GDPR и 152-ФЗ – сходства и различия защиты персональных данных 

Буквально недавно владельцы сайтов разобрались с пунктами 152-ФЗ «О персональных данных», а тут уже новый регламент подоспел.

25 мая 2018 начал свое действие General Data Protection Regulation (регламент GDPR) – более строгий, с огромнейшими штрафами – 20 млн евро или 4% от годового дохода компании, причем выбирается большая из сумм.

Цель закона вполне понятна – усиленная защита интересов обычных людей и право на конфиденциальность. Этому поспособствовали участившиеся случаи краж баз данных, их незаконное использование. В том числе совсем недавняя утечка данных в Facebook.

Но вот сам документ оставляет много вопросов, формулировки размытые и трактуются неоднозначно, а допускать ошибки категорически запрещается. Суммы пугающие, поэтому к информационной безопасности советуем подойти внимательно и серьезно. Закон есть закон, и незнание или его неверное понимание не освободит вас от ответственности. Давайте разбираться, какие меры необходимо предпринять и необходимо ли вообще.

Аверс и реверс: регламент GDPR и 152-ФЗ

152-ФЗ направлен на пользователей из РФ. Но если среди ваших клиентов есть лица (хотя бы одно), являющиеся резидентами ЕС – вы автоматически попадаете и под действие защиты данных GDPR. Единственная проблема – вычислить таких пользователей иногда невозможно, а документ не дает четких инструкций о том, как распознать иностранных клиентов.

Пока известно, что контролирующие органы будут смотреть на следующие критерии: язык, валюта, целевая аудитория.

• Если на вашем сайте есть раздел, в котором рассчитывается, например, доставка до стран ЕС, значит, вы попадаете под действие регламента.
• Если в вашем портфолио есть кейсы о работе с европейскими клиентами, значит, вы под действием регламента.
• Если в разделе Контакты указано, что вы работаете со всем миром, то регламент соблюдать обязаны.
• Если вы крутите рекламную кампанию с геонастройками по странам ЕС, то... вы поняли.

В общем, любые маркеры, сигнализирующие о том, что вы работаете/планируете работать с клиентами из ЕС, что вы собираете и обрабатываете их персональные данные, подводят вас по действие регламента GDPR.

Если вы уверенно можете заявить, что работаете только с гражданами РФ, то статью можно закрывать, а вам в помощь:

1. Готовые тарифы по подготовке сайта к 152-ФЗ
2. Статья «Все о 152-ФЗ для сайтов: кому, зачем и для чего»

Если же среди ваших клиентов есть граждане РФ и резиденты ЕС, и вы собираете их данные (это важно), то вся последующая информация для вас.

Подробно разберем, что такое GDPR и как не навлечь штрафы.

Выжимка основных моментов из регламента и наши рекомендации:

Чтобы соответствовать европейскому регламенту, проработайте следующие моменты:

1. Политика конфиденциальности

   Разработайте и разместите на сайте отдельным документом Политику конфиденциальности. Полный список того, что туда включить, в оригинале здесь. Если же коротко и по-русски =), то рекомендуем расписать следующие пункты:

   • Объяснение, кто такой «контролер», «процессор» и «субъект»* персональных данных. У кого какие ответственности, обязанности и права.

     * Это новые термины. «Субъект» – тот, чьи данные обрабатываются (например, ваши потенциальные клиенты), «процессор» – тот, кто собирает и обрабатывает данные (например, какой-нибудь сервис лидогенерации на сайте или сам владелец сайта), «контролер» – тот, кто решает, какие данные собирать и как использовать (например, владелец сайта, которому нужны лиды и данные пользователей). В 152-ФЗ мы оперируем терминами «оператор ПД» и «субъект ПД» и термин «оператор ПД» включает в себя функции и контролера, и процессора.

   • Кто вы/ваша организация есть (контролер или процессор, а может и то, и другое в одном лице). Ваши контактные данные, включая юридический адрес, имя и должность ответственного за ПД лица* (если есть представитель в ЕС, то его имя и контакты).

     * Ответственное лицо обязательно должно быть назначено, если вы обрабатываете «чувствительные» данные, такие как религиозные убеждения, сексуальную ориентацию, данные личной жизни. В его обязанности будет входить контроль и обеспечение безопасности данных, взаимодействие с субъектами в случае отзыва данных и т.д. Если же вы просто осуществляете коммерческую деятельность на территории ЕС, то нет потребности вводить такую должность. Вы можете просто назначить одного из действующих сотрудников ответственным за контроль и управление данными, указать его контакты для приема претензий или вопросов.

   • Какая персональная информация собирается вами.

   • Зачем она собирается, как вы намерены её использовать.

   • Как пользователь может отозвать, изменить, переслать свои персональные данные.

   • Куда обращаться, если у пользователя есть претензии – в какой DPA*

     * В каждой стране ЕС теперь учреждены Data Protect Authorities (DPA). Это организации, которые следят за соблюдением GDPR на территории ЕС. Каждый пользователь может обратиться туда с жалобой, и в этом случае DPA обязаны проверить – исполняются ли правила GDPR в вашей компании. Сами DPA подчиняются Европейской Комиссии.

   • Сколько времени хранятся данные.

   • Как вы обеспечиваете безопасность хранения, обработки и передачи данных.

   • Каким компаниям (субпроцессорам)* вы можете передавать данные и с какими целями.

     * Если вы вынуждены передавать ПД третьим лицам (например, службе доставки), то должны указать в политике, кто эти лица и зачем вы сообщаете им данные. Кроме того, вы должны убедиться, что эти субпроцессоры соблюдают GDPR (как минимум проверить у них наличие политики конфиденциальности). В идеале вам стоит заключить соглашение с суброцессорами о неразглашении и защите передаваемых вами ПД.

   • Указано ограничение по возрасту 16+ (если же ваш сайт направлен непосредственно на детей и содержит детский контент, то необходимо дополнительно брать согласие родителей на обработку ПД, если эти данные вдруг собираются).

   • Указана информация о работе куки-файлов (как собираются, зачем, как отключить).

   Сама политика должна быть расписана понятным языком, без двусмысленных трактовок и обязательно (!!!) на языке клиента. Получается, если потенциальные клиенты сайта жители Германии – информацию представляем на немецком языке. Работаете с итальянцами – пишите на итальянском. Если у вас мультиязычный сайт, то логично, что политика конфиденциальности должна быть переведена на каждый из языков.

   Посмотрите, как реализована Политика приватности для граждан ЕС на «Букинге» (она отвечает и GDPR, и 152-ФЗ):

   

2. Формы для сбора ПД

   • Объем данных и количество полей в формах

     Прямых указаний «сколько вешать в граммах» нет, но действует ограничение: нельзя собирать данные, не требующиеся для ваших целей. То есть поля «Место жительства» или «Адрес» нельзя включать в формы сбора данных на сайте для покупки онлайн-продукта. Включайте только необходимый минимум! Кстати, для юзабилити это тоже полезно.

     Обратите внимание, что при бронировании авиабилетов в нашем примере нет лишних полей ПД.

     

   • Согласие на обработку ПД

     В отличие от 152-ФЗ, тут однозначно прописано, что никаких согласий по умолчанию быть не может (заранее проставленных галочек в чекбоксах быть не должно).

     Только активное действие пользователя (например, проставить галочку перед отправкой данных). То есть пользователь должен сам совершить действие по принятию этого согласия.

     Мы сделали это так:

     

   • Автоматическая подписка на рассылку

     Все данные собираются и используются только в указанных в политике целях. Допустим, если вы собираете данные для выполнения заказа, то применять их для рекламных рассылок без уведомления и предупреждения запрещено. В идеале (чтоб не докопались) для рассылок должен быть отдельный чекбокс и отдельное согласие. Автоматически никто никого не подписывает:

     

     Однако допускается, что вы можете сделать запрос на другое использование данных. Возьмем все тот же пример – вы собирали данные для оформления заказа, у вас накопилась большая база, вы хотите сделать рассылку, но не можете, т.к. нет согласия, а без согласия можно теперь нарваться на штраф. В этом случае вы можете сделать одну рассылку, в которой:

     • укажете, где и при каких обстоятельствах вы получили адрес;
     • опишите, что хотели бы использовать адрес в новых целях (например, email-рассылка);
     • попросите согласие пользователя на такое использование.

     Если пользователь своим действием подтвердит согласие, то можно включить его в базу. Тут важно в этой первой (и возможно единственной) рассылке показать все выгоды вашего предложения, чтобы получить максимальное число согласий.

3. Управление данными

   По новым правилам GDPR необходимо предоставить пользователю возможность управления своими данными: смотреть, редактировать и удалять. А также выгружать их в форматах XML, JSON, CSV, чего ранее не было.

   В идеале сайт должен иметь личный кабинет с функциями управления ПД.

   Также должна быть возможность получить свои ПД или передать их другому оператору. Причем при переходе пользователя, например, к конкурентам, отправить данные должны вы. Это делается для удобства ваших клиентов, чтобы им несколько раз не вбивать одну и ту же информацию.

   Как этот пункт будет реализовываться на практике, пока непонятно. Но крупные компании, работающие в ЕС, уже включили в свои политики пункт о передаче данных третьим лицам. Например, вот так сделал «Букинг»:

   

   Пункт о передаче: В определенных случаях, по вашей просьбе, мы можем переслать ваши персональные данные, которые вы передали нам, третьему лицу.

   Нам кажется, что в первую очередь данное нововведение коснется медицинских объектов. Так, например, при смене клиники, пользователь может попросить передать все данные о своих предыдущих обследованиях в новое учреждение. И, по сути, это правильно и удобно.

4. Хранение и защита персональных данных

   • Сроки хранения

     Теперь в политике конфиденциальности обязательно прописывать сроки хранения ПД. Вы должны их строго придерживаться. Персональные данные не должны храниться дольше указанного срока и не должны быть уничтожены/удалены раньше, чем это зафиксировано в политике (только если пользователь сам не попросит вас об этом).

     Исключение – исследования в интересах общества: наука, архивы, социальная статистика, история. Хранить их можно в обезличенной форме или же с обеспечением усиленных мер защиты.

     А еще Google подстраховал себя в связи с GDPR: будет удалять любые данные старше 26 месяцев. Чтобы сохранить статданные в Google Analytics, скорректируйте настройки в разделе «Хранение данных» на нужный период: 14, 26, 38, 50 месяцев или «Без срока действия». Если этого не сделаете, то через 26 месяцев все ваши накопленные статданные исчезнут. Если не можете разобраться, как это сделать, пишите в комментариях – накидаем инструкцию.

   • Защита данных

     152-ФЗ так же требует достаточных мер по защите ПД пользователей от несанкционированной или незаконной обработки, уничтожения и повреждения. То есть все данные должны быть надежно зашифрованы, доступ к ним должен быть только у имеющих на это право должностных лиц.

     Как будут проверять эту самую «надежность»? Пока тоже под вопросом.

     Из нововведений в этом пункте то, что при утечке информации вы обязаны сообщить об этом в полицию и непосредственно пользователям, чьи данные «утекли», в течение 72 часов. Как вы это сделаете – ваши проблемы.

5. Куки-файлы

   • Дисклеймер

     Требуется оповещать пользователей при первом посещении сайта, что вы используете куки-файлы. Можно поставить статичное уведомление, а можно настроить всплывающее окно (дисклеймер). Оно должно содержать ссылку на пункт в политике конфиденциальности о сборе и обработке куки-файлов, включать активное действие по согласию сбора этой информации.

     Вот так, например, информирует о куках одна из бельгийских пластических клиник:

     

     Текст в дисклеймере: Клиника Велнесс использует куки-файлы, чтобы улучшить ваше взаимодействие с сайтом. Подробнее.

   • Политика использования куки-файлов

     У нас сложилось впечатление, что информацию о том, как вы используете куки-файлы, можно внести в общую политику конфиденциальности (см. п.1 этой статьи).

     Но многие европейские компании выносят cooky policy на отдельную страницу. Возможно, так удобнее для юзеров.

     Политика использования куки-файлов должна включать:

     • внятное, доступное для обычных пользователей объяснение, что такое куки;
     • информацию о том, как именно вы используете куки, для каких целей;
     • информацию о том, как запретить сбор ПД посредством куки (можно дать ссылку на общедоступные инструкции, например aboutcookies.org).

     Пример: информация о куки-файлах на сайте booking.com:

     

6. Документирование процессов

   Чтобы избежать вопросов и безболезненно пройти проверку (если вдруг случится), рекомендуем обеспечить документальное подтверждение того, что вы соблюдаете регламент GDPR. Для этого в компании должны быть следующие документы:

   • На сайте: политика соблюдения требований GDPR (что в нее включать, мы перечислили выше).
   • Внутренние правила и процедуры работы с персональными данными (подписанные всеми сотрудниками, имеющими доступ к ПД).
   • Реестры персональных данных.
   • Учетные записи обработки персональных данных.
   • Приказ о назначении единого ответственного лица, который будет следить за исполнением регламента и вашей политики конфиденциальности.

   Это были основные значимые моменты, отличающие 152-ФЗ (который вы, надеюсь, уже обеспечили) от его европейского аналога GDPR.

   Чтобы было удобно составить документы по информационной безопасности на своем сайте, воспользуйтесь нашей итоговой таблицей. Здесь можно наглядно увидеть сходства и различия 152-ФЗ и регламента GDPR; понять, в каком документе какие пункты обязательны и как обеспечить исполнение обоих регламентов:

Будьте внимательны при составлении документов и подготовке сайта. Не забывайте следить за обновлениями в законодательстве. Пишите свои вопросы в комментариях, а если будут сложности – обращайтесь, обезопасим вас от штрафов по 152-ФЗ как минимум. Соблюдение же регламента GDPR требует более глубокой проработки и глобальных изменений внутренних процессов компании, поэтому тарифов под него не разработали – все очень индивидуально. Но если у вас есть такая потребность, велком, посмотрим, что можно сделать.