Gdpr. практические советы

Что делать?

Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести комплексную оценку применяемых в компании методов и средств обработки персональных данных и привести их в соответствие с новыми правилами GDPR. Следует также пересмотреть политику конфиденциальности и положения об обработке персональных данных пользовательских соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки, внедрять меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).

Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для внеевропейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС, как это приходилось делать до введения GDPR. Более того, реформа направлена на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким и развивающимся компаниям выйти на новые рынки. Согласно закону в ряде случаев обязательства изменяются в зависимости от размера бизнеса, природы обрабатываемых данных и иных факторов.

Также следует заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных (пользователей), которые возможны в рамках GDPR (например, об уточнении данных, их удалении, прекращении обработки или передаче другой компании по праву на переносимость данных).

Что будет за несоблюдение GDPR?

Самое очевидное наказание — экономическое.

Компании, пренебрегающей условиями GDPR, грозит штраф до 20 миллионов евро или 4% от годового оборота компании.

Степень наказания, конечно, зависит от разных факторов, в т.ч

от степени нарушения, количества пострадавших и ущерба, который им причинён, а также совершено нарушение по неосторожности или умышленно

Также это ударит по репутации компании, показав неискренность и непрозрачность. Люди обоснованно будут опасаться доверять вам информацию о себе, что может привести к более значительным потерям, чем штрафы. Вы рискуете терять клиентов и партнёров.

Мы верим, что вы уважаете персональные данные ваших пользователей, и создаём для вас удобную среду для работы.

С удовольствием,Carrot quest.

Подключите Carrot quest
Первые 14 дней бесплатно

Подключить

Как понять, попадаете ли вы под действие GDPR?

Признаки соответствия Регламенту можно условно поделить на «однозначные» и «косвенные».

К однозначным признакам относятся следующие.

• На территории ЕС у вас есть офис, представительство или филиал.
• Один из языков, на котором написан сайт, является государственным в одной из стран ЕС. Сейчас идёт речь не об английском, который признан международным, а о таких языках, как итальянский, испанский, голландский, шведский и так далее.
• Обратная связь с техподдержкой написана на языке одной из стран Европейского союза.
• Есть наличие сервисных центров на территории Европы.
• Есть наличие пунктов выдачи в одной или нескольких странах Евросоюза, либо на сайте компании указано, что доставляете продукцию в ЕС.
• Об услугах компании пишут местные СМИ, либо вы рекламируете свои услуги в Европе.
• Осуществляется мониторинг действий пользователей, например в мобильном приложении.

Один из перечисленных пунктов относится к вашей компании? Вы попадаете под действие GDPR.

Перечисленные выше пункты являются явными признаками, потому что в них однозначно прослеживается ваш интерес и работа с жителями Европы.

Также возможны косвенные признаки, к ним относятся:

• вы работаете с юридическими лицами из ЕС, которые вам передают персональные данные европейцев и требуют от вас соблюдения GDPR (сейчас это частый случай);
• конкуренты показали, что соответствуют GDPR, и чтобы не потерять европейских клиентов, не стоит от них отставать.

Косвенные признаки в каждом конкретном случае необходимо анализировать, а предугадать полный перечень невозможно.

Обратите внимание! Если, то или иное действие носит случайный характер, то вы не попадаете под действие GDPR. Например, вашей услугой одноразово воспользовался житель Европы, тогда проверять свою деятельность на соответствие Регламенту не нужно.. Перечень действий, которые попадают под GDPR един для всех компаний вне зависимости от их вида деятельности.

Перечень действий, которые попадают под GDPR един для всех компаний вне зависимости от их вида деятельности.

Максимально возможные штрафы за нарушение GDPR — это 20 млн € (около 1,5 млрд ₽), либо до 4% от годового оборота компании. Эти цифры пугают большинство участников европейского рынка.

Что важно понимать? Штрафы имеют сложную градацию. За нарушение GDPR стартапу не выставят штраф в 20 млн €, который приведёт к закрытию компании, но он будет ощутим.. Следующие вероятные последствия: пользователь вашего сайта увидел несоответствие GDPR и сообщил об этом регулирующему органу

Регулятор может опубликовать на своем веб-сайте информацию о вашем несоответствии Регламенту и, как следствие, вы потеряете клиентов.

Следующие вероятные последствия: пользователь вашего сайта увидел несоответствие GDPR и сообщил об этом регулирующему органу. Регулятор может опубликовать на своем веб-сайте информацию о вашем несоответствии Регламенту и, как следствие, вы потеряете клиентов.

Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, не соблюдающими GDPR, штрафуют за работу с неблагонадёжными компаниями, и при этом возможен запрет со стороны регулятора ЕС европейским компаниям работать с вами.

Такие последствия очень серьёзны для бизнеса, именно поэтому важно выполнение GDPR для любой компании. Не стоит самим себе закрывать «окно в Европу».. В случае игнорирования требований регуляторов, штрафы могут быть переложены на владельца бизнеса

Оплатить штраф, вероятнее всего, попросят таможенные органы в момент пересечения границы одной из стран ЕС.

В случае игнорирования требований регуляторов, штрафы могут быть переложены на владельца бизнеса. Оплатить штраф, вероятнее всего, попросят таможенные органы в момент пересечения границы одной из стран ЕС.

Политика конфиденциальности онлайн – бесплатные шаблоны

Из-за сложности и большого объема онлайн-соглашений о конфиденциальности большинство пользователей их просто не читает. На самом деле, согласно одному исследованию, эти соглашения настолько сложные, что в среднем у пользователя уходило бы 30 полных рабочих дней на то, чтобы действительно прочитать соглашения всех веб-сайтов, которые он посещает в течение года.

Теперь, чтобы политика конфиденциальности веб-сайтов соответствовала стандартам GDPR, владельцы этих сайтов должны сократить текст соглашения, чтобы он стал более кратким и понятным.

Несмотря на сложность, эти соглашения все же касаются тех аспектов, которые больше всего волнуют многих интернет-пользователей: защиты данных, защиты от мошенничества и неприкосновенности частной жизни. Поскольку онлайн-пользователи все больше заботятся о защите частной информации, владельцам веб-сайтов, в свою очередь, нужно сделать свое соглашение о конфиденциальности настолько понятным и четким, насколько это возможно. Ниже мы приведем анализ, в котором подробно описываются наиболее важные разделы этого соглашения и приводится бесплатный шаблон фраз, которые станут понятной альтернативой юридическому жаргону.

Пункт 1: Сбор данных

В каждой политике конфиденциальности должно быть подробно описано, какую информацию собирает веб-сайт, способы сбора этой информации и что происходит с этой информацией.

Пункт 2: Использование данных

После описания процесса сбора информации в соглашении описывается, как владельцы веб-сайта ее используют. У Facebook были проблемы с этим пунктом, когда они решили обновить свою политику конфиденциальности в 2013 году. Компания хотела добавить в соглашение о политике конфиденциальности формулировки, согласно которым она могла бы использовать данные своих пользователей, включая детей до 18 лет, в рекламных целях.

Затем компания Facebook отказалась от внедрения этих формулировок, когда группа бдительных граждан привлекла к ним внимание Федеральной торговой комиссии США. В 2014 году Facebook опубликовала версию политики конфиденциальности, написанную простым языком, объем которой сократился на целых две трети

Компании (то же справедливо и для их веб-сайтов), которые серьезно относятся к защите данных пользователей:

• Никогда не продают данные, при помощи которых можно установить личность пользователя, третьим лицам
• Шифруют и/или обезличивают данные, чтобы защитить базу от взломов
• Хранят данные только небольшой промежуток времени

Пункт 3: Рекомендации по онлайн-коммерции

Для онлайн-магазинов в политике конфиденциальности должно быть описано, как защищаются частные платежные данные пользователей, которые собираются для проведения платежей. Сюда входят номера банковских карт, номера социального страхования и данные о банковских счетах.

Пункт 4: Передача данных третьим лицам

В этом разделе простым языком должны быть описаны связи веб-сайта с третьими лицами. В идеале, ваш веб-сайт не должен делиться или продавать данные, при помощи которых можно установить личность пользователей, пока для этого нет легально обоснованной причины. Здесь также должно быть подробно описано, что ваша компания делает с неконфиденциальной информацией.

Пункт 5: Безопасность данных и их отслеживание

На сегодняшний день в лучших образцах соглашений о конфиденциальности указано, каким образом осуществляется защита данных и использование куки-файлов.

В прошлом году у компании Google возникли проблемы с политикой конфиденциальности из-за того, что она передавали куки-файлы третьим лицам. Комиссариат по информации Великобритании заставил этого Интернет-гиганта включить в соглашение информацию о том, кто может собирать “анонимные идентификаторы” (схожи с кукиз), и цели, с которыми компания собирает эти данные.

Пункт 6: Способы аннулировать подписку

В каждом соглашении о политике конфиденциальности должно быть указано, как пользователь может аннулировать подписку на ненужные службы/рассылки.

Пункт 7: Согласие

В стандартном онлайн-тексте политики конфиденциальности указано, что пользователь соглашается с ней, просто пользуясь веб-сайтом. Кроме того, здесь должно быть описаны права частного лица, такие как: отправить запрос на удаление или изменение некоторых данных и/или просмотр данных этого лица, которые были собраны веб-сайтом.

Какие действия предпринять, чтобы соблюсти требования GDPR?

Поскольку целью GDPR является защита персональных данных, вполне логичными видятся его ключевые принципы — законность, справедливость и прозрачность, сбор данных только для определенных целей, точность, хранение данных не дольше, чем это необходимо, и (куда уж без нее) безопасность.

Получение согласия субъекта на обработку его персональных данных является обязательным. Причем оно должно быть явно выраженным, а также должно легко предоставляться пользователем, равно как и легко быть отозвано. Пользователь, давая согласие, должен понимать, с какой целью его данные будут использоваться.

Для приведения компании в соответствие GDPR сначала определите, какие данные вы собираете и для чего, как их в дальнейшем используете, храните/не храните, как удаляете. Вам следует отказаться от сбора избыточных данных, а также установить срок их хранения не дольше, чем это необходимо для каждой из целей обработки

Весь процесс обработки персональных данных должен быть максимально точно и просто донесен до пользователя. Описание всех процессов и целей обработки можно включить в Privacy Policy вашей компании (он ведь у вас есть, правда?), или можно создать отдельную политику обработки персональных данных. В этом документе также нужно рассказать, что у пользователя есть право отозвать согласие впоследствии и он вправе потребовать удаления переданных данных. И необходимо указать конкретные сроки хранения для каждой из целей.

Естественно, что все политики сайта должны быть удобно расположены, так, чтобы субъект данных мог легко и непринужденно с ними ознакомиться.

Отдельного внимания заслуживают файлы cookie. Потому что они, как и IP-адрес, могут идентифицировать пользователя. А значит, с точки зрения GDPR, такие данные нужно рассматривать как персональные. Однако в данном случае речь идет не обо всех файлах cookie. Идентифицировать пользователя могут только cookie, используемые для аналитики, рекламы или функциональных служб (например, чат-боты).

В свете GDPR понятно, что любые маркетинговые рассылки, в том числе информационные дайджесты или новости компании можно отправлять только тем, кто сам пожелал их получать.

Итак, пользовательское согласие должно быть получено в виде недвусмысленного действия самого субъекта данных

Важно, что чек-боксы согласия не должны быть заранее отмечены. К слову, среди прочих претензий, Google оштрафовали именно за проставленные заранее галочки

Не будь, как Google. Предустановленные галочки — это не твой выбор.

Так как должна выглядеть форма обратной связи на сайте? Если вы используете данные о клиенте только для уточнения деталей проекта или заказа, вам скорее всего будет достаточно его имени и номера телефона либо адреса электронной почты. В связке эти данные являются персональными, поэтому получение согласия на обработку данных является обязательным. Нужно дать пользователю возможность самому проставить галочку в чек-боксе с текстом «Я согласен на обработку персональных данных», а также ознакомиться с текстом политики вашей компании в отношении обработки персональных данных.

Форма обратной связи может выглядеть примерно таким образом:

Работая с нами, вы можете быть спокойны — мы всегда держим курс на соблюдение норм законодательства. При разработке любых проектов мы учитываем все пожелания клиента и предлагаем наилучший вариант для вашего бизнеса, ориентируясь на требования законодателей.

Ответственность за несоблюдение GDPR

Если компания или предприниматель проигнорирует требования регламента, то ей придется заплатить штраф, размер которого составляет до 4% от годового мирового оборота за предыдущий финансовый год или до €20 млн — в зависимости от того, что окажется больше. Конечно, взаимодействие у РФ с ЕС по привлечению организаций к ответственности минимальное, скорее всего, решение о взыскании штрафа с российской организации в пользу Евросоюза не будет исполнено на территории России. Однако в ЕС такая организация-нарушитель получит статус нон грата, то есть не сможет работать, пока не исполнит наложенное взыскание. Поэтому, если компания намерена вести бизнес в Европе, требования GDPR придется соблюдать.

Кстати, несоблюдение российского Федерального закона N 152-ФЗ также грозит операторам немалым штрафом. Его размер по составляет до 75 000 рублей, что конечно, намного меньше, чем €20 млн, но все равно бьет по карману.

Основные принципы GDPR

В основе GDPR лежат 6 принципов:

1. Законность, справедливость и прозрачность. Пользователи должны знать, к каким их данным организации имеют доступ.
2. Ограничение цели. Компании могут собирать данные только для достижения цели, прописанной в пользовательском соглашении.
3. Минимизация данных. Компании не имеют права собирать больше данных, чем необходимо для достижения цели.
4. Точность. Собранные данные должны быть точными и актуальными. В противном случае компании обязаны их исправить или удалить.
5. Ограничение хранения. Данные пользователей должны удаляться сразу после использования.
6. Целостность и конфиденциальность. Данные, собираемые компанией, должны быть защищены от несанкционированной и незаконной обработки, уничтожения и повреждения.

Политика обработки персональных данных

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1. Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами: — Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей; — Должностное лицо: штраф в размере от 5 000 — 10 000 рублей; — Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;

2. Обработка персональных данных без согласия гражданина приведет: — Физическое лицо: штраф в размере 3 000 — 5 000 рублей; — Должностное лицо: штраф в размере от 10 000 — 20 000 рублей; — Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;

3. В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф: — Физическое лицо: штраф в размере 700 — 1 500 рублей; — Должностное лицо: штраф в размере от 3 000 — 6 000 рублей; — Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей — Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;

Отдельно необходимо отметить три пункта:

1. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом почта katya334566@bk.ru не является персональными данными, а почта petr.ivanov@livetex.ru , с указанием должности в подписи, является, так как можно определить, что эта почта принадлежит Петру Иванову, работающему в LiveTex.

2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3. Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Несколько ситуаций, когда персональные данные можно обрабатывать без согласия

Эти случаи опираются на законодательство РФ:

• Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
• Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
• Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
• Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
• Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
• Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
• Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности. Во всех ситуациях, которые не подходят под эти пункты, необходимо согласие на обработку.