25 мая 2018 года на территории Европейского Союза вступили в силу новые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г), в широких кругах более известные как GDPR (General Data Protection Regulation). Особую значимость этой новости добавляют размеры штрафов (от 10 млн. евро до 4% годового оборота компании) и экстерриториальность действия новых правил. Иными словами, указанные выше штрафы могут применяться к любым компаниям в любой стране мира. Давайте попробуем разобраться, что же такое этот GDPR и как случайно не получить штраф, равный бюджету среднего Российского города.
Основными признаками того, что ваш сайт подпадает под действия GDPR являются:
Если ваш сайт продает товары или оказывает услуги гражданам ЕС на постоянной основе, то вы точно подпадаете под действия GDPR. Определить такую фокусировку можно по нескольким признакам:
Сайту очень легко попасть под это условие. Достаточно запросить у посетителя, открывшего ваш сайт в Европе, информацию о его геопозиции, как вы станете обладателем опасных персональных данных. Другой пример – функция трекинга в мобильном приложении, запущенном на территории ЕС, делает разработчика такого мобильного приложения контролером персональных данных с юрисдикцией GDPR.
Безусловно, если такие события единичны и речь не идет об обработке таких данных в больших масштабах, то и особого внимания со стороны регулятора ждать точно не стоит. Но лучше заранее задать себе вопрос – оно вам надо?
Любое взаимодействие с Европейскими партнерами отныне требует особого внимания. Какие данные они передают вам, какие данные вы передаете им, с какой целью и что с этими данными будет дальше? С 25 мая 2018 года это уже вопрос в том числе и вашей безопасности.
Особое внимание в GDPR уделено процессу «безопасной по отношению к данным» разработки. Любой более-менее серьезный проект, работающий с данными, еще на этапе проектирования должен четко определять и документировать все процессы получения, хранения, обработки и удаления персональных данных. В GDPR этому вопросу уделено особое внимание и даже подобрано подходящее определение – «Privacy by design», означающий что любой проект на этапе разработки должен в основу ставить сохранность персональных данных своих будущих пользователей.
Как видим, круг потенциальных «клиентов» GDPR может быть достаточно широк. И даже если сегодня ваш сайт не входит в эти критерии, то как знать, что будет завтра? Если вы хотите, чтобы ваш интернет-проект работал и развивался долгие годы, то вам нужно понять и принять те принципы работы с персональными данными, которые по сути становятся международной нормой. Тем более, что ничего сложного в них нет, они разумны и в большинстве своем логичны.
В основе GDPR лежит принцип «Privacy by default» - минимизация объема обрабатываемых персональных данных и сроков их обработки. GDPR требует, чтобы организации обрабатывали минимально необходимые объемы данных в минимально возможные сроки. При этом регулятор имеет право проводить собственную оценку и объемов обрабатываемых данных и сроков их обработки и на основании этой оценки принимать решение о нарушении требований законодательства.
Логично, что для того, чтобы понять, соответствуете ли вы этому принципу, вам нужно провести полную ревизию процессов сбора, обработки, хранения и уничтожения персональных данных, каждый раз задавая себе вопрос – а мне точно нужные эти данные? Без них я не смогу вести бизнес? Для оформления заказа мне точно нужна дата рождения клиента? При этом особое внимание необходимо уделить так называемым «специальным категориям» данных:
Клиент всегда прав
Открытость и понятность процессов обработки персональных данных для их владельца – основной принцип GDPR. Ваш клиент имеет полное право знать, как вы храните и защищаете его данные, что с ними будете делать и как уничтожите. Он имеет право «на забвение» - по его требованию вы должны удалить все хранимые у вас персональные данные или передать их в полном объеме новому оператору – той компании, которую выберет ваш клиент.
Получение согласия вашего клиента на обработку персональных данных должно быть отдельным от остальных процессов. При этом вы должны разъяснить ему все аспекты такого согласия, а также предложить варианты работы с ним в случае его отказа – что потеряет клиент, если не сообщит вам место своего рождения? А если он не скажет, где живет, то вы не сможете оформить ему доставку до дома и ему нужно будет забрать заказ в пункте выдачи.
Ну и самое главное – если ваша компания все-таки целенаправленно работает с данными ЕС, то вас ждет действительно не простое приключение в виде подготовки документации, оценки риска, назначения офицера по безопасности данных и поиска компании-контролера, расположенной на территории ЕС. Начните этот непростой путь заранее, хотя бы с ознакомления с самим текстом GDPR.
Наша компания специализируется на разработке сервисов on-line платежей по ФЗ-54 для интернет-проектов. Процесс оплаты, если его построить неправильно, вполне может стать рискованным с точки зрения GDPR – от клиента можно случайно получить те данные, которые потом станут для вас головной болью. Поэтому мы предоставляем открытый API, который позволяет вам сделать процесс регистрации покупки и печати фискальных документов полностью управляемым и контролируемым. Именно таким, каким его хочет видеть GDPR.