Не так страшен GDPR....


GDPR близко.jpg25 мая 2018 года на территории Европейского Союза вступили в силу новые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г), в широких кругах более известные как GDPR (General Data Protection Regulation). Особую значимость этой новости добавляют размеры штрафов (от 10 млн. евро до 4% годового оборота компании) и экстерриториальность действия новых правил. Иными словами, указанные выше штрафы могут применяться к любым компаниям в любой стране мира. Давайте попробуем разобраться, что же такое этот GDPR и как случайно не получить штраф, равный бюджету среднего Российского города.
Основными признаками того, что ваш сайт подпадает под действия GDPR являются:


Ориентация на работу с гражданами ЕС

GDPR ready.jpgЕсли ваш сайт продает товары или оказывает услуги гражданам ЕС на постоянной основе, то вы точно подпадаете под действия GDPR. Определить такую фокусировку можно по нескольким признакам:

  1. Сайт переведен на языки стран-членов ЕС, за исключением английского, который считается международным языком
  2. Вы принимаете оплату в валюте стран-членов ЕС.
  3. Ваша маркетинговая активность ориентирована на ЕС
Если при выполнении любого условия из этого списка вы собираете или обрабатываете персональные данные своих клиентов, то обязаны выполнять требования GDPR. Важно понимать, что любая система мониторинга поведения посетителей сайта, например, Яндекс.Метрика, собирает и обрабатывает такие данные, которые регулятором могут быть восприняты как персональные.


Сбор и обработка информации, полученной на территории ЕС


Сайту очень легко попасть под это условие. Достаточно запросить у посетителя, открывшего ваш сайт в Европе, информацию о его геопозиции, как вы станете обладателем опасных персональных данных. Другой пример – функция трекинга в мобильном приложении, запущенном на территории ЕС, делает разработчика такого мобильного приложения контролером персональных данных с юрисдикцией GDPR.
Безусловно, если такие события единичны и речь не идет об обработке таких данных в больших масштабах, то и особого внимания со стороны регулятора ждать точно не стоит. Но лучше заранее задать себе вопрос – оно вам надо?


Сбор и обработки информации по поручению компании из ЕС


Любое взаимодействие с Европейскими партнерами отныне требует особого внимания. Какие данные они передают вам, какие данные вы передаете им, с какой целью и что с этими данными будет дальше? С 25 мая 2018 года это уже вопрос в том числе и вашей безопасности.


Разработка сайтов, мобильных приложений или программ для работы в ЕС

Особое внимание в GDPR уделено процессу «безопасной по отношению к данным» разработки. Любой более-менее серьезный проект, работающий с данными, еще на этапе проектирования должен четко определять и документировать все процессы получения, хранения, обработки и удаления персональных данных. В GDPR этому вопросу уделено особое внимание и даже подобрано подходящее определение – «Privacy by design», означающий что любой проект на этапе разработки должен в основу ставить сохранность персональных данных своих будущих пользователей.

 



Как видим, круг потенциальных «клиентов» GDPR может быть достаточно широк. И даже если сегодня ваш сайт не входит в эти критерии, то как знать, что будет завтра? Если вы хотите, чтобы ваш интернет-проект работал и развивался долгие годы, то вам нужно понять и принять те принципы работы с персональными данными, которые по сути становятся международной нормой. Тем более, что ничего сложного в них нет, они разумны и в большинстве своем логичны.

Меньше знаешь, лучше спишь

Четыре шага подготовки к GDPR.JPGВ основе GDPR лежит принцип «Privacy by default» - минимизация объема обрабатываемых персональных данных и сроков их обработки. GDPR требует, чтобы организации обрабатывали минимально необходимые объемы данных в минимально возможные сроки. При этом регулятор имеет право проводить собственную оценку и объемов обрабатываемых данных и сроков их обработки и на основании этой оценки принимать решение о нарушении требований законодательства.
Логично, что для того, чтобы понять, соответствуете ли вы этому принципу, вам нужно провести полную ревизию процессов сбора, обработки, хранения и уничтожения персональных данных, каждый раз задавая себе вопрос – а мне точно нужные эти данные? Без них я не смогу вести бизнес? Для оформления заказа мне точно нужна дата рождения клиента? При этом особое внимание необходимо уделить так называемым «специальным категориям» данных: 


  1. Обработка данных органов власти.
  2. Регулярное систематическое наблюдения за пользователем (мониторинг через IoT, видеонаблюдение, трекинг, профилирование и т.д.)
  3. Медицинские данные, сексуальная ориентация, политические взгляды, социальная активность, биометрия.
  4. Данные о правонарушениях
В нашем законодательстве существует аналогичная классификация, поэтому будьте особенно внимательны с такими данными.


Клиент всегда прав


Обработка информации GDPR.jpgОткрытость и понятность процессов обработки персональных данных для их владельца – основной принцип GDPR. Ваш клиент имеет полное право знать, как вы храните и защищаете его данные, что с ними будете делать и как уничтожите. Он имеет право «на забвение» - по его требованию вы должны удалить все хранимые у вас персональные данные или передать их в полном объеме новому оператору – той компании, которую выберет ваш клиент.
Получение согласия вашего клиента на обработку персональных данных должно быть отдельным от остальных процессов. При этом вы должны разъяснить ему все аспекты такого согласия, а также предложить варианты работы с ним в случае его отказа – что потеряет клиент, если не сообщит вам место своего рождения? А если он не скажет, где живет, то вы не сможете оформить ему доставку до дома и ему нужно будет забрать заказ в пункте выдачи.

Ну и самое главное – если ваша компания все-таки целенаправленно работает с данными ЕС, то вас ждет действительно не простое приключение в виде подготовки документации, оценки риска, назначения офицера по безопасности данных и поиска компании-контролера, расположенной на территории ЕС. Начните этот непростой путь заранее, хотя бы с ознакомления с самим текстом GDPR.



Наша компания специализируется на разработке сервисов on-line платежей по ФЗ-54 для интернет-проектов. Процесс оплаты, если его построить неправильно, вполне может стать рискованным с точки зрения GDPR – от клиента можно случайно получить те данные, которые потом станут для вас головной болью. Поэтому мы предоставляем открытый API, который позволяет вам сделать процесс регистрации покупки и печати фискальных документов полностью управляемым и контролируемым. Именно таким, каким его хочет видеть GDPR.



Вконтакте

Возврат к списку


 
Текст сообщения*
Загрузить файл или картинкуПеретащить с помощью Drag'n'drop
Перетащите файлы
Ничего не найдено
Отправить Отменить
 

Возврат к списку