GDPR и 152-ФЗ – сходства и различия защиты персональных данных

Буквально недавно владельцы сайтов разобрались с пунктами 152-ФЗ «О персональных данных», а тут уже новый регламент подоспел.

25 мая 2018 начал свое действие General Data Protection Regulation (регламент GDPR) – более строгий, с огромнейшими штрафами – 20 млн евро или 4% от годового дохода компании, причем выбирается большая из сумм.

Цель закона вполне понятна – усиленная защита интересов обычных людей и право на конфиденциальность. Этому поспособствовали участившиеся случаи краж баз данных, их незаконное использование. В том числе совсем недавняя утечка данных в Facebook.

Но вот сам документ оставляет много вопросов, формулировки размытые и трактуются неоднозначно, а допускать ошибки категорически запрещается. Суммы пугающие, поэтому к информационной безопасности советуем подойти внимательно и серьезно. Закон есть закон, и незнание или его неверное понимание не освободит вас от ответственности. Давайте разбираться, какие меры необходимо предпринять и необходимо ли вообще.

Аверс и реверс: регламент GDPR и 152-ФЗ

152-ФЗ направлен на пользователей из РФ. Но если среди ваших клиентов есть лица (хотя бы одно), являющиеся резидентами ЕС – вы автоматически попадаете и под действие защиты данных GDPR. Единственная проблема – вычислить таких пользователей иногда невозможно, а документ не дает четких инструкций о том, как распознать иностранных клиентов.

Пока известно, что контролирующие органы будут смотреть на следующие критерии: язык, валюта, целевая аудитория.

  • Если на вашем сайте есть раздел, в котором рассчитывается, например, доставка до стран ЕС, значит, вы попадаете под действие регламента.
  • Если в вашем портфолио есть кейсы о работе с европейскими клиентами, значит, вы под действием регламента.
  • Если в разделе Контакты указано, что вы работаете со всем миром, то регламент соблюдать обязаны.
  • Если вы крутите рекламную кампанию с геонастройками по странам ЕС, то... вы поняли.

В общем, любые маркеры, сигнализирующие о том, что вы работаете/планируете работать с клиентами из ЕС, что вы собираете и обрабатываете их персональные данные, подводят вас по действие регламента GDPR.

Если вы уверенно можете заявить, что работаете только с гражданами РФ, то статью можно закрывать, а вам в помощь:

  1. Готовые тарифы по подготовке сайта к 152-ФЗ
  2. Статья «Все о 152-ФЗ для сайтов: кому, зачем и для чего»

Если же среди ваших клиентов есть граждане РФ и резиденты ЕС, и вы собираете их данные (это важно), то вся последующая информация для вас.

Подробно разберем, что такое GDPR и как не навлечь штрафы.

Выжимка основных моментов из регламента и наши рекомендации:

Чтобы соответствовать европейскому регламенту, проработайте следующие моменты:

  1. Политика конфиденциальности

    Разработайте и разместите на сайте отдельным документом Политику конфиденциальности. Полный список того, что туда включить, в оригинале здесь. Если же коротко и по-русски =), то рекомендуем расписать следующие пункты:

    • Объяснение, кто такой «контролер», «процессор» и «субъект»* персональных данных. У кого какие ответственности, обязанности и права.

      * Это новые термины. «Субъект» – тот, чьи данные обрабатываются (например, ваши потенциальные клиенты), «процессор» – тот, кто собирает и обрабатывает данные (например, какой-нибудь сервис лидогенерации на сайте или сам владелец сайта), «контролер» – тот, кто решает, какие данные собирать и как использовать (например, владелец сайта, которому нужны лиды и данные пользователей). В 152-ФЗ мы оперируем терминами «оператор ПД» и «субъект ПД» и термин «оператор ПД» включает в себя функции и контролера, и процессора.

    • Кто вы/ваша организация есть (контролер или процессор, а может и то, и другое в одном лице). Ваши контактные данные, включая юридический адрес, имя и должность ответственного за ПД лица* (если есть представитель в ЕС, то его имя и контакты).

      * Ответственное лицо обязательно должно быть назначено, если вы обрабатываете «чувствительные» данные, такие как религиозные убеждения, сексуальную ориентацию, данные личной жизни. В его обязанности будет входить контроль и обеспечение безопасности данных, взаимодействие с субъектами в случае отзыва данных и т.д. Если же вы просто осуществляете коммерческую деятельность на территории ЕС, то нет потребности вводить такую должность. Вы можете просто назначить одного из действующих сотрудников ответственным за контроль и управление данными, указать его контакты для приема претензий или вопросов.

    • Какая персональная информация собирается вами.

    • Зачем она собирается, как вы намерены её использовать.

    • Как пользователь может отозвать, изменить, переслать свои персональные данные.

    • Куда обращаться, если у пользователя есть претензии – в какой DPA*

      * В каждой стране ЕС теперь учреждены Data Protect Authorities (DPA). Это организации, которые следят за соблюдением GDPR на территории ЕС. Каждый пользователь может обратиться туда с жалобой, и в этом случае DPA обязаны проверить – исполняются ли правила GDPR в вашей компании. Сами DPA подчиняются Европейской Комиссии.

    • Сколько времени хранятся данные.

    • Как вы обеспечиваете безопасность хранения, обработки и передачи данных.

    • Каким компаниям (субпроцессорам)* вы можете передавать данные и с какими целями.

      * Если вы вынуждены передавать ПД третьим лицам (например, службе доставки), то должны указать в политике, кто эти лица и зачем вы сообщаете им данные. Кроме того, вы должны убедиться, что эти субпроцессоры соблюдают GDPR (как минимум проверить у них наличие политики конфиденциальности). В идеале вам стоит заключить соглашение с суброцессорами о неразглашении и защите передаваемых вами ПД.

    • Указано ограничение по возрасту 16+ (если же ваш сайт направлен непосредственно на детей и содержит детский контент, то необходимо дополнительно брать согласие родителей на обработку ПД, если эти данные вдруг собираются).

    • Указана информация о работе куки-файлов (как собираются, зачем, как отключить).

    Сама политика должна быть расписана понятным языком, без двусмысленных трактовок и обязательно (!!!) на языке клиента. Получается, если потенциальные клиенты сайта жители Германии – информацию представляем на немецком языке. Работаете с итальянцами – пишите на итальянском. Если у вас мультиязычный сайт, то логично, что политика конфиденциальности должна быть переведена на каждый из языков.

    Посмотрите, как реализована Политика приватности для граждан ЕС на «Букинге» (она отвечает и GDPR, и 152-ФЗ):

    как реализована Политика приватности для граждан ЕС, по регламенту GDPR

  2. Формы для сбора ПД

    • Объем данных и количество полей в формах

      Прямых указаний «сколько вешать в граммах» нет, но действует ограничение: нельзя собирать данные, не требующиеся для ваших целей. То есть поля «Место жительства» или «Адрес» нельзя включать в формы сбора данных на сайте для покупки онлайн-продукта. Включайте только необходимый минимум! Кстати, для юзабилити это тоже полезно.

      Обратите внимание, что при бронировании авиабилетов в нашем примере нет лишних полей ПД.

      поля персональных данных на сайте Синдбад

    • Согласие на обработку ПД

      В отличие от 152-ФЗ, тут однозначно прописано, что никаких согласий по умолчанию быть не может (заранее проставленных галочек в чекбоксах быть не должно).

      Только активное действие пользователя (например, проставить галочку перед отправкой данных). То есть пользователь должен сам совершить действие по принятию этого согласия.

      Мы сделали это так:

      как реализованы чекбоксы на обработку ПД на сайте

    • Автоматическая подписка на рассылку

      Все данные собираются и используются только в указанных в политике целях. Допустим, если вы собираете данные для выполнения заказа, то применять их для рекламных рассылок без уведомления и предупреждения запрещено. В идеале (чтоб не докопались) для рассылок должен быть отдельный чекбокс и отдельное согласие. Автоматически никто никого не подписывает:

      как реализованы чекбоксы на сайте Синдбад

      Однако допускается, что вы можете сделать запрос на другое использование данных. Возьмем все тот же пример – вы собирали данные для оформления заказа, у вас накопилась большая база, вы хотите сделать рассылку, но не можете, т.к. нет согласия, а без согласия можно теперь нарваться на штраф. В этом случае вы можете сделать одну рассылку, в которой:

      • укажете, где и при каких обстоятельствах вы получили адрес;
      • опишите, что хотели бы использовать адрес в новых целях (например, email-рассылка);
      • попросите согласие пользователя на такое использование.

      Если пользователь своим действием подтвердит согласие, то можно включить его в базу. Тут важно в этой первой (и возможно единственной) рассылке показать все выгоды вашего предложения, чтобы получить максимальное число согласий.

  3. Управление данными

    По новым правилам GDPR необходимо предоставить пользователю возможность управления своими данными: смотреть, редактировать и удалять. А также выгружать их в форматах XML, JSON, CSV, чего ранее не было.

    В идеале сайт должен иметь личный кабинет с функциями управления ПД.

    Также должна быть возможность получить свои ПД или передать их другому оператору. Причем при переходе пользователя, например, к конкурентам, отправить данные должны вы. Это делается для удобства ваших клиентов, чтобы им несколько раз не вбивать одну и ту же информацию.

    Как этот пункт будет реализовываться на практике, пока непонятно. Но крупные компании, работающие в ЕС, уже включили в свои политики пункт о передаче данных третьим лицам. Например, вот так сделал «Букинг»:

    Как в тексте Политики booking.com описывается управление личными данными

    Пункт о передаче: В определенных случаях, по вашей просьбе, мы можем переслать ваши персональные данные, которые вы передали нам, третьему лицу.

    Нам кажется, что в первую очередь данное нововведение коснется медицинских объектов. Так, например, при смене клиники, пользователь может попросить передать все данные о своих предыдущих обследованиях в новое учреждение. И, по сути, это правильно и удобно.

  4. Хранение и защита персональных данных

    • Сроки хранения

      Теперь в политике конфиденциальности обязательно прописывать сроки хранения ПД. Вы должны их строго придерживаться. Персональные данные не должны храниться дольше указанного срока и не должны быть уничтожены/удалены раньше, чем это зафиксировано в политике (только если пользователь сам не попросит вас об этом).

      Исключение – исследования в интересах общества: наука, архивы, социальная статистика, история. Хранить их можно в обезличенной форме или же с обеспечением усиленных мер защиты.

      А еще Google подстраховал себя в связи с GDPR: будет удалять любые данные старше 26 месяцев. Чтобы сохранить статданные в Google Analytics, скорректируйте настройки в разделе «Хранение данных» на нужный период: 14, 26, 38, 50 месяцев или «Без срока действия». Если этого не сделаете, то через 26 месяцев все ваши накопленные статданные исчезнут. Если не можете разобраться, как это сделать, пишите в комментариях – накидаем инструкцию.

    • Защита данных

      152-ФЗ так же требует достаточных мер по защите ПД пользователей от несанкционированной или незаконной обработки, уничтожения и повреждения. То есть все данные должны быть надежно зашифрованы, доступ к ним должен быть только у имеющих на это право должностных лиц.

      Как будут проверять эту самую «надежность»? Пока тоже под вопросом.

      Из нововведений в этом пункте то, что при утечке информации вы обязаны сообщить об этом в полицию и непосредственно пользователям, чьи данные «утекли», в течение 72 часов. Как вы это сделаете – ваши проблемы.

  5. Куки-файлы

    • Дисклеймер

      Требуется оповещать пользователей при первом посещении сайта, что вы используете куки-файлы. Можно поставить статичное уведомление, а можно настроить всплывающее окно (дисклеймер). Оно должно содержать ссылку на пункт в политике конфиденциальности о сборе и обработке куки-файлов, включать активное действие по согласию сбора этой информации.

      Вот так, например, информирует о куках одна из бельгийских пластических клиник:

      Дисклеймер о куки-файлах бельгийской клиники

      Текст в дисклеймере: Клиника Велнесс использует куки-файлы, чтобы улучшить ваше взаимодействие с сайтом. Подробнее.

    • Политика использования куки-файлов

      У нас сложилось впечатление, что информацию о том, как вы используете куки-файлы, можно внести в общую политику конфиденциальности (см. п.1 этой статьи).

      Но многие европейские компании выносят cooky policy на отдельную страницу. Возможно, так удобнее для юзеров.

      Политика использования куки-файлов должна включать:

      • внятное, доступное для обычных пользователей объяснение, что такое куки;
      • информацию о том, как именно вы используете куки, для каких целей;
      • информацию о том, как запретить сбор ПД посредством куки (можно дать ссылку на общедоступные инструкции, например aboutcookies.org).

      Пример: информация о куки-файлах на сайте booking.com:

      Информация о куки-файлах на сайте booking.com

  6. Документирование процессов

    Чтобы избежать вопросов и безболезненно пройти проверку (если вдруг случится), рекомендуем обеспечить документальное подтверждение того, что вы соблюдаете регламент GDPR. Для этого в компании должны быть следующие документы:

    • На сайте: политика соблюдения требований GDPR (что в нее включать, мы перечислили выше).
    • Внутренние правила и процедуры работы с персональными данными (подписанные всеми сотрудниками, имеющими доступ к ПД).
    • Реестры персональных данных.
    • Учетные записи обработки персональных данных.
    • Приказ о назначении единого ответственного лица, который будет следить за исполнением регламента и вашей политики конфиденциальности.

    Это были основные значимые моменты, отличающие 152-ФЗ (который вы, надеюсь, уже обеспечили) от его европейского аналога GDPR.

    Чтобы было удобно составить документы по информационной безопасности на своем сайте, воспользуйтесь нашей итоговой таблицей. Здесь можно наглядно увидеть сходства и различия 152-ФЗ и регламента GDPR; понять, в каком документе какие пункты обязательны и как обеспечить исполнение обоих регламентов:

  152-ФЗ GDPR
Обрабатываются данные граждан РФ ЕС
Штрафы за несоблюдение 75 000 руб. 20 млн. евро
Текст Политики конфиденциальности на сайте (какие данные, как используются, как хранятся, кто отвечает и т.д.) На русском языке На языке потенциальных клиентов из ЕС
Технические меры по защите Шифрование данных Шифрование данных, криптошифрование
Контролирующий орган Роскомнадзор

Необходимо зарегистрироваться как оператор ПД

Европейская комиссия 
и Data Protection Authorities
Возможность управления данными Корректировка, удаление Корректировка, удаление, выгрузка и передача третьим лицам по запросу
Информация о сборе куки-файлов – уведомление и политика на сайте

Наличие уведомления рекомендовано
+
Политика на сайте

Наличие уведомления обязательно
+
Политика на сайте

Согласие на обработку персональных данных на сайте при сборе данных Возможно согласие по умолчанию, главное, предупредить и дать ссылку на политику Только активным действием (клиент должен сам проставить галочку)
Согласие на отправку сообщений Возможно согласие по умолчанию, если прописано в политике Только активным действием (клиент должен сам проставить галочку)
Ответственное лицо для работы с ПД + +
Представитель на территории ЕС желателен
Указание на возрастное ограничение 16+ - +
Помощь специалистов 1PS в реализации

Тарифы от 2800 руб.

Подробнее

Индивидуальный расчет

Запросить

Будьте внимательны при составлении документов и подготовке сайта. Не забывайте следить за обновлениями в законодательстве. Пишите свои вопросы в комментариях, а если будут сложности – обращайтесь, обезопасим вас от штрафов по 152-ФЗ как минимум. Соблюдение же регламента GDPR требует более глубокой проработки и глобальных изменений внутренних процессов компании, поэтому тарифов под него не разработали – все очень индивидуально. Но если у вас есть такая потребность, велком, посмотрим, что можно сделать.

© 1PS.RU, при полном или частичном копировании материала ссылка на первоисточник обязательна.

Понравилась статья?

Пошаговое руководство по самостоятельному продвижению сайта

  • Все обязательные этапы продвижения
  • Инструкции, как делать самому
  • Ориентировочные цены специалистов
Получить мануал

Популярные статьи

Все популярные статьи »

Комментарии (0)

Правила комментирования блога

Оставить коммент к статье

Читайте свежие статьи первыми

Дайджест новых статей по интернет-маркетингу 1 раз в неделю

Летим с нами в ТОП

Подписывайтесь на рассылку и получайте практические советы по продвижению сайта

Ваш email

Нажимая на кнопку «Подписаться», вы соглашаетесь на обработку персональных данных

Я уже с вами
Скидка 500 рублей
Увы и ах
Что-то пошло не так
Книга по SMM
Бесплатный вебинар
Не повезло =(
Скидка 30% на SERM
Видимо, не сегодня
Эх, мимо
Аудит сайта бесплатно
План продвижения
В любви повезет

Колесо фортуны –
крутите и выигрывайте подарки!

Введите свой email и нажмите на кнопку

Email

Поздравляем!

Активировать выигрыш
Закрыть и не показывать больше