сотрудника, который будет контролировать соблюдение регламента и политики конфиденциальности.

Мы постарались осветить основные и самые важные моменты, которые отличают 152-ФЗ от регламента GDPR.

Чтобы Вам было проще подготовить документальную базу и обеспечить информационную безопасность сайта, мы предлагаем воспользоваться таблицей. Она предоставляет сжатую информацию, наглядно демонстрирует сходства и различия законов, показывает наиболее важные пункты для каждого документа и помогает обеспечить соблюдение требований обоих регламентов:

	152-ФЗ	GDPR
Обрабатываются данные граждан	РФ	ЕС
Штрафы за несоблюдение	75 000 руб	20 млн евро
Язык текста Политики конфиденциальности на сайте	Русский	Публикуется на языке клиентов из ЕС
Меры защиты ПД	Шифрование	Шифрование, криптошифрование
Контролирующий орган	Роскомнадзор Необходимо зарегистрироваться, как оператор ПД	Европейская комиссия и Data Protection Authorities
Перечень функций в управлении данными	Корректировка, удаление	Корректировка, удаление, выгрузка, передача третьим лицам по запросу
Cookie-файлы	Наличие уведомления рекомендовано + Политика на сайте	Наличие уведомления обязательно + Политика на сайте
Согласие на обработку ПД	Допускается согласие по умолчанию. Достаточно предупреждения и ссылки на политику	Только активное действие (проставить галочку должен сам клиент)
Согласие на отправку сообщений	Допускается согласие по умолчанию, если указано в политике	Только активное действие (проставить галочку должен сам клиент)
Ответственное лицо для работы с ПД	Требуется	Требуется + желательно иметь представителя на территории ЕС
Возрастное ограничение 16+	Не указывается	Указывается

Сохраняйте предельную внимательность, ответственно отнеситесь к оформлению документов и созданию сайта. Постоянно отслеживайте любые изменения в законодательстве. Регламент GDPR требует тщательной всесторонней проработки, масштабных изменений внутренних процессов и политики компании в целом.