Буквально недавно владельцы сайтов разобрались с пунктами 152-ФЗ «О персональных данных», а тут уже новый регламент подоспел.
25 мая 2018 начал свое действие General Data Protection Regulation (регламент GDPR) – более строгий, с огромнейшими штрафами – 20 млн евро или 4% от годового дохода компании, причем выбирается большая из сумм.
Цель закона вполне понятна – усиленная защита интересов обычных людей и право на конфиденциальность. Этому поспособствовали участившиеся случаи краж баз данных, их незаконное использование. В том числе совсем недавняя утечка данных в Facebook.
Но вот сам документ оставляет много вопросов, формулировки размытые и трактуются неоднозначно, а допускать ошибки категорически запрещается. Суммы пугающие, поэтому к информационной безопасности советуем подойти внимательно и серьезно. Закон есть закон, и незнание или его неверное понимание не освободит вас от ответственности. Давайте разбираться, какие меры необходимо предпринять и необходимо ли вообще.
Аверс и реверс: регламент GDPR и 152-ФЗ
152-ФЗ направлен на пользователей из РФ. Но если среди ваших клиентов есть лица (хотя бы одно), являющиеся резидентами ЕС – вы автоматически попадаете и под действие защиты данных GDPR. Единственная проблема – вычислить таких пользователей иногда невозможно, а документ не дает четких инструкций о том, как распознать иностранных клиентов.
Пока известно, что контролирующие органы будут смотреть на следующие критерии: язык, валюта, целевая аудитория.
- Если на вашем сайте есть раздел, в котором рассчитывается, например, доставка до стран ЕС, значит, вы попадаете под действие регламента.
- Если в вашем портфолио есть кейсы о работе с европейскими клиентами, значит, вы под действием регламента.
- Если в разделе Контакты указано, что вы работаете со всем миром, то регламент соблюдать обязаны.
- Если вы крутите рекламную кампанию с геонастройками по странам ЕС, то... вы поняли.
В общем, любые маркеры, сигнализирующие о том, что вы работаете/планируете работать с клиентами из ЕС, что вы собираете и обрабатываете их персональные данные, подводят вас по действие регламента GDPR.
Если вы уверенно можете заявить, что работаете только с гражданами РФ, то статью можно закрывать, а вам в помощь:
- Готовые тарифы по подготовке сайта к 152-ФЗ
- Статья «Все о 152-ФЗ для сайтов: кому, зачем и для чего»
Если же среди ваших клиентов есть граждане РФ и резиденты ЕС, и вы собираете их данные (это важно), то вся последующая информация для вас.
Подробно разберем, что такое GDPR и как не навлечь штрафы.
Выжимка основных моментов из регламента и наши рекомендации:
Чтобы соответствовать европейскому регламенту, проработайте следующие моменты:
-
Политика конфиденциальности
Разработайте и разместите на сайте отдельным документом Политику конфиденциальности. Полный список того, что туда включить, в оригинале здесь. Если же коротко и по-русски =), то рекомендуем расписать следующие пункты:
-
Объяснение, кто такой «контролер», «процессор» и «субъект»* персональных данных. У кого какие ответственности, обязанности и права.
* Это новые термины. «Субъект» – тот, чьи данные обрабатываются (например, ваши потенциальные клиенты), «процессор» – тот, кто собирает и обрабатывает данные (например, какой-нибудь сервис лидогенерации на сайте или сам владелец сайта), «контролер» – тот, кто решает, какие данные собирать и как использовать (например, владелец сайта, которому нужны лиды и данные пользователей). В 152-ФЗ мы оперируем терминами «оператор ПД» и «субъект ПД» и термин «оператор ПД» включает в себя функции и контролера, и процессора.
-
Кто вы/ваша организация есть (контролер или процессор, а может и то, и другое в одном лице). Ваши контактные данные, включая юридический адрес, имя и должность ответственного за ПД лица* (если есть представитель в ЕС, то его имя и контакты).
* Ответственное лицо обязательно должно быть назначено, если вы обрабатываете «чувствительные» данные, такие как религиозные убеждения, сексуальную ориентацию, данные личной жизни. В его обязанности будет входить контроль и обеспечение безопасности данных, взаимодействие с субъектами в случае отзыва данных и т.д. Если же вы просто осуществляете коммерческую деятельность на территории ЕС, то нет потребности вводить такую должность. Вы можете просто назначить одного из действующих сотрудников ответственным за контроль и управление данными, указать его контакты для приема претензий или вопросов.
-
Какая персональная информация собирается вами.
-
Зачем она собирается, как вы намерены её использовать.
-
Как пользователь может отозвать, изменить, переслать свои персональные данные.
-
Куда обращаться, если у пользователя есть претензии – в какой DPA*
* В каждой стране ЕС теперь учреждены Data Protect Authorities (DPA). Это организации, которые следят за соблюдением GDPR на территории ЕС. Каждый пользователь может обратиться туда с жалобой, и в этом случае DPA обязаны проверить – исполняются ли правила GDPR в вашей компании. Сами DPA подчиняются Европейской Комиссии.
-
Сколько времени хранятся данные.
-
Как вы обеспечиваете безопасность хранения, обработки и передачи данных.
-
Каким компаниям (субпроцессорам)* вы можете передавать данные и с какими целями.
* Если вы вынуждены передавать ПД третьим лицам (например, службе доставки), то должны указать в политике, кто эти лица и зачем вы сообщаете им данные. Кроме того, вы должны убедиться, что эти субпроцессоры соблюдают GDPR (как минимум проверить у них наличие политики конфиденциальности). В идеале вам стоит заключить соглашение с суброцессорами о неразглашении и защите передаваемых вами ПД.
-
Указано ограничение по возрасту 16+ (если же ваш сайт направлен непосредственно на детей и содержит детский контент, то необходимо дополнительно брать согласие родителей на обработку ПД, если эти данные вдруг собираются).
-
Указана информация о работе куки-файлов (как собираются, зачем, как отключить).
Сама политика должна быть расписана понятным языком, без двусмысленных трактовок и обязательно (!!!) на языке клиента. Получается, если потенциальные клиенты сайта жители Германии – информацию представляем на немецком языке. Работаете с итальянцами – пишите на итальянском. Если у вас мультиязычный сайт, то логично, что политика конфиденциальности должна быть переведена на каждый из языков.
Посмотрите, как реализована Политика приватности для граждан ЕС на «Букинге» (она отвечает и GDPR, и 152-ФЗ):
-
-
Формы для сбора ПД
-
Объем данных и количество полей в формах
Прямых указаний «сколько вешать в граммах» нет, но действует ограничение: нельзя собирать данные, не требующиеся для ваших целей. То есть поля «Место жительства» или «Адрес» нельзя включать в формы сбора данных на сайте для покупки онлайн-продукта. Включайте только необходимый минимум! Кстати, для юзабилити это тоже полезно.
Обратите внимание, что при бронировании авиабилетов в нашем примере нет лишних полей ПД.
-
Согласие на обработку ПД
В отличие от 152-ФЗ, тут однозначно прописано, что никаких согласий по умолчанию быть не может (заранее проставленных галочек в чекбоксах быть не должно).
Только активное действие пользователя (например, проставить галочку перед отправкой данных). То есть пользователь должен сам совершить действие по принятию этого согласия.
Мы сделали это так:
-
Автоматическая подписка на рассылку
Все данные собираются и используются только в указанных в политике целях. Допустим, если вы собираете данные для выполнения заказа, то применять их для рекламных рассылок без уведомления и предупреждения запрещено. В идеале (чтоб не докопались) для рассылок должен быть отдельный чекбокс и отдельное согласие. Автоматически никто никого не подписывает:
Однако допускается, что вы можете сделать запрос на другое использование данных. Возьмем все тот же пример – вы собирали данные для оформления заказа, у вас накопилась большая база, вы хотите сделать рассылку, но не можете, т.к. нет согласия, а без согласия можно теперь нарваться на штраф. В этом случае вы можете сделать одну рассылку, в которой:
- укажете, где и при каких обстоятельствах вы получили адрес;
- опишите, что хотели бы использовать адрес в новых целях (например, email-рассылка);
- попросите согласие пользователя на такое использование.
Если пользователь своим действием подтвердит согласие, то можно включить его в базу. Тут важно в этой первой (и возможно единственной) рассылке показать все выгоды вашего предложения, чтобы получить максимальное число согласий.
-
-
Управление данными
По новым правилам GDPR необходимо предоставить пользователю возможность управления своими данными: смотреть, редактировать и удалять. А также выгружать их в форматах XML, JSON, CSV, чего ранее не было.
В идеале сайт должен иметь личный кабинет с функциями управления ПД.
Также должна быть возможность получить свои ПД или передать их другому оператору. Причем при переходе пользователя, например, к конкурентам, отправить данные должны вы. Это делается для удобства ваших клиентов, чтобы им несколько раз не вбивать одну и ту же информацию.
Как этот пункт будет реализовываться на практике, пока непонятно. Но крупные компании, работающие в ЕС, уже включили в свои политики пункт о передаче данных третьим лицам. Например, вот так сделал «Букинг»:
Пункт о передаче: В определенных случаях, по вашей просьбе, мы можем переслать ваши персональные данные, которые вы передали нам, третьему лицу.
Нам кажется, что в первую очередь данное нововведение коснется медицинских объектов. Так, например, при смене клиники, пользователь может попросить передать все данные о своих предыдущих обследованиях в новое учреждение. И, по сути, это правильно и удобно.
-
Хранение и защита персональных данных
-
Сроки хранения
Теперь в политике конфиденциальности обязательно прописывать сроки хранения ПД. Вы должны их строго придерживаться. Персональные данные не должны храниться дольше указанного срока и не должны быть уничтожены/удалены раньше, чем это зафиксировано в политике (только если пользователь сам не попросит вас об этом).
Исключение – исследования в интересах общества: наука, архивы, социальная статистика, история. Хранить их можно в обезличенной форме или же с обеспечением усиленных мер защиты.
А еще Google подстраховал себя в связи с GDPR: будет удалять любые данные старше 26 месяцев. Чтобы сохранить статданные в Google Analytics, скорректируйте настройки в разделе «Хранение данных» на нужный период: 14, 26, 38, 50 месяцев или «Без срока действия». Если этого не сделаете, то через 26 месяцев все ваши накопленные статданные исчезнут. Если не можете разобраться, как это сделать, пишите в комментариях – накидаем инструкцию.
-
Защита данных
152-ФЗ так же требует достаточных мер по защите ПД пользователей от несанкционированной или незаконной обработки, уничтожения и повреждения. То есть все данные должны быть надежно зашифрованы, доступ к ним должен быть только у имеющих на это право должностных лиц.
Как будут проверять эту самую «надежность»? Пока тоже под вопросом.
Из нововведений в этом пункте то, что при утечке информации вы обязаны сообщить об этом в полицию и непосредственно пользователям, чьи данные «утекли», в течение 72 часов. Как вы это сделаете – ваши проблемы.
-
-
Куки-файлы
-
Дисклеймер
Требуется оповещать пользователей при первом посещении сайта, что вы используете куки-файлы. Можно поставить статичное уведомление, а можно настроить всплывающее окно (дисклеймер). Оно должно содержать ссылку на пункт в политике конфиденциальности о сборе и обработке куки-файлов, включать активное действие по согласию сбора этой информации.
Вот так, например, информирует о куках одна из бельгийских пластических клиник:
Текст в дисклеймере: Клиника Велнесс использует куки-файлы, чтобы улучшить ваше взаимодействие с сайтом. Подробнее.
-
Политика использования куки-файлов
У нас сложилось впечатление, что информацию о том, как вы используете куки-файлы, можно внести в общую политику конфиденциальности (см. п.1 этой статьи).
Но многие европейские компании выносят cooky policy на отдельную страницу. Возможно, так удобнее для юзеров.
Политика использования куки-файлов должна включать:
- внятное, доступное для обычных пользователей объяснение, что такое куки;
- информацию о том, как именно вы используете куки, для каких целей;
- информацию о том, как запретить сбор ПД посредством куки (можно дать ссылку на общедоступные инструкции, например aboutcookies.org).
Пример: информация о куки-файлах на сайте booking.com:
-
-
Документирование процессов
Чтобы избежать вопросов и безболезненно пройти проверку (если вдруг случится), рекомендуем обеспечить документальное подтверждение того, что вы соблюдаете регламент GDPR. Для этого в компании должны быть следующие документы:
- На сайте: политика соблюдения требований GDPR (что в нее включать, мы перечислили выше).
- Внутренние правила и процедуры работы с персональными данными (подписанные всеми сотрудниками, имеющими доступ к ПД).
- Реестры персональных данных.
- Учетные записи обработки персональных данных.
- Приказ о назначении единого ответственного лица, который будет следить за исполнением регламента и вашей политики конфиденциальности.
Это были основные значимые моменты, отличающие 152-ФЗ (который вы, надеюсь, уже обеспечили) от его европейского аналога GDPR.
Чтобы было удобно составить документы по информационной безопасности на своем сайте, воспользуйтесь нашей итоговой таблицей. Здесь можно наглядно увидеть сходства и различия 152-ФЗ и регламента GDPR; понять, в каком документе какие пункты обязательны и как обеспечить исполнение обоих регламентов:
152-ФЗ | GDPR | |
Обрабатываются данные граждан | РФ | ЕС |
Штрафы за несоблюдение | 75 000 руб. | 20 млн. евро |
Текст Политики конфиденциальности на сайте (какие данные, как используются, как хранятся, кто отвечает и т.д.) | На русском языке | На языке потенциальных клиентов из ЕС |
Технические меры по защите | Шифрование данных | Шифрование данных, криптошифрование |
Контролирующий орган | Роскомнадзор
Необходимо зарегистрироваться как оператор ПД |
Европейская комиссия и Data Protection Authorities |
Возможность управления данными | Корректировка, удаление | Корректировка, удаление, выгрузка и передача третьим лицам по запросу |
Информация о сборе куки-файлов – уведомление и политика на сайте |
Наличие уведомления рекомендовано |
Наличие уведомления обязательно |
Согласие на обработку персональных данных на сайте при сборе данных | Возможно согласие по умолчанию, главное, предупредить и дать ссылку на политику | Только активным действием (клиент должен сам проставить галочку) |
Согласие на отправку сообщений | Возможно согласие по умолчанию, если прописано в политике | Только активным действием (клиент должен сам проставить галочку) |
Ответственное лицо для работы с ПД | + | + Представитель на территории ЕС желателен |
Указание на возрастное ограничение 16+ | - | + |
Помощь специалистов 1PS в реализации |
Тарифы от 2800 руб. Подробнее |
Индивидуальный расчет Запросить |
Будьте внимательны при составлении документов и подготовке сайта. Не забывайте следить за обновлениями в законодательстве. Пишите свои вопросы в комментариях, а если будут сложности – обращайтесь, обезопасим вас от штрафов по 152-ФЗ как минимум. Соблюдение же регламента GDPR требует более глубокой проработки и глобальных изменений внутренних процессов компании, поэтому тарифов под него не разработали – все очень индивидуально. Но если у вас есть такая потребность, велком, посмотрим, что можно сделать.