Регламент по защите данных gdpr

Как избежать штрафов и соответствовать GDPR

В современном мире практически у каждой компании есть сайт, через который можно оказывать услуги по всему миру, в том числе и в Евросоюзе. Зачастую для предоставления того или иного сервиса требуется регистрация на сайте, а для своевременной корректировки предоставляемых услуг, профилирования и проведения рекламных кампаний, необходимо видеть реальную активность пользователей сайта, и поэтому осуществляется аналитика поведения пользователей — это всё является персональными данными человека, которые регулируются GDPR.

Напоминаю, вам необходим минимальный список таких документов:

уведомления об обработке персональных данных (Privacy Notice);
Privacy Policy;
Cookie Policy;
дисклеймер об обработке Cookie;
согласия на обработку персональных данных.

Разберёмся в их наполнении по порядку.

Privacy Notice

Privacy Notice содержит информацию о том, как персональные данные будут использованы, что с ними будут делать и куда передаваться. Как правило, чтобы не создавать лишний документ, многие европейские коллеги объединяют его с Privacy Policy.

В Privacy Notice необходимо отразить все цели обработки персональных данных, кому они передаются с указанием названий компаний и права физических лиц, которыми они могут воспользоваться (в GDPR их предостаточно).

Privacy Policy

В Privacy Policy должна входить общая информация по обработке персональных данных, отношение к обработке данных детей и информация о том, как обрабатываются специальные категории персональных данных и в том числе биометрические данные.

Важный момент: Privacy Policy должна быть написана на «понятном языке», а это означает, что её нужно написать в доступной форме на языках тех стран, с которыми вы работаете. А если ваша целевая аудитория — это дети из Европы, то изложить документ вы должны в понятном для них языке, в том числе в виде видео, картинок или комикса, и это не шутка.

Не хотите создавать политику вручную? Предлагаем воспользоваться специальным сервисом.

Cookie Policy

Cookie Policy — это политика в отношении сбора cookie-файлов, их обработки, средств обработки и целей использования. Для упрощения подготовки данного документа можем порекомендовать готовое решение, которое позволит настроить сбор согласия на обработку cookie-файлов «под себя», а при необходимости продемонстрировать регулятору или физическому лицу, что согласие от него было получено.

Дисклеймер об обработке Cookie

Обработка cookie-файлов в рамках GDPR требует согласия. Уведомления об обработке cookie-файлов, как в России, будет недостаточно — необходимо разместить дисклеймер.

Как GDPR определяет личные данные?

По регламенту персональными данными считается любая информация, по которой можно прямо или косвенно идентифицировать физическое лицо. Например, логин и пароль, интернет-ID, IP-адрес. Личными данными также считается любая информация, которую пользователь указывает в своих аккаунтах (например, пол, возраст) и данные, которые сайты собирают для рекламных целей (поисковые запросы, геолокация и т.д.).

В соответствии с GDPR каждый пользователь имеет право знать:

какие типы персональных данных собирает компания;
в какой форме они собираются;
как они используются;
кто имеет к ним доступ;
используются ли данные для автоматического составления портрета пользователя (например, для показа таргетированной рекламы);
по каким критериям определяются сроки хранения данных.

Компании не обязаны прописывать эти моменты в пользовательском соглашении. Однако если пользователь запросит эту информацию, организация будет обязана ее выслать в течение месяца (трех – с объяснением причины) бесплатно и в удобной для пользователя форме.

В GDPR также прописаны типы данных, которые собирать запрещено. Среди них информация о:

расовой или этнической принадлежности;
политических предпочтениях;
религии;
членстве в профессиональных объединениях;
состоянии здоровья;
сексуальной жизни и ориентации.

Организационные меры по защите данных

Personal Data Protection Policy Art. 24 (2) GDPR
Inventory of Processing Activities Art. 30 GDPR
Security incident response policy: В течение 72 часов необходимо уведомить свой надзорный орган об утечке (Art. 33 GDPR), нужно уведомить data subject-а, что его данные утекли (но при определённых условиях можно и не делать этого) (Art. 34 GDPR)
Data Breach Notification Form to the Supervisory Authority Art. 33 GDPR
Data Breach Notification Form to the Data Subjects Art. 34 GDPR
Data Retention Policy Articles 5(1)(e), 13(1), 17, 30

Data Disposal Policy
Backup policy
System access control Policy
SLA and escalation procedures
Cryptographic control policy
Disaster Recovery and business continuity
Coding standards and rollout procedure
Employment policy and processes
Чтобы не плодить кучу документов, можно объединить их в один IG Policy (Information Governance Policy)

GDPR и Украина

Постепенный процесс безопасной обработки персональных данных имеет необратимый характер и будет принят всеми государствами, имеющими экономические отношения с Европой.

Несмотря на ратификацию Верховной Радой Украины Конвенции о защите физических лиц в отношении автоматической обработки персональных данных (т.н. Конвенция 108) и Дополнительного протокола к Конвенции о надзорных органах и трансграничных потоках данных, Украина не была внесена в список стран, которые обеспечивают обработки персональных данных, который бы полностью соответствовал европейскому законодательству. Необходимо признать, что на данном этапе в национальном законодательстве в полной мере не формализованы принципы защиты ПД и не определены все субъекты, необходимые для действенного контроля обработки персональных данных.

Но даже если адаптация национального законодательства о защите ПД не достигнет должного уровня, это не помешает вашему предприятию внедрить адекватные меры для свободной обработки персональных данных в соответствии с Регламентом.

Далее мы обсудим, как это сделать эффективно, основываясь на положениях Регламента, учитывая административные меры, применяемые надзорными органами и конечно лучшие практики/политики ведущих компаний.

2019: Самые крупные многомиллионные штрафы за нарушение GDPR

На 7 ноября 2019 года наибольшая доля штрафов (по количеству) приходится на Венгрию, Испанию, Чехию, Болгарию, Румынию. На Великобританию приходится около 2% от общего числа штрафов. Размеры штрафов по статистике устанавливаются пропорционально нарушению – что соответствует нормам GDPR. Наиболее крупные штрафы за утечку паспортных данных, в области здравоохранения и т.п.

Самые крупные многомиллионные штрафы за нарушение GDPR:

British Airways
Страна: Великобритания
Штраф: 204 110 000 €
Нарушенная статья GDPR: 32

В июле авиакомпания British Airways была оштрафована на 183 миллиона фунтов стерлингов со стороны Управления комиссара Великобритании по информации (ICO) за нарушение данных, которое произошло в сентябре 2018 года. Злоумышленникам удалось украсть персональную информацию примерно 500 000 клиентов авиакомпании. Эти данные содержали имена, номера банковских карт и их коды CVV, а также адреса электронной почты. Статья 32 закона требует, чтобы компании внедряли технические и организационные меры для обеспечения безопасности информации.

Marriott International, Inc.
Страна: Великобритания
Штраф: 118 714 808 €
Нарушенная статья GDPR: 32

В конце ноября 2018 года , Marriott International стала главным героем на тот момент второго по величине нарушения данных за всю историю. Были украдены персональные данные 339 миллионов клиентов. Хакеры получили доступ к данным отеля с 2014 года.

Согласно результатам расследования, проведенного Управлением комиссара Великобритании по информации, украденные данные содержали сведения о примерно 30 миллионах клиентов из 31 страны Европейской экономической зоны. Считается, что уязвимость в защите стала использоваться с 2014 года, когда был скомпрометирован Starwood Hotel Group, а Marriott купила Starwood в 2016 году. Комиссар по информации Элизабет Денхэм объяснила: «GDPR четко дает понять, что организации должны нести ответственность за хранящиеся у них персональные данные. Это также подразумевает и проведение тщательной юридической экспертизы при совершении корпоративной сделки по приобретению».

Штраф, наложенный на Marriott International, составил 99 200 396 фунтов стерлингов.

LLC
Страна: Франция
Штраф: 50 000 000 €
Нарушенные статьи GDPR: 5, 6, 13, 14

Национальная комиссия по информации и свободе CNIL (Commission Nationale de l’Informatique et des Libertés), являющаяся агентством по защите данных во Франции, в январе оштрафовала Google LLC на 50 миллионов евро за нарушение установленных в GDPR правил прозрачности и за отсутствие действующей правовой основы для обработки персональных данных в рекламных целях. По мнению CNIL, пользователи Google не получили достаточной информации об использовании их данных. Более того, согласие, получаемое компанией Google, не является ни «конкретным», ни «однозначным».

Österreichische Post AG
Страна: Австрия
Штраф: 18 000 000 €
Нарушенные статьи GDPR: 5, 6

В октябре австрийская почтовая компания Österreichische Post AG получила штраф в размере 18 миллионов евро за создание профилей около трех миллионов человек, в которых содержалась информация об их адресах, личных предпочтениях и политической принадлежности. Затем эти профили были проданы политическим партиям и другим компаниям. Нарушенные статьи GDPR, указанные выше, связаны с получением правовой основы для обработки данных.

1&1 Telecom
Страна: Германия
Штраф: 9 550 000 €
Нарушенная статья GDPR: 32

В декабре немецкий федеральный комиссар по защите данных и свободе информации (BfDI) оштрафовал телекоммуникационную компанию 1&1 Telecom на 9,5 миллионов евро. Компания не смогла реализовать необходимые технические и организационные меры для защиты персональных данных в своих колл-центрах: было установлено, что достаточно просто можно было получить информацию о клиентах, указав их ФИО и дату рождения. По данным BfDI, такого уровня аутентификации было недостаточно для надлежащей защиты клиентских данных.

Принципы процессинга персональных данных

Регламентом определены обязанности и права субъектов, вовлеченных в процесс обработки персональной информации: контроллера, процессора, сотрудника по защите персональных данных и соответствующих надзорных органов. Их работа и взаимодействие не должны выходить за рамки следующих взаимосвязанных принципов процессинга ПД:

законность, справедливость и прозрачность обработки

Соответствие европейскому законодательству и публично доступной Политики (Privacy Policy) на сайте вашей организации. Ее внедрение не стоит путать с Политикой информационной безопасности. Это разные документы, которые должны взаимно дополнять друг-друга и соответствовать необходимым техническим мерам, внедренным на предприятии.

ограничение целей обработки

Процессинг ПД в организации должен осуществляется для достижения целей, определенных вашим предприятием.

минимизация данных

Обработка ПД должна производиться только в рамках коммерческой деятельности самой организации, поддержания непрерывности ее бизнес-процессов, с учетом возможных требований по защите интересов третьей стороны.

точность

Данный принцип должен гарантировать, что обрабатываемые ПД верны и соответствуют первично полученным от субъекта ПД.

ограничение на хранение

При достижении заявленных целей обработки, ПД должны быть удалены. Требование должно распространяться на все организации, включенные в цепь обработки.

целостность и конфиденциальность

Вы должны гарантировать безопасность обработки ПД, защищенность от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с обязательным применением соответствующих технических и организационных мер.

Контроль за соблюдением GDPR в России и последствия невыполнения требований

запрашивать любую информацию, касающуюся обработки ПДн;
проводить аудиты защищенности ПДн;
получать от оператора и обработчика доступ ко всем ПДн и ко всей информации, необходимой для выполнения своих задач;
получать доступ к любым помещениям оператора и обработчика, в том числе к любому оборудованию и средствам обработки данных.

выдать предупреждение либо замечание оператору или обработчику о том, что текущий порядок обработки ПДн нарушает положения Регламента;
выдать предписание о необходимости выполнения запроса субъекта, о необходимости информирования субъекта о нарушении безопасности ПДн;
потребовать привести операции по обработке ПДн в соответствие с Регламентом в определенный срок;
наложить временное или постоянное ограничение на обработку, включая запрет на обработку;
выдать предписание об удалении либо уточнении ПДн;
наложить административный штраф вместе с иными мерами либо вместо них;
потребовать прекратить передачу ПДн в третью страну либо в международную организацию.

К кому относится GDPR?

GDPR применяется к любой организации, действующей в ЕС, а также к любым организациям за пределами ЕС, которые предлагают товары или услуги клиентам или предприятиям в ЕС. Это в конечном итоге означает, что почти каждая крупная корпорация в мире должна быть готова к вступлению в силу GDPR и должна начать работу над своей стратегией соответствия GDPR.

Существует два разных типа обработчиков данных, к которым применяется законодательство: «процессоры» и «контроллеры».

Соответствует требованиям GDPR? Контрольный список

Контролер — это «лицо, государственный орган, или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных», а процессор — «лицо, государственный орган, или другой орган, который обрабатывает личные данные от имени контроллера ».

GDPR в конечном счете возлагает юридические обязательства на процессор для ведения учета, хранения и обработки персональных данных.

Контролеры также будут вынуждены обеспечи, чтобы все контракты с процессорами соответствовали GDPR.

Общее правило защиты данных: что это значит для вас?

Типы данных, считающиеся личными в соответствии с действующим законодательством, включают имя, адрес и фотографии. GDPR расширяет определение персональных данных, так что что-то вроде IP-адреса может быть персональным. Он также включает в себя конфиденциальные личные данные, такие как генетические данные, и биометрические данные, которые можно обработать, чтобы однозначно идентифицировать человека.

Когда GDPR вступает в силу?

GDPR будет применяться во всем странам Европейском союзе с 25 мая 2018 года.

После четырех лет подготовки и дебатов, GDPRбыл одобрен Европейским парламентом в апреле 2016 года, а официальные тексты и регулирование этой директивы были опубликованы на всех официальных языках ЕС в мае 2016 года.

Как влияет Brexit на GDPR ?

Великобритания собирается покинуть ЕС 29 марта 2019 года, чуть более десяти месяцев после вступления в силу GDPR. Правительство Великобритании заявляет, что это не повлияет на вступление GDPR в стране, и что GDPR будет работать на благо Великобритании, несмотря на то, что страна перестает быть членом ЕС. Таким образом, Brexit вряд ли окажет какое-либо влияние на требования к соответствию требованиям GDPR организации.

Что означает GDPR для бизнеса?

GDPR устанавливает один закон по всему континенту и единый набор правил, применяемых к компаниям, ведущим бизнес в государствах-членах ЕС. Это означает, что правовые нормы распространяются дальше, чем границы самой Европы, поскольку международные организации, расположенные за пределами региона, но осуществяющие деятельность на «европейской почве» должны выполнять эти требования.

Хотелось бы надеяться, что благодаря законодательству по данным с GDPR, это может принести пользу бизнесу. Европейская комиссия утверждает, что, обладая единым надзорным органом для всего ЕС, это упростит и удешевит бизнес для работы в регионе. Действительно, Комиссия утверждает, что GDPR будет экономить 2,3 млрд евро в год по всей Европе.

«Объединив европейские правила защиты данных, законодатели создают возможности для бизнеса и поощряют инновации», — сказано в сообщении Комиссии.

Это означает, что регулирование дает гарантии защиты данных, которые будуь встроены в продукты и услуги с на самом раннем этапе разработки, обеспечивая «защиту данных» в новых продуктах и технологиях.

Что такое GDPR?

Регламент о защите персональных данных граждан ЕС похож на российский Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных». Оба документа предусматривают:

Прозрачность сбора персональных данных: организации и граждане-операторы обязаны собирать данные на законных основаниях, с согласия их владельцев и объяснять, как планируют их использовать.
Ограничение цели сбора данных: персональные даные граждан можно собирать и хранить только в строго установленных и озвученных владельцу целях.
Ограничение объема персональных данных заявленными целями.
Управление данными и возможность их отзыва владельцем. Гражданин имеет право запрашивать у оператора, какими сведениями о нем он располагает, а также потребовать удалить всю эту информацию.
Безопасность использования и хранения: собранную о гражданах информацию нельзя передавать третьим лицам. Оператор обязан обеспечить защищенность хранения, без возможности утечки. Раскрывать данные без согласия их владельцев запрещено.
Ограничение сроков хранения и обработки заявленными целями.

Но в ЕС пошли немного дальше РФ: в GDPR персональные данные являются объектом контроля со стороны уполномоченных органов. По регламенту для каждого обработчика может быть назначен отдельный контролер, который взаимодействует с оператором-обработчиком. Именно эти два субъекта должны обеспечить необходимые средства для обеспечения постоянной конфиденциальности и своевременного восстановления доступа к персональным данным в случае природного или технического инцидента. Кроме того, в их обязанности входит уведомлять надзорные органы об утечке персданных в течение 3 суток с момента выявления такой утечки, а также информировать об этом субъект данных. В российском законе такой обязанности у операторов нет, они просто обязаны самостоятельно и быстро устранить утечку. Кроме того, в ЕС обработчики данных должны отчитываться об их хранении и использовании.

При этом раньше в ЕС действовала директива N 95/46/ЕС «О защите физических лиц при обработке персданных и о их свободном обращении», на смену которой и пришел GDPR. Его главное отличие от упраздненной директивы состоит в экстерриториальности и наднациональности, то есть если раньше все ограничивалось границами ЕС, то теперь требования должны фактически соблюдаться по всему миру, в том числе и в России.

Основные термины и аббревиатуры

персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу; идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности;
субъект данных — идентифицированное или потенциально идентифицируемое физическое лицо.
контроллер – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и способы такой обработки определены правовыми актами Союза или Государства-члена ЕС, то контролёр или частные критерии для его назначения критерии могут быть предусмотрены правовыми актами Союза или Государства-члена ЕС;
процессор — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени контроллера;
получатель – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которой раскрываются персональные данные, вне зависимости от того, является ли она третьим лицом или нет. Однако публичные учреждения, которые могут получать персональные данные в связи с конкретным расследованием, в соответствии с правовыми актами Союза или государства-члена ЕС, не считаются получателями; указанная обработка данных, проводимая публичными учреждениями соответствует применимым правилам защиты данных, согласно целям обработки;
третья сторона – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, не являющаяся субъектом данных, контролёром и лицами, которые при непосредственном подчинении контролёру или процессору, уполномочены проводить обработку персональных данных;
несанкционированный доступ к личным данным – нарушение безопасности, в результате которой происходит случайное или незаконное уничтожение, утрата, преобразование, неразрешённое разглашение или доступ к обрабатываемым персональным данным (передача, хранение или иной способ обработки);
представитель – физическое или юридическое лицо, ведущее предпринимательскую деятельность в Союзе, которое в письменной форме назначается контролёром или процессором, в соответствии со статьёй 27, которое представляет контролера или процессора, в связи с их соответствующими обязанностями, предусмотренными настоящим регламентом;
согласие субъекта данных – любое свободно данное, конкретное, сознательное и однозначное указание на пожелания субъекта, которыми он или она путем уведомления или чёткого подтверждающего действия даёт согласие на обработку своих персональных данных;
трансграничная обработка является или:
- обработкой персональных данных, которая проводится в связи с действиями, осуществляемыми контролёром или процессором в Европейском Союзе в местах предпринимательской деятельности более, чем в одном Государстве-члене ЕС, если контролёр или процессор осуществляет предпринимательскую деятельность более, чем в одном государстве-члене; или
- обработкой персональных данных, которая происходит в связи действиями, осуществляемыми контролёром или процессором в единственном месте ведения предпринимательской деятельности, но которая оказывает существенное воздействие или может оказывать существенное воздействие на субъекты данных в нескольких Государствах-членах ЕС.
Компетентный орган — это
- любой государственный орган, компетентный для предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение их угроз; или
- любой другой орган или сущность государства-члена ЕС, наделенная полномочиями осуществлять деятельность в целях предупреждения, расследования, обнаружения, преследования за уголовные преступления или исполнения уголовных наказаний, включая защиту от и предотвращение угроз общественной безопасности;

DSR (Data Subject Rights ) — Права субъекта данных
DSR Запрос (DSR Request) — Официальный запрос субъекта данных контроллеру с целью совершения какого-либо действия над его или ее персональными данными.
DPO (Data Protection Officer) — Сотрудник по защите данных и взаимодействия с субъектами данных и надхорными органами.

Что мне надо сделать для соблюдения GDPR?

1. Разместить информацию о сборе персональных данных

При переходе на сайт ваш пользователь должен знать, что вы используете его персональные данные (например cookies) и дать своё согласие.

Сделать это можно с помощью бампера или всплывающих окошек.

Предупреждение об использовании cookies на Reddit

Вставьте бампер, предупреждающий об использовании cookies на вашем сайте с помощью Carrot quest.

Вам достаточно включить переключатель. Сейчас там ссылка на нашу политику конфиденциальности, т.к. мы собираем и обрабатываем информацию, а в ближайшее время вы сможете указать свою.

Вот так это будет выглядеть на сайте:

2. Спрашивать у пользователей согласие на сбор и обработку данных

Когда пользователь вводит информацию в поля на вашем сайте, он должен подтвердить своё согласие на обработку данных. Это реализуется добавлением галочки “Я согласен с условиями обработки данных”, которую должен нажать пользователь перед тем, как данные отправятся. Причём это должно быть активное действие (галочка не может быть нажата за пользователя) и выражаться в форме утверждения. Правда мало кто так делает и чаще это текст в виде: “используя данную форму вы соглашаетесь на обработку ваших персональных данных”.

Это также можно настроить в Carrot quest. Как и в случае с бампером, вам надо только включить переключатель.

Вот как будет выглядеть галочка подтверждения в поп-апе Carrot quest:

3. Ввести double opt-in

Это стандартное double opt-in письмо от MailChimp

Вот пример письма для согласия на рассылку от Главреда:

Такой приём повышает качество вашей базы, ведь остаются только действительно заряженные, и помогает избежать жалоб на спам или высокого Bounce rate.

Double opt-in полезен для новых пользователей. А вот если вы собираете дополнительные данные об уже существующих клиентах (например, в дополнение к телефону или клиент подписался на дополнительную рассылку от вас), то отправлять такое письмо не надо.

Мы готовим письма double opt-in для вас, останется только включить галочку, указать название компании, которое будет подставляться в письмо, и логотип.

Вот так будет выглядеть письмо с вашим логотипом:

А эту страницу увидит пользователь после того, как нажмёт на кнопку:

Что делать со старой базой? У них надо спрашивать разрешение?

Вы можете это сделать, но не обязательно. Вы можете отправить всей существующей базе письмо, в котором попросите подтвердить, что им всё еще интересно получать ваши письма.

Вот как это делает Chargebee:

В письме подробно рассказывается, что и почему надо сделать, а также что произойдёт, если пользователь не подтвердит своё согласие. После нажатия на кнопку вы видите сообщение с благодарностью.

Chargebee строит свои отношения с клиентами на доверии и уважении. Однако стоит помнить, что у любого письма есть конверсия и, скорее всего, таким приёмом вы потеряете часть емейл-базы. Отправлять такое письмо или нет — решать вам.

4. Предоставлять данные пользователя и удалять их по первому требованию

Если пользователь запросил персональные данные, которые вы собираете о нём, вы легко можете экпортировать их из Carrot quest.

Найдите и отметьте галочкой пользователя в разделе Лиды;
Выберите столбцы для экспорта;
Нажмите “Экспортировать пользователей”. Эта функция прячется в выпадающем меню правее способов коммуникации.

Данные придут вам на почту в формте CSV — вам останется лишь переслать это пользователю.

Помните, что вы обязаны удалить все данные пользователя, если он этого потребует. Чтобы сделать это в Carrot quest, напишите нам в поддержку, мы поможем.

5. Сообщать, если данные потерялись

Внимательно следите за данными, которые вы собираете. Теперь если с ними что-то произойдёт, вам придётся нести ответственность. Если данные украдут в результате взлома, произойдёт утечка или вы потеряете их каким-то другим способом, вам придётся сообщить об этом своим пользователям в течение пяти дней.

Прям как Facebook в марте 2018. Быть как Facebook хорошо, терять данные как Facebook — плохо:)