Около двух месяцев назад впервые был применен максимальный штраф за несоблюдение норм европейского регламента по защите персональных данных (GDPR). Оштрафовали не кого-нибудь, а Google, на целых 50 миллионов евро. По крайней мере, контролирующая организация из Франции в лице CNIL (национальной комиссии по информатизации и свободе) показала, что законы нарушать никому не даст. В связи с этим событием, пожалуй, стоит снова поднять тему соответствия GDPR. Ведь соблюдать законодательство, в том числе международное, действительно важно. И не только из-за больших штрафов.
Что такое GDPR? Почему его нужно соблюдать?
В мае 2018 года вступил в силу обновленный свод правил по защите данных физических лиц Евросоюза под названием GDPR. Соблюдать его предписано всем компаниям, предлагающим свои товары/услуги субъектам, находящимся в Евросоюзе. Цели внедрения такого норматива понятны — в век развития цифровых технологий персональные данные граждан как никогда нуждаются в защите. Однако вопрос, волнующий многих: в какой степени это касается (если вообще касается) российских компаний?
За последний год написано уже достаточное количество статей о новом законе ЕС и отношении к нему российских компаний. Никто не мешает вам призвать всемогущий Google и найти ответ на свой вопрос. Тем не менее, наиболее правильный подход к изучению любого нового норматива — это обращение к его тексту. Довольно удобная публикация, как мне кажется, сделана на этом неофициальном сайте — https://gdpr-info.eu/
Можно изучить весь закон, если вы еще этого не делали, но пока возьмем из текста только то, что может относиться к компании из России. Самое важное, в принципе, находится в первой главе. В ней достаточно содержательно объясняется, кого касается GDPR и в каких пределах, а также расшифровываются понятия, используемые в законе.
Статья 3 рассказывает, в каких случаях обработка личной информации субъектов данных Евросоюза подпадает под действие регламента. Это предложение (в том числе бесплатное) товаров или услуг субъектам данных, находящимся в Евросоюзе, или отслеживание действий субъектов данных, если такие действия происходят в пределах стран Евросоюза.
Узнать, кто такой субъект данных, и что такое персональные данные по определению GDPR мы можем, заглянув в самое начало статьи 4.
«Personal data’ means any information relating to an identified or identifiable natural person («data subject») ; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.» Article 4 (1)
Можно сделать однозначный вывод: если ваша компания продает товары/услуги лицам, находящимся в ЕС, либо отслеживает их поведение (например, используя инструменты аналитики на сайте), то ей непременно нужно стать GDPR-compliant.
Для компании, не находящейся территориально ни в одной из стран Евросоюза, также будет важно обратить внимание на преамбулу 24 регламента (Recital 24). Чтобы у вас не осталось сомнений в том, что российской компании действительно необходимо соблюдать GDPR.
«The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union.»
Что примерно означает следующее — даже если ваша компания физически не находится на территории ЕС, но так или иначе обрабатывает персональные данные лиц, которые находятся в ЕС — GDPR вас касается.
Какие действия предпринять, чтобы соблюсти требования GDPR?
Поскольку целью GDPR является защита персональных данных, вполне логичными видятся его ключевые принципы — законность, справедливость и прозрачность, сбор данных только для определенных целей, точность, хранение данных не дольше, чем это необходимо, и (куда уж без нее) безопасность.
Получение согласия субъекта на обработку его персональных данных является обязательным. Причем оно должно быть явно выраженным, а также должно легко предоставляться пользователем, равно как и легко быть отозвано. Пользователь, давая согласие, должен понимать, с какой целью его данные будут использоваться.
Для приведения компании в соответствие GDPR сначала определите, какие данные вы собираете и для чего, как их в дальнейшем используете, храните/не храните, как удаляете. Вам следует отказаться от сбора избыточных данных, а также установить срок их хранения не дольше, чем это необходимо для каждой из целей обработки
Весь процесс обработки персональных данных должен быть максимально точно и просто донесен до пользователя. Описание всех процессов и целей обработки можно включить в Privacy Policy вашей компании (он ведь у вас есть, правда?), или можно создать отдельную политику обработки персональных данных. В этом документе также нужно рассказать, что у пользователя есть право отозвать согласие впоследствии и он вправе потребовать удаления переданных данных. И необходимо указать конкретные сроки хранения для каждой из целей.
Естественно, что все политики сайта должны быть удобно расположены, так, чтобы субъект данных мог легко и непринужденно с ними ознакомиться.
Отдельного внимания заслуживают файлы cookie. Потому что они, как и IP-адрес, могут идентифицировать пользователя. А значит, с точки зрения GDPR, такие данные нужно рассматривать как персональные. Однако в данном случае речь идет не обо всех файлах cookie. Идентифицировать пользователя могут только cookie, используемые для аналитики, рекламы или функциональных служб (например, чат-боты).
Скорее всего, вы используете на сайте какой-либо из вышеназванных инструментов, а значит, вам нужно озаботиться получением на то согласия пользователя. В большинстве случаев наилучшим вариантом можно считать модель «soft opt-in» — при первом посещении сайта следует дать пользователю возможность совершить некое действие прежде, чем начнется сбор cookie. Будет достаточно предупреждения: «Этот сайт использует cookie. Если вы продолжите работу с сайтом мы будем вынуждены буквально воспринять ваши действия как согласие с вышеупомянутым фактом».
В свете GDPR понятно, что любые маркетинговые рассылки, в том числе информационные дайджесты или новости компании можно отправлять только тем, кто сам пожелал их получать.
Чаще всего сбор email-адресов пользователей для рассылки происходит посредством формы обратной связи. Как раз эту форму на сайте нужно будет видоизменить, чтобы не обижать европейцев и их данные. Не забываем и про основу основ GDPR — согласие субъекта персональных данных.
Итак, пользовательское согласие должно быть получено в виде недвусмысленного действия самого субъекта данных. Важно, что чек-боксы согласия не должны быть заранее отмечены. К слову, среди прочих претензий, Google оштрафовали именно за проставленные заранее галочки.
Не будь, как Google. Предустановленные галочки — это не твой выбор.
Так как должна выглядеть форма обратной связи на сайте? Если вы используете данные о клиенте только для уточнения деталей проекта или заказа, вам скорее всего будет достаточно его имени и номера телефона либо адреса электронной почты. В связке эти данные являются персональными, поэтому получение согласия на обработку данных является обязательным. Нужно дать пользователю возможность самому проставить галочку в чек-боксе с текстом «Я согласен на обработку персональных данных», а также ознакомиться с текстом политики вашей компании в отношении обработки персональных данных.
Если же вы планируете добавить полученный email клиента в копилку для маркетинговых рассылок, необходим отдельный чек-бокс. Текст может быть примерно следующий: «Я хочу получать информационные материалы и новости компании Sereneco». Естественно, не получится заставить клиента подписаться на вашу рассылку насильно.
Форма обратной связи может выглядеть примерно таким образом:
Работая с нами, вы можете быть спокойны — мы всегда держим курс на соблюдение норм законодательства. При разработке любых проектов мы учитываем все пожелания клиента и предлагаем наилучший вариант для вашего бизнеса, ориентируясь на требования законодателей.
