Октябрь 19, 2018

Регламент GDPR для защиты личных данных

25 мая 2018 года вступил в действие стандарт GDPR (General Data Protection Regulation) – обновленная политика конфиденциальности и защиты персональной информации граждан Евросоюза.

Что такое GDPR?

По своей сути GDPR – это свод правил, объединенных в регламент, призванный защищать личные данные пользователей. Он даёт им больше контроля над личной информацией. Действует на территории всех 28 стран Евросоюза.

Соблюдение Регламента обязательно:

  • для российских компаний, ведущих бизнес в Европе или имеющих европейские филиалы;
  • для организаций, которые обрабатывают данных жителей ЕС в России.

GDPR применяется, если деятельность фирмы связана с предоставлением товаров для граждан, находящихся на территории Евросоюза (в том числе на безвозмездной основе), а также в случае если обработка данных связана с отслеживанием их действий с целью определения их личных предпочтений, составления маркетинговых прогнозов.

К таким компаниям относят телеком-операторы, авиакомпании, РЖД, банковские структуры, интернет-магазины.

Даже если к вам на сайт просто заходят посетители из Великобритании, Германии или других стран ЕС, то эти требования распространяются на вашу компанию.

Персональные данные в GDPR

Персональные данные по-европейски — это любая информация, относящая к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой можно его определить прямо или косвенно.

К такой информации относится:

  • Имя;
  • данные о местоположении;
  • онлайн идентификатор;
  • доход;
  • информация о здоровье;
  • IP-адрес;
  • культурный профиль.

Отметим, что есть определенный вид данных, относящийся к особой категории конфиденциальной информации. К ней можно причислить политические взгляды, религиозные убеждения, биометрические данные, сведения о состоянии здоровья или ориентации.

Штрафы за несоблюдение

GDPR целиком и полностью нацелен на соблюдение прав и свобод субъектов персональных данных.

Регламент подразумевает два типа штрафов:

  • За незначительные нарушения. Максимальный размер — 10 млн. евро или 2 % от годового оборота компании;
  • За значительные нарушения (например, несоблюдение основных принципов GDPR) До 20 миллионов евро или до 4 % от годового оборота компании, в зависимости от того, какая сумма будет больше.

Компании обязаны самостоятельно сообщать в регулирующие органы о любых нарушениях, утечке персональных данных не меньше чем за 72 часа после обнаружения проблемы. Кроме того, необходимо сообщить о предпринятых мерах по устранению неполадок.

Регуляция соблюдения GDPR

Специальные органы надзора осуществляют проверку соблюдения требований Регламента во всех странах ЕС.

Проверки могут быть проведены в форме выезда (юрист и IT-специалист), так и онлайн. В последнем случае регулирующая организация получает доступ к уведомлениям о порядке обеспечения конфиденциальности на веб-сайте компании и из других общедоступных источников.

В первую очередь запрашивают реестр обработки персональных данных. Любые другие документы также должны предоставляться по запросу регулятора.

Права физических лиц (субъектов данных)

Право получить информацию. Субъект персональных данных может запросить у обработчика всю информацию, которую обработчик получил от него, цель обработки, каким третьим лицам информация передавалась.

Право на забвение (right to erasure, right to be forgotten). Если от субъекта поступит просьба уничтожить все персональные данные, компания обязана ее удовлетворить.

Право на перенос информации. Организация обязана предоставить в электронном виде все персональные данные другой компании по личному требованию самого субъекта.

Что предпринять?

Если вы ориентированы на страны Евросоюза или планируете расширять услуги на европейскую аудиторию, вам стоит провести полную диагностику всех онлайн-сервисов и ресурсов на предмет их соответствия предписаниям регламента GDPR.

Главное правило – пользователи должны отчетливо давать свое согласие на обработку данных. Оно должно быть сформулировано, как четкое утверждение или активный призыв к действию.

Проверьте свой ресурс по этому чек-листу:

Посетители понимать, что вы собираете cookies (куки). Предупреждение об этом появляется во всплывающем окне pop-up на видном месте страницы, чтобы каждый посетитель мог с ним ознакомиться. Добавьте кнопку «ОК» — нажав на нее, пользователь подтверждает, что сообщение прочитано и принято к сведению.

Политика cookies. Четко пропишите, какие куки вы собираете и зачем. Если используете на сайте функционал сторонних провайдеров (например, Google Analytics), нужно также проставить ссылки на их политику.

Политика конфиденциальности. Что вы обрабатываете, с какой целью, а также порядок защиты, предоставления и изменения данных.

SSL-сертификат. Шифрование соединения между пользователем и веб-сайтом. Полезно приобрести в том числе для качественного ранжирования в поиске. Хорошая практика, чтобы у пользователей не возникало лишнего беспокойства.

Онлайн-формы, подписки. В них обязательно должен присутствовать пункт о том, что пользователь дает согласие на обработку данных. Галочка не должна стоять по умолчанию – ее посетитель проставит самостоятельно. Не допускается, чтобы несколько галочек ставились в формах автоматически.

Платежи. Если вы принимаете на сайте платежи по PayPal и т.п., обязательно нужно указать ссылку на их политику конфиденциальности. Не работайте с теми, кто не соблюдает политику GDPR.

Онлайн-чат, e-mail рассылки. Выбирайте тех провайдеров, которые соответствуют требованиям GDPR. Проставляйте на сайте ссылки на их политики безопасности.

Обновленные требования обработки данных кажутся строгими, но несут в себе значительную пользу для рынка. Соблюдать единый свод правил гораздо проще, чем подстраиваться под отдельные требования всех 28 стран ЕС. Это облегчает небольшим и перспективным компаниям выход на международную арену.

Вся суть GDPR

  1. GDPR — важный документ, призванный защищать персональные данные пользователей в ЕС.
  2.  Заключает в себе свод четких правил, которым должен соответствовать любой ресурс или сервис, собирающий личную информацию о европейских пользователях с целью коммерции или маркетинга.
  3. За нарушения GDPR налагается штраф в зависимости от степени тяжести.
  4. Привести сайт в соответствие требованиям Регламента вам поможет Webnauts.

Команда Webnauts имеет опыт приведения сайта в соответствие требованиям GDPR. Один из примеров читайте в нашем кейсе

Регламент GDPR для защиты личных данных

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


Scroll Up