Пошукова оптимізація

GDPR і 152-ФЗ – подібності та відмінності захисту персональних даних

Буквально нещодавно власники сайтів розібралися з пунктами 152-ФЗ «ПРО персональних даних», а тут вже новий регламент наспів.

25 травня 2018 розпочав свою дію General Data Protection Regulation (регламент GDPR) – більш суворий, з величезними штрафами – 20 млн євро або 4% від річного доходу компанії, причому вибирається більша із сум.

Мета закону цілком зрозуміла – посилений захист інтересів звичайних людей і право на конфіденційність. Цьому посприяли почастішали випадки крадіжок баз даних, їх незаконне використання. В тому числі зовсім недавній витік даних в Facebook.

Але от сам документ залишає багато запитань, формулювання розмиті і трактуються неоднозначно, а допускати помилки категорично забороняється. Суми лякають, тому до інформаційної безпеки радимо підійти уважно і серйозно. Закон є закон, і незнання або його неправильне розуміння не звільнить вас від відповідальності. Давайте розбиратися, які заходи потрібно вжити і чи потрібно взагалі.

Аверс і реверс: регламент GDPR і 152-ФЗ

152-ФЗ спрямований на користувачів з РФ. Але якщо серед ваших клієнтів є особи (хоча б одне), які є резидентами ЄС – ви автоматично потрапляєте і під дію захисту даних GDPR. Єдина проблема – обчислити таких користувачів іноді неможливо, а документ не дає чітких інструкцій про те, як розпізнати іноземних клієнтів.

Поки відомо, що контролюючі органи будуть дивитися на наступні критерії: мова, валюта, цільова аудиторія.

  • Якщо на вашому сайті є розділ, в якому розраховується, наприклад, доставка до країн ЄС, значить, ви потрапляєте під дію регламенту.
  • Якщо у вашому портфоліо є кейси про роботу з європейськими клієнтами, значить, ви під дією регламенту.
  • Якщо в розділі Контакти вказано, що ви працюєте з усім світом, то регламент зобов’язані дотримуватися.
  • Якщо ви крутите рекламну кампанію з геонастройками по країнах ЄС, то… ви зрозуміли.

Загалом, будь-маркери, які сигналізують про те, що ви працюєте/плануєте працювати з клієнтами з ЄС, що ви збираєте і обробляєте їх персональні дані, підводять вас за дію регламенту GDPR.

Якщо ви впевнено можете заявити, що працюєте тільки з громадянами РФ, то статтю можна закривати, а вам на допомогу:

  1. Готові тарифи з підготовки сайту до 152-ФЗ
  2. Стаття «Все про 152-ФЗ для сайтів: кому, навіщо і для чого»

Якщо ж серед ваших клієнтів є громадяни РФ і резиденти ЄС, і ви збираєте їх дані (це важливо), то вся наступна інформація для вас.

Детально розберемо, що таке GDPR і як не накликати штрафи.

Вичавка основних моментів з регламенту і наші рекомендації:

Щоб відповідати європейському регламенту, проробіть наступні моменти:

  1. Політика конфіденційності

    Розробіть і розмістіть на сайті окремим документом Політику конфіденційності. Повний список того, що туди включити, в оригіналі тут. Якщо ж коротко і по-російськи =), то рекомендуємо розписати наступні пункти:

    • Пояснення, хто такий «контролер», «процесор» і «суб’єкт»* персональних даних. У кого які відповідальності, обов’язку і права.

      * Це нові терміни. «Суб’єкт» – той, чиї дані обробляються (наприклад, ваші потенційні клієнти), «процесор» – той, хто збирає і обробляє дані (наприклад, який-небудь сервіс лідогенераціі на сайті або сам власник сайту), «контролер» – той, хто вирішує, які дані збирати і як використовувати (наприклад, власник сайту, якому потрібні ліди і дані користувачів). У 152-ФЗ ми оперуємо термінами «оператор ПД» і «суб’єкт ПД» і термін «оператор ПД» включає в себе функції контролера, і процесора.

    • Хто ви/ваша організація є (контролер або процесор, а може і те, і інше в одному обличчі). Ваші контактні дані, включаючи юридична адреса, ім’я та посада відповідального за ПТ особи* (якщо є представник в ЄС, то його ім’я і контакти).

      * Відповідальна особа обов’язково повинна бути призначена, якщо ви обробляєте «чутливі» дані, такі як релігійні погляди, сексуальну орієнтацію, дані особистого життя. У його обов’язки входитиме контроль і забезпечення безпеки даних, взаємодія з суб’єктами у разі відкликання даних і т. д. Якщо ж ви просто здійснюєте комерційну діяльність на території ЄС, то немає потреби вводити таку посаду. Ви можете просто призначити одного з діючих співробітників відповідальним за контроль і управління даними, вказати його контакти для прийому претензій або питань.

    • Яка персональна інформація збирається вами.

    • Навіщо вона збирається, як ви збираєтеся її використовувати.

    • Користувач може скасувати, змінити, надсилати свої персональні дані.

    • Куди звертатися, якщо у вас є претензії – в якій DPA*

      * У кожній країні ЄС тепер засновані Data Protect Authorities (DPA). Це організації, які стежать за дотриманням GDPR на території ЄС. Кожен користувач може звернутися туди зі скаргою, і в цьому випадку DPA зобов’язані перевірити – чи виконуються правила GDPR у вашій компанії. Самі DPA підпорядковуються Європейської Комісії.

    • Скільки часу зберігаються дані.

    • Як ви забезпечуєте безпеку зберігання, обробки і передачі даних.

    • Яким компаніям (субпроцессорам)* ви можете передавати дані і з якими цілями.

      * Якщо ви змушені передавати ПД третім особам (наприклад, службі доставки), то повинні вказати в політиці, хто ці особи і навіщо ви повідомляєте їм дані. Крім того, ви повинні переконатися, що ці субпроцессоры дотримуються GDPR (як мінімум перевірити в них наявність політики конфіденційності). В ідеалі вам варто укласти угоду з суброцессорами про нерозголошення і захист переданих вами ПД.

    • Зазначене обмеження за віком 16+ (якщо ж ваш сайт спрямований безпосередньо на дітей і містить дитячий контент, то необхідно додатково брати згоду батьків на обробку ПД, якщо ці дані раптом збираються).

    • Вказана інформація про роботу кукі-файлів (як збираються, навіщо, як відключити).

    Сама політика повинна бути розписана зрозумілою мовою, без двозначних трактувань і обов’язково (!!!) на мові клієнта. Виходить, якщо потенційні клієнти сайту жителі Німеччини – інформацію представляємо німецькою мовою. Працюєте з італійцями – пишіть на італійському. Якщо у вас багатомовний сайт, то логічно, що політика конфіденційності повинна бути переведена на кожен з мов.

    Подивіться, як реалізована Політика приватності для громадян ЄС на «Букінгу» (вона відповідає і GDPR, і 152-ФЗ):

  2. Форми для збору ПД

    • Обсяг даних і кількість полів у формах

      Прямих вказівок «скільки вішати в грамах» немає, але діє обмеження: не можна збирати дані, які не вимагаються для ваших цілей. Тобто поля «Місце проживання» або «Адреса» не можна включати до форм збору даних на сайті для покупки онлайн-продукту. Вмикайте тільки необхідний мінімум! До речі, для юзабіліті це теж корисно.

      Зверніть увагу, що при бронюванні авіаквитків в нашому прикладі немає зайвих полів ПД.

    • Згоду на обробку ПД

      На відміну від 152-ФЗ, тут однозначно прописано, що жодних погоджень за замовчуванням бути не може (заздалегідь проставлених галочок у чекбоксах бути не повинно).

      Тільки активна дія користувача (наприклад, проставити галочку перед відправкою даних). Тобто користувач повинен сам здійснити дію щодо прийняття цього згоди.

      Ми зробили це так:

    • Автоматична підписка на розсилку

      Всі дані збираються і використовуються тільки в зазначених у політиці цілях. Припустимо, якщо ви збираєте дані для виконання замовлення, то застосовувати їх для рекламних розсилок без попередження та попередження заборонено. В ідеалі (щоб не докопалися) для розсилок повинен бути окремий чекбокс і окрему згоду. Автоматично ніхто нікого не підписує:

      Однак допускається, що ви можете зробити запит на інше використання даних. Візьмемо все той же приклад – ви збирали дані для оформлення замовлення, у вас накопичилася велика база, ви хочете зробити розсилку, але не можете, оскільки немає згоди, а без згоди тепер можна нарватися на штраф. У цьому випадку ви можете зробити одну розсилку, в якій:

      • вкажете, де і за яких обставин ви отримали адресу;
      • опишіть, що хотіли б використовувати адресу в нових цілях (наприклад, e-mail-розсилка);
      • попросіть згоду користувача на таке використання.

      Якщо користувач своєю дією підтвердить згоду, то можна включити його в базу. Тут важливо у цій першій (і можливо єдиною) розсилці показати всі переваги вашої пропозиції, щоб отримати максимальну кількість погоджень.

  3. Управління даними

    За новими правилами GDPR необхідно надати користувачеві можливість управління своїми даними: дивитися, редагувати і видаляти. А також вивантажувати їх у форматах XML, JSON, CSV, чого раніше не було.

    В ідеалі сайт повинен мати особистий кабінет з функціями управління ПД.

    Також повинна бути можливість отримати свої ПД або передати їх іншому оператору. Причому при переході користувача, наприклад, до конкурентів, відправити дані повинні ви. Це робиться для зручності ваших клієнтів, щоб їм кілька разів не вбивати одну і ту ж інформацію.

    Як цей пункт буде реалізовуватися на практиці, поки незрозуміло. Але великі компанії, що працюють в ЄС, вже включили в свої політики пункт про передачу даних третім особам. Наприклад, ось так зробив «Букінг»:

    Пункт про передачу: В певних випадках, за вашим проханням, ми можемо переслати ваші персональні дані, які ви передали нам, третій особі.

    Нам здається, що в першу чергу це нововведення торкнеться медичних об’єктів. Так, наприклад, при зміні клініки, користувач може попросити передати всі дані про своїх попередніх обстеженнях в нову установу. І, по суті, це правильно і зручно.

  4. Зберігання та захист персональних даних

    • Терміни зберігання

      Тепер в політиці конфіденційності обов’язково прописувати терміни зберігання ПД. Ви повинні їх дотримуватися. Персональні дані не повинні зберігатися довше зазначеного терміну та не повинні бути знищені/видалені раніше, ніж це зафіксовано в політиці (тільки якщо користувач сам не попросить вас про це).

      Виняток – дослідження в інтересах суспільства: наука, архіви, соціальна статистика, історія. Зберігати їх можна в знеособленої формі або ж із забезпеченням посилених заходів захисту.

      А ще Google підстрахував себе у зв’язку з GDPR: буде видаляти будь-які дані старше 26 місяців. Щоб зберегти статдані в Google Analytics, налаштуйте параметри в розділі «Зберігання даних» на потрібний період: 14, 26, 38, 50 місяців або «Без терміну дії». Якщо цього не зробите, то через 26 місяців всі ваші накопичені статдані зникнуть. Якщо не можете розібратися, як це зробити, пишіть в коментарях – накидаем інструкцію.

    • Захист даних

      152-ФЗ вимагає достатніх заходів по захисту ПД користувачів від несанкціонованого або незаконної обробки, знищення та пошкодження. Тобто всі дані повинні бути надійно зашифровані, доступ до них повинен бути тільки у тих, які мають на це право посадових осіб.

      Як будуть перевіряти цю саму «надійність»? Поки що теж під питанням.

      З нововведень в цьому пункті те, що при витоку інформації ви зобов’язані повідомити про це в поліцію і безпосередньо користувачам, чиї дані «витекли», протягом 72 годин. Як ви це зробите – ваші проблеми.

  5. Кукі-файли

    • Дисклеймер

      Потрібно сповіщати користувачів при першому відвідуванні сайту, що ви використовуєте cookie-файли. Можна поставити статичне повідомлення, а можна налаштувати спливаюче вікно (дисклеймер). Воно повинно містити посилання на пункт в політиці конфіденційності про збір та обробку файлів cookie, включати активну дію за згодою збору цієї інформації.

      Ось так, наприклад, інформує про куках одна з бельгійських пластичних клінік:

      Текст дисклеймері: Клініка Велнес використовує кукі-файли, щоб поліпшити ваше взаємодія з сайтом. Докладніше.

    • Політика використання файлів cookie

      У нас склалося враження, що інформацію про те, як ви використовуєте кукі-файли, можна внести в загальну політику конфіденційності (див. п. 1 цієї статті).

      Але багато європейські компанії виносять cooky policy на окрему сторінку. Можливо, так зручніше для користувачів.

      Політика використання файлів cookie повинна включати:

      • зрозуміле, доступне для звичайних користувачів пояснення, що таке куки;
      • інформацію про те, як саме ви використовуєте куки, для яких цілей;
      • інформацію про те, як заборонити збір ПД допомогою куки (можна дати посилання на загальнодоступні інструкції, наприклад aboutcookies.org).

      Приклад: інформація про cookie-файлах на сайті booking.com:

  6. Документування процесів

    Щоб уникнути запитань і безболісно пройти перевірку (якщо раптом трапиться), рекомендуємо забезпечити документальне підтвердження того, що ви дотримуєтеся регламент GDPR. Для цього в компанії повинні бути наступні документи:

    • На сайті: політика дотримання вимог GDPR (що в неї включати, ми перерахували вище).
    • Внутрішні правила і процедури роботи з персональними даними (підписані всіма співробітниками, що мають доступ до ПД).
    • Реєстри персональних даних.
    • Облікові записи обробки персональних даних.
    • Наказ про призначення єдиного відповідальної особи, яка буде стежити за дотриманням регламенту і вашої політики конфіденційності.

    Це були основні значущі моменти, що відрізняють 152-ФЗ (який ви, сподіваюся, вже забезпечили) від його європейського аналога GDPR.

    Щоб було зручно скласти документи з інформаційної безпеки на своєму сайті, скористайтеся нашою підсумковою таблицею. Тут можна наочно побачити подібності та відмінності 152-ФЗ і регламенту GDPR; зрозуміти, в якому документі які пункти обов’язкові і як забезпечити виконання обох регламентів:

  152-ФЗ GDPR
Обробляються дані громадян РФ ЄС
Штрафи за недотримання 75 000 руб. 20 млн. євро
Текст Політики конфіденційності на сайті (які дані, як використовуються, зберігаються, хто відповідає і т. д.) Російською мовою На мові потенційних клієнтів з ЄС
Технічні заходи щодо захисту Шифрування даних Шифрування даних, криптошифрование
Контролюючий орган Роскомнагляд

Необхідно зареєструватися як оператор ПД

Європейська комісія
і Data Protection Authorities
Можливість керування даними Коригування, видалення Коригування, видалення, вивантаження та передача третім особам за запитом
Інформація про збір cookie-файлів – повідомлення і політика на сайті

Наявність повідомлення рекомендовано
+
Політика на сайті

Наявність повідомлення, обов’язково
+
Політика на сайті

Згода на обробку персональних даних на сайті при зборі даних Можливо згоду за замовчуванням, головне, попередити і дати посилання на політику Лише активною дією (клієнт повинен сам проставити галочку)
Згоду на відправку повідомлень Можливо згоду за замовчуванням, якщо прописано в політиці Лише активною дією (клієнт повинен сам проставити галочку)
Відповідальна особа для роботи з ПД + +
Представник на території ЄС бажаний
Вказівка на вікове обмеження-16+ +
Допомога фахівців 1PS в реалізації

Тарифи від 2800 руб.

Детальніше

Індивідуальний розрахунок

Запитати

Будьте уважні при складанні документів і підготовці сайту. Не забувайте стежити за оновленнями в законодавстві. Пишіть свої запитання в коментарях, а якщо будуть труднощі – звертайтеся, убезпечимо вас від штрафів за 152-ФЗ як мінімум. Дотримання ж регламенту GDPR вимагає більш глибокого опрацювання і глобальних змін внутрішніх процесів компанії, тому тарифів під нього не розробили – все дуже індивідуально. Але якщо у вас є така потреба, велком, подивимося, що можна зробити.

Related Articles

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Close