Что нужно знать о GDPR вам и вашему боссу

 

  • 3793

Рассказываем о правах и обязанностях людей и компаний, а также об отличии GDPR от «пакета Яровой».

Раньше продавцы хранили данные о клиентах разве что на векселе, отпуская товар в рассрочку. Теперь компании знают, где мы живем, с кем общаемся, какие товары хотим купить и сколько денег готовы потратить. Полной приватности нет, но знать, какие данные бизнес собирает о клиентах, и распоряжаться ими — важное право самих клиентов. И теперь для граждан ЕС оно регулируется законодательно, затрагивая весь мир.

Общий регламент по защите данных (GDPR) дает больше прав потребителям и больше ответственности бизнесу. Из-за этого предприниматели могут подумать, что Регламент — выдумка европейских бюрократов и «пакет Яровой» — от ЕС, но это не так. Статья будет полезна тем, кто хочет разобраться в новых правилах, чтобы пользоваться своими правами и соответствовать Регламенту.

Откуда взялся GDPR и на кого распространяется

До сих пор в Европе правила обработки персональных данных регулировались рамочной директивой от 1995 года. Она не учитывала все актуальные виды собираемых данных и варианты их использования бизнесом. Поэтому с 25 мая 2018 года начали действовать обновленные правила обработки персональных данных.

GDPR — экстерриториальный документ. Он прописывает права резидентов ЕС, но не ограничивается его территорией. Соблюдать Регламент должны компании всего мира, ориентированные на международный рынок, в числе клиентов которых есть (или могут быть) граждане ЕС. Ориентация на международный рынок — это не амбиции учредителя, а технические возможности для сделки.

Вы — телеком-провайдер, облачное решение, онлайн-сервис, разработчик игр, сервис покупки билетов или бронирования жилья, гостиница и пр.? Собираете данные клиентов? У вас есть возможность предоставлять услуги гражданам ЕС и лицам, находящимся на его территории? Сайт посещают из стран ЕС? Работайте по GDPR, независимо от того, взимаете ли вы плату за услуги.

Интернет-магазин, использующий данные только для того, чтобы выполнить свои обязательства, по GDPR, не обязан запрашивать согласие покупателей на обработку. Но для рекламной рассылки оно понадобится.

Соответствовать или нет требованиям GDPR могут и компания, и ее продукты, если они работают с данными пользователей.

Что считается персональными данными

Согласно документу, это информация, по которой можно прямо или косвенно идентифицировать человека: имя, данные о местоположении, сетевой идентификатор. К ней же относятся показатели, характерные для физиологической, генетической, умственной, экономической, культурной или социальной идентичности конкретного лица, — например, размер обуви, сведения о доходе, место работы. Собирать эти данные можно, но только по правилам GDPR.

Как собирать данные

Ключевая мысль: пользователь должен осознанно и активно дать согласие для каждого процесса обработки данных. Универсальные варианты вроде «Я даю согласие на сбор и обработку моих данных» или «Принимаю условия регистрации» теперь не годятся.

Согласие по умолчанию, прописанное в спрятанных документах, тоже. Для каждого сценария сбора и обработки свое поле с галочкой. По умолчанию оно пустое и не обязательно для заполнения: отказать в регистрации тому, кто не хочет получать спам, нельзя.

Например, вы храните email и номер телефона. Адрес будете использовать для рассылки, а на мобильный слать эсэмэски для восстановления пароля и важные системные сообщения. Сколько полей в стиле «Я даю согласие на…» должно быть на вашем сайте? Пять: электронная почта, телефон, email-рассылка, SMS-уведомления с паролями и системные сообщения.

Какие права есть у пользователя

1. Отказаться от какого-либо сценария использования данных. Допустим, пользователь указывает номер телефона, проходя верификацию, но не хочет получать SMS-уведомления об акциях. У него должна быть возможность отказаться.

2. В любой момент узнать, какие данные он уже сообщил вам, и изменить их. Это должно быть так же просто, как и сообщить данные. Кстати, каждый человек может узнать о том, что интернет-гиганты знают о нем.

 

  • История перемещений. Если у вас Android-смартфон, то он может отслеживать ваше местоположение и сохранять информацию, в том числе для персонализированной рекламы. Эту опцию можно отключить.
  • Ваши данные на Facebook. Скачайте архив с фотографиями, списком друзей и даже сообщениями, написанными за все время пользования соцсетью. В настройках, в разделе «Общие», выберите «Скачать копию ваших данных на Facebook».
  • Ваш рекламный портрет на Facebook. Если вы пользуетесь Facebook, то можете узнать и изменить факторы, на основе которых сеть показывает вам рекламу. Например, здесь можно отказаться от сообщений, которые вы видите на основе онлайн- и офлайн-действий на сайтах — партнерах Facebook. Или приказать не учитывать семейное положение и место работы при таргетировании объявлений.

 

3. Отозвать данные. То есть отменить разрешение на использование данных в рассылках, уведомлениях и т. п. должно быть так же легко, как и в случае, когда пользователь поставил галочку в поле «согласен», он должен иметь возможность ее убрать. Если вы делаете бэкап, он не должен коснуться запроса пользователя о его данных, то есть можно отменить его.

4. Удалить данные. Право на забвение не всегда реализуется «физическим» удалением. Часто оно ограничивается практикой soft delete — исключением данных из обработки (поиск, отображение, одобрение входа). Компания может совсем удалить данные, но GDPR не обязывает делать это.

Если вы передаете данные пользователей другим компаниям или получаете их от партнеров, обязательно сообщите им о пожелании пользователя отозвать или удалить данные.

Несколько лет назад я пользовался услугами обычной службы такси. Удивился, когда оператор после очередного звонка назвала мое имя и адрес. В следующий раз я спросил, почему они сохраняют и используют мои данные без моего согласия. Ответ удивил: «Приезжайте в наш офис и пишите отказ». Но так ведь я и согласия на это не давал! Объяснил ситуацию директору — вроде «забыли». А тут и «Убер» подоспел.

5. Требовать человеческого участия. И не становиться предметом автоматического решения алгоритма. Если по серьезному вопросу сервис собрал ваши данные, обработал и выдал результат сам, без проверки человека, вы можете отказаться и оспорить его, если он вас не устраивает. Последнее слово пока должно оставаться за человеком. Это касается, например, выдачи кредита или визы.

6. Перенести данные. GDPR позволяет вам запросить перенос данных в другую компанию, если вы меняете провайдера услуг. Ваш старый оператор вправе отказаться (и в этом случае обязан удалить вашу информацию из своей базы).

Какие обязанности появились у бизнеса

Чтобы понимать их, сформируйте правильный взгляд на GDPR. Регламент — не лобби властей или технических компаний. Поэтому вам, скорее всего, не нужно закупать дорогие серверы, нанимать отдел IT-секьюрити и цифровых архивариусов.

А сделать стоит вот что

1. Проведите аудит данных. Проанализируйте, что и как вы собираете, как храните и используете. Собирайте только те данные, которые непосредственно нужны для целей бизнеса.

2. Получите согласие клиентов. А для этого настройте правильные формы: один случай сбора или использования — одна галочка. Речь идет не только о новых пользователях, но и о старых. Отправьте письма с уведомлениями, встречайте клиентов на сайте соответствующим всплывающим окном.

Получите согласие на использование сайтом cookies («файлов памяти» с информацией о персональных настройках посетителей).

  • Ваш ресурс работает с cookies, если:
  • он на одной из готовых CMS-платформ (WordPress, Joomla, Drupal и пр.);
  • это интернет-магазин с корзиной;
  • вы собираете данные о посетителях с помощью Google Analytics, «Яндекс. Метрики» и т. п.;
  • на сайте установлены блоки Google AdSense и/или AdWords;
  • есть кнопки, позволяющие лайкнуть и расшарить статью в соцсетях.

 

Пользователей должно встречать всплывающее окно с сообщением о том, что сайт использует cookies. Сделать его просто с плагинами Cookie Notice by dFactory, Cookie Law Info и другими, работающими с вашей CMS. В окне укажите, зачем собираете cookies (например, «чтобы показывать релевантный контент») и разместите кнопку OK. Согласиться с условиями — единственный способ закрыть окно.

3. Объясняйте, какие данные собираете и что будете с ними делать. Сделайте это на отдельной видимой странице с «Политикой конфиденциальности». На ней же сошлитесь на политику конфиденциальности всех сторонних сервисов (платежных систем, почтовых служб и пр.), которые использует сайт, не ограничиваясь Google и «Яндекс». Не работайте с провайдерами, нарушающими GDPR.

Такая страница нужна (не только по GDPR, но и по Федеральному закону «О персональных данных») всем операторам данных. Это люди, компании и госорганы, которые собирают, хранят и обрабатывают данные пользователей, в том числе ИМ с формами регистрации, заказа, комментариев.

Ссылайтесь на страницу с «Политикой конфиденциальности» из всплывающего окна о сборе cookies.

(Что писать в «Политике конфиденциальности»)

4. Создайте вкладку в личном кабинете пользователя, на которой он сможет увидеть и попросить изменить данные, которые вы собрали. Здесь же может быть форма запроса на отзыв и удаление данных.

5. Установите на сайт SSL-сертификат. Обратитесь в техподдержку хостинг-провайдера или к администратору сайта.

6. Храните данные на защищенных — виртуально и физически — серверах. Персонал компании должен знать и соблюдать требования GDPR.

7. Предложите актуализировать данные старым пользователям. Это можно сделать серией стандартных писем, например: «Вы не обновляли данные 5 лет. ХХХХХХХ — это ваш номер?»

8. Настройте экспорт/импорт данных к/от других компаний. Это можно подавать как особый уровень клиентоориентированности и преимущество для новых пользователей.

9. Позаботьтесь о том, чтобы GDPR соблюдали все партнеры, с которыми вы делитесь данными клиентов.

10. Документируйте работу с данными. Вы должны иметь возможность документально доказать соответствие Регламенту. Для этого нужны:

  • «Политика конфиденциальности»;
  • реестры персональных данных;
  • учетные записи обработки персональных данных;
  • внутренние правила работы с персональными данными.

11. Проверьте, отвечает ли требованиям GDPR ПО, которое обрабатывает данные пользователей. Для этого оно должно соответствовать условиям privacy by design и privacy by default.

Privacy by design подразумевает, что ПО разрабатывается с соблюдением приватности, а в работе обеспечивает криптографическую защиту и обезличивание пользователей.

Согласно privacy by default, при установке софта пользователю по умолчанию должны предлагаться максимальные настройки безопасности.

Этим же условиям должно отвечать написанное в вашей компании ПО, если вы производитель софта. Оно также должно получать согласие пользователей на сбор и обработку данных.

Не паникуйте, если работаете с заказчиками из Европы, используете их данные для рекламы, а ваш сайт не GDPR-френдли. Сделайте то, что перечислено в этой главе. Если нарушение не привело к серьезным последствиям, вы (максимум) получите предупреждение.

Отдельный специалист по безопасности данных вам, скорее всего, не нужен. Регламент говорит, что Data Protection Officer (DPO) должен быть в штате:

  • а) органов публичной власти;
  • б) компаний, проводящих масштабную обработку персональных данных.

Под масштабностью понимается «существенный объем личных данных, собранный на региональном, национальном и международном уровне, обработка которого может привести к риску для большого количества людей».

Зачем следить за исполнением GDPR, не проще ли заплатить штраф? Нет, не проще. За серьезное нарушение Регламента предусмотрен штраф в размере 20 млн евро или 4% от годового оборота, что окажется больше. Серьезным проступком можно считать, например, грубое систематическое нарушение правил сбора и обработки информации. Или крупную утечку данных пользователей. О ней нужно сообщить контролирующему органу в течение 72 часов. Вот список таких органов по 28 странам ЕС (пока с Великобританией).

В GDPR есть лазейка. Требования Регламента можно игнорировать, если соответствие им окажет существенное финансовое влияние на ваш бизнес. По заявлению с подтвержденными фактами регулятор — General Data Protection Board — может предоставить отсрочку или освободить от соблюдения регламента. Прецедентов пока не было.

Есть особая категория данных, которые можно собирать только по распоряжению государства или если пользователь заполнил необязательные поля с этой информацией, дав согласие на ее хранение и обработку. Это информация:

  • — о расовой, этнической принадлежности;
  • — о генетических и биометрических данных (в том числе фотографии);
  • — о состоянии здоровья;
  • — о религиозных верованиях;
  • — о сексуальной ориентации и сексуальной жизни;
  • — о политических взглядах;
  • — о членстве в профсоюзе.

«Пакет Яровой» — это не GDPR по-русски

Это принципиально разные законы. «Закон Яровой» — это два законопроекта антитеррористической направленности. Работа с персональными данными — лишь часть пакета.

По нему операторы связи, интернет-компании и сервисы с 1 июля 2018 года обязаны хранить записи звонков, SMS-уведомления и онлайн-сообщения абонентов от 1 до 6 месяцев. И предоставлять по запросу спецслужб ФИО, адрес, паспортные данные, список родственников, содержание сообщений в текстовом, видео- или аудиоформате.

Сторонники «пакета Яровой» в его поддержку ссылаются на Data Retention Directive, которая обязывала европейские телекоммуникационные компании хранить данные о пользователях. Но Европейский суд справедливости ЕС отменил директиву как нарушающую право на частную жизнь и повышающую риск злоупотребления и незаконного использования данных.

Объединяясь, GDPR и «пакет Яровой» создают фундаментальные противоречия для европейских операторов связи и интернет-провайдеров, работающих на территории России, а также для аналогичных российских компаний, оказывающих услуги гражданам ЕС. По GDPR, их личные данные (и тем более содержание сообщений!) нельзя хранить вне территории ЕС. По «закону Яровой», хранить можно и нужно именно в России сроком до полугода.

Какие вопросы вызывает «закон Яровой» с точки зрения персональных данных? Во-первых, предоставление всех данных по первому запросу спецслужб, а не по решению суда может привести к злоупотреблению властью. Во-вторых, расходы на хранение провайдерами данных отразятся на кошельках клиентов этих провайдеров, то есть на вас. Приготовьтесь платить за интернет на 8–10% больше, ведь операторы увеличивают расходы на «железо».

Вероятно, вырастут цены и на мобильную связь, почтовые услуги, товары в интернет-магазинах. Одной только «Почте России» понадобится 500 млрд рублей на оборудование и еще 100 млрд ежегодно на его обслуживание и зарплаты профильным спецам. Стоимость услуг связи может вырасти в три раза, ведь с июля операторы будут хранить 59 млн Тбайт, посчитала куратор рабочей группы «Связь и информационные технологии» Ирина Левова.

Но, как всегда, есть и те, кто хорошо заработают на этом и, возможно, расчистят рынок. «Само хранение данных — лишь верхушка айсберга, — цитируют „Ведомости“ представителя одного из операторов связи. — Гораздо больше вопросов вызывает подготовка к хранению, которая предполагает доступ хранителя к биллингу и другим внутренним IT-системам компаний связи, то есть фактически централизованное управление всеми российскими сетями одним лицом. А это прямая угроза конкуренции».

Вот почему у вас вряд ли получится проверить или удалить свои данные из базы российского провайдера интернета или связи. Но другие крупные сервисные компании и интернет-магазины должны предоставить такую возможность. Пользуйтесь ею!

 

Текст: Александр Литвин, Иллюстрации: Константин Амелин, Фото: Photo by  Sanwal Deen on  Unsplash

Слушайте статью в iTunes

Для Android: попробуйте такой вариант и обязательно напишите, как вам.