Gdpr – что это

Статья на тему: "Gdpr – что это" с разъяснениями профессионалов. Мы постарались собрать весь тематический материал, обработать и разместить в удобном для чтения виде. На все вопросы вам ответит наш дежурный консультант.

GDPR — новый регламент защиты персональных данных в ЕС. Как избежать многомиллионных штрафов?

В Европейском союзе со следующего года будет действовать новый регламент защиты персональных данных (GDPR): требования к обеспечению безопасности конфиденциальных данных существенно ужесточатся. У компаний, в том числе российских, работающих с европейскими партнерами, осталось немного времени, чтобы приспособиться к новым условиям ведения бизнеса.

Проблему конфиденциальности данных признали крайне важной

Новые нормы General Data Privacy Regulations (GDPR) вступят в силу 25 мая 2018 г. и будут применяться ко всем игрокам европейского рынка, включая иностранные компании. Новый регламент будет действовать и на территории Великобритании до окончательного выхода страны из ЕС.

Проще говоря, не важно, где находится ваша компания, но если вы обрабатываете и храните данные, относящиеся к резидентам ЕС, то на вас распространяется действие GDPR.

GDPR налагает ряд требований, и их невыполнение предполагает серьезные санкции. Одним из главных обязательств, согласно GDPR, является уведомление в течение 72 часов о нарушении конфиденциальности данных. То есть, в случае утечки или хищения данных необходимо в течение трех суток известить об этом контролирующие органы, даже если не удалось установить причину утечки. Фактически, данные считаются скомпрометированными, и попытка утаить этот факт влечет наложение штрафа. Чем выше степень риска, тем быстрее нужно сообщать. Точные сроки, помимо ограничения в 72 часа, не регламентированы, однако, вероятно, если из-за известной утечки будет нанесен серьезный ущерб, компания также понесёт ответственность.

Плюсом GDPR является то, что отныне контроллерам нет необходимости отправлять уведомления об операциях в каждый местный орган, ответственный за защиту персональных данных. Ранее это вызывало сложности, так как в разных странах свои требования к оформлению. Теперь в большинстве случаев достаточно типового договора и правил внутреннего учета деятельности, связанной с обработкой данных. Исключение составляют особые случаи, например работа с персональными данными об уголовных преступлениях.

По данным опросов, пока более половины европейских компаний не готовы к введению таких строгих мер защиты данных. Причем треть компаний даже не определилась с тем, кто в их структуре должен отвечать за выполнение требований GDPR.

Рассмотрим ключевые моменты новых норм регулирования, которые, вероятно, являются примером новой глобальной тенденции к ужесточению правил работы с конфиденциальной информацией.

Какие данные защищает GDPR?

Новые нормы GDPR касаются всех данных с персонифицированной информацией, то есть сведений об организациях и физических лицах. Речь идет, в том числе и о маркетинговых данных, к хранению которых сегодня многие компании относятся менее требовательно, чем к информации, например, финансового или медицинского характера.

Регулирование в соответствии с GDPR будет применяться к обработке персональных данных, связанных с предложением товаров или услуг гражданам ЕС (независимо от того, требуется ли оплата); мониторингом поведения пользователей в ЕС (маркетинг, отслеживание в соцсетях и т.д.).

Более того, больше нельзя использовать длинные неудобочитаемые пользовательские соглашения. Вместо этого пользователь должен получить формы соглашений на простом языке.

Также пользователь должен иметь возможность легко отозвать свое согласие и обязать компанию удалить его персональные данные. Это право, названное Data Erasure, требует прекращения распространения и обработки персональных данных, а также обязывает их стереть. При рассмотрении таких запросов регуляторы могут оценивать «общественный интерес к доступности информации», то есть право Data Erasure может быть аннулировано, если, например, свои данные пытается скрыть злоумышленник.

Провайдер облачных услуг поставляет вычислительные услуги в облачной среде, и когда он действует от имени клиента, то является процессором. Клиент выступает в роли контроллера, принимает решение об использовании того или иного облачного сервиса для обработки персональных данных. Также контроллер несет ответственность по защите данных. В отдельных случаях провайдер облачных услуг (процессор) может быть и контроллером.

Контроллеры обязаны передать регуляторам, а процессоры — пользователям как можно быстрее и «без неоправданной задержки» уведомление о нарушении информационной безопасности персональных данных, способное привести к ущемлению прав и свобод.

Компании, находящиеся за пределами ЕС, должны будут назначить представителя для работы с европейскими регуляторами в случае необходимости. Также следует иметь в виду, что в соответствии с GDPR, регуляторы имеют право затребовать информацию о том, как, где и с какой целью обрабатываются персональные данные.

Кроме того, контроллеры обязаны предоставить субъекту данных копию информации в электронном формате — это радикальный переход к прозрачности информации, хотя он и влечет за собой ряд проблем. Прежде всего, передача любых данных по требованию влечет за собой риск утечки. Также в ряде случаев компании не хотят, чтобы пользователи получали данные о том, какие сведения о них собирают. В то же время, это частично снимает проблему непрозрачности данных облачных сервисов, которая создает угрозу для контроллеров и субъектов данных.

Еще один пункт GDPR, на который стоит обратить внимание в первую очередь, — это требование обеспечить защиту данных еще на этапе разработки, то есть конфиденциальность должна быть изначально заложена в дизайн продукта.

Штрафы за нарушение норм GDPR

Максимальный штраф за нарушение норм GDPR составляет до $20 млн, или 4% оборота денежных средств нарушителя (выбирается наибольшая сумма). Такое наказание налагается за серьезные нарушения, например, обработку персональных данных без согласия клиентов, дискредитацию конфиденциальной информации или нарушение правил дизайна продукта.

В GDPR предусмотрен гибкий многоуровневый подход к штрафам. В частности, компания может быть оштрафована на 2% за то, что не уведомила надзорный орган и субъект данных об утечке данных или не провела оценку возможного ущерба. Эти правила применяются к контроллерам и процессорам, то есть облачные сервисы не будут освобождены от обязанностей исполнения норм GDPR.

Что касается российских предприятий, то в первую очередь введение норм регулирования GDPR может коснуться энергетических, финансовых, транспортных и ИТ-компаний. В то же время, прозрачное регулирование в области защиты данных является позитивным фактором для всего рынка информационных технологий.

Когда нормы GDPR вступят в силу, то любая компания будет иметь всего 72 часа, чтобы сообщить об обнаруженной бреши в системе ИТ безопасности контроллерам. Поэтому компания, которая работает с персональными данными резидентов ЕС должна иметь полную копию трафика со всеми заголовками и полезной нагрузкой в объеме за последние 72 часа минимум, чтобы избежать штрафов. И главное в таких решениях, как и в законе Яровой не просто записать трафик, а проиндексировать его и обеспечить быстрый поиск, так как объем хранилища может быть большим.

Если у вас ЦОД с двумя каналами связи на 10Гбит/сек и загрузкой 75%, то для хранения трафика в течение 72 часов понадобится хранилище 768 терабайт.

Сохраненный трафик позволит проанализировать источник проблемы, если необходимо воспроизвести трафик и после удаления бреши проверить, что все теперь соответствует внутренним политикам безопасности.

[3]

GDPR — регламент по защите персональных данных. Уже сегодня!

Сегодня, 25 мая 2018, в Европейском Союзе вступает в силу General Data Protection Regulation (GDPR; рус. — Общий регламент защиты персональных данных).

Читайте так же:  Может ли мать одиночка подать на алименты

GDPR регламентирует процесс обработки персональных данных и распространяет свое действие не только на компании из ЕС, но и на компании из других стран, в том числе из Беларуси.

Партнер международной юридической компании PETERKA & PARTNERS Наталия Аношка разобралась, что изменилось для белорусских компаний в сфере защиты персональных данных и на что следует обратить внимание, чтобы не нарушать GDPR.

КТО ОБЯЗАН СОБЛЮДАТЬ РЕГЛАМЕНТ?

Все компании, обрабатывающие персональные данные физических лиц находящихся на территории ЕС, и:

  • предлагающие товары или услуги субъектам данных ЕС как на возмездной, так и на безвозмездной основе, или
  • осуществляющие мониторинг субъектов данных ЕС.

Под действие GDPR могут попадать компании из различных индустрий, обрабатывающие персональные данные, в частности, такие как:

  • разработчики онлайн-игр, мобильных приложений и интернет-магазины;
  • финансовые, транспортные и фармацевтические компании;
  • туристические, медиа и телеком-организации;
  • и многие другие.

Справочно: обработка персональных данных включает в себя сбор, запись, организацию, структурирование, хранение, переработку или изменение, восстановление, использование, раскрытие посредством передачи, рассылку или иной способ предоставления для доступа, совмещение или комбинирование, ограничение, стирание или уничтожение информации.

КАКИЕ ШТРАФЫ ГРОЗЯТ ЗА НАРУШЕНИЕ РЕГЛАМЕНТА?

С сегодняшнего дня, каждая компания, обрабатывающая персональные данные и попадающая под действие GDPR, вне зависимости от ее размеров и направления бизнеса, обязана соблюдать требования о защите персональных данных. Несоблюдение GDPR может повлечь не только репутационные риски, но и серьезные административные штрафы за отдельные нарушения предусмотрен штраф в размере до 20 млн евро или 4% от годового оборота (процент может быть посчитан от оборота международной группы компаний, а не одного субъекта-нарушителя).

ЧТО ОТНОСИТСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ?

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»), например, имя, адрес электронной почты, местоположение человека, профессия, пол, здоровье, любые связанные с этим элементы данных.

GDPR подразделяет субъекта данных на:

  • идентифицированное физическое лицо (фотография в паспорте человека);
  • идентифицируемое физическое лицо (у вас есть фотография, загрузив которую в поисковик Google, вы может идентифицировать изображенного на ней человека).

ЧТО ОБЯЗАНЫ ДЕЛАТЬ КОМПАНИИ, ЧТОБЫ СОБЛЮДАТЬ GDPR ?

  • Получать согласие на обработку:

Компания должна получить или обеспечить получение согласия субъекта данных на обработку персональных данных. При этом важным фактом является выражение согласия субъекта посредством ясного утвердительного действия, устанавливающего конкретное и однозначное указание на согласие. Согласие не может быть выражено в виде молчания, ранее проставленной галочки при посещении сайта или бездействия. Если обработка данных имеет несколько целей, то согласие нужно запросить для каждой из этих целей. Субъект данных должен иметь право легко предоставить и отозвать свое согласие.

Обработка «чувствительных» персональных данных:

Чувствительные персональные данные (расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения и т.д.) заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Их обработка без прямого согласия субъекта данных или в предусмотренных GDPR случаях запрещена.

  • Обеспечить должный уровень защиты:

Для обеспечения безопасности обработки GDPR предлагает такой способ защиты как псевдонимизация, который означает обработку персональных данных таким образом, что персональные данные не могут быть соотнесены с конкретным субъектом данных без использования дополнительной информации.

Что такое GDРR, европейский закон о защите данных

В мае 2018 года Европейский Союз (ЕС) постановил, что все компании в Союзе, а также те, которые используют данные граждан ЕС, должны следовать Общим положениям по защите данных (General Data Protection Regulation, сокращенно GDРR). Это законодательство было введено в действие в интересах защиты пользовательских данных и ограничения использования их компаниями без ведома и согласия пользователей. Закон направлен на то, чтобы передать все личные данные обратно в руки граждан, тогда как раньше они находились под неизменным контролем компаний, которые их собрали.

Что такое GDPR

Кратко о GDPR

Требования GDPR

GDPR устанавливает ответственность и подотчетность корпораций, определяя, что компании могут или не могут делать с персональными данными; требования сообщать о нарушениях в течение 72 часов; устанавливает стандарты шифрования, требуя четкого согласия пользователей; определяет, как долго могут храниться данные, и требования защиты данных по дизайну и по умолчанию. В соответствии с GDPR, некоторые организации должны выбрать ответственного сотрудника по защите данных (Data Protection Officer). Этот сотрудник отвечает за управление данными в данной организации и служит основным контактным лицом с регулирующими органами. Новые требования обращают большое внимание на то, как компании общаются с потребителями, а также как они управляют данными, которые хранят.

GDPR обеспечивает контроль над личными данными пользователей ЕС. Данные, рассматриваемые в соответствии с новым набором правил, включают в себя имена, IP-адреса (местоположение), изображения, адреса электронной почты, домашние адреса, деятельность в социальных сетях, банковскую информацию и медицинскую информацию. Данные положения предоставляют пользователям право запрашивать копию своих данных, право на отказ в любое время предоставлять свои данные и право требовать, чтобы их личные данные были удалены, хотя последнее не является универсальным правом.

Соблюдение GDPR

Регулирование

Данное положение применимо для любой организации, управляющей персональными данными граждан ЕС. Сюда входят компании в Соединенных Штатах и в других странах за пределами Европейской экономической зоны, имеющие доступ к данным европейских потребителей.

В 2018 году GDPR становится более всеобъемлющим сводом правил, который гармонизирует нормы в Европейском союзе и Европейском экономическом пространстве. Это упрощает нормативный ландшафт для компаний, снижая общие затраты на его соблюдение. По мнению некоторых экспертов, это может сделать ЕС более конкурентным рынком (другие аналитики предсказывают, что этот закон может слишком сильно ограничивать рынок и оставить ЕС позади других регионов в глобальной экономике).

Официальный текст GDPR

Сроки реализации

Защита данных в Великобритании

Защита данных в США

С момента внедрения новых положений американские компании увидели, что GDPR сильно влияет на их деятельность. Поскольку многие из этих организаций управляют данными ЕС, они обязаны соблюдать эти положения.

Компании, которые не готовы соответствовать политике, изложенной в GDPR, как, например, фирма Instapaper, принадлежащая Pinterest, временно заблокировали доступ для пользователей ЕС, чтобы избежать штрафов. Другие компании подготовились к новому закону, установив на своих сайтах новую опцию – кнопку при входе на сайт, кликая на которую пользователь соглашается на использование своих персональных данных.

Штрафы за несоблюдение

Facebook и GDPR

Facebook является одной из компаний, не соответствующих GDPR, и может столкнуться с существенным штрафом. Facebook и другие платформы социальных сетей, такие как Instagram, используют предварительно установленное согласие пользователей. GDPR же требует, чтобы у потребителя были четкие права и возможности для отказа от предоставления доступа к персональным данным.

Компания Facebook заявляет, что, в соответствии с новым законом, ведет абсолютно прозрачную политику с пользователями в плане того, как используются их данные, и дает им полный контроль над ними. Facebook также заявляет, что ее представители встречаются с регулирующими и директивными органами, экспертами по вопросам конфиденциальности данных для обеспечения соответствия требованиям GDPR и аналогичных законов о конфиденциальности.

Google и GDPR

Компания Google имеет значительное влияние в Европейском Союзе и оказалась вовлеченной в расследование за нарушения GDPR. Подобно Facebook, Google использует опцию предварительного согласия. Если компания будет признана виновной, потенциальный штраф может достигнуть 4 млрд. евро (5,2 млрд. долларов США).

Читайте так же:  Куда и как пожаловаться на управляющую компанию примеры и образцы жалоб

Однако, Google утверждает, что работает над тем, чтобы полностью соответствовать закону, ссылаясь на свой аудит и процесс сертификации сторонних сайтов, извлекающих данные пользователей в качестве примера. Компания также практикует «прозрачность данных» и информирует пользователей о том, как их данные используются для рекламы.

Информация о GDPR на русском языке

GDPR (General Data Protection Regulation)

  • Регламент (EU) 2016/679 (Русская версия, English version)
  • Директива (EU) 2016/680 (Русская версия, English version)

Основные цели GDPR

  • защита персональных данных
  • защита прав и свобод людей в защите их данных
  • ограничение перемещения персональных данных в рамках Евросоюза
  • далее

Основные термины

  • Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
  • Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
  • Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
  • DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:

  • более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
  • право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
  • право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
  • право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

  • имя, фамилия
  • номер паспорта или ИД удостоверения
  • дата и место рождения
  • место проживания, регистрация, прописка
  • е-мейл, телефон, или другая контактная информация
  • ИП-адрес и патаметры соединения
  • дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

  • раса и национальность
  • политические взгляды
  • вероисповедание
  • сексуальная ориентация
  • биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
  • данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
  • генетические данные – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

Принципы обработки данных по GDPR

Сфера действия GDPR

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

Соответствие требованиям GDPR

  • Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
  • Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
  • Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома. Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
  • Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
  • Ведение необходимой отчетности, согласно положениям GDPR.

Несоблюдение норм GDPR

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

Регламент по защите данных GDPR — последствия для email маркетинга

Регламент Европейского парламента 2016/679 по защите персональных данных GDPR вступит в силу 25 мая 2018 года. Мы изучили его основные принципы, нововведения и возможные штрафы за нарушения. Как подготовиться email маркетологу к новым правилам, расскажем в нашей статье.

[1]

Что такое GDPR

Цифровой маркетинг основан на анализе больших объемов данных о потребителях. Эта информация помогает создавать релевантные предложения и достигать больших результатов.

Сайты сохраняют файлы cookie, чтобы отследить предпочтения пользователя, операторы сотовой связи ведут учет входящих и исходящих звонков и записывают телефонные разговоры. Facebook распознает лицо на фотографии и предлагает отметить человека. Instagram отображает посты в ленте на основе просмотров, лайков и комментариев пользователя.

Однако обрабатывать информацию нужно законно. Именно для этого и вступают в силу обновленные правила Регламента — General Data Protection Regulation (GDPR). Согласно этому Постановлению, компаниям, которые работают с личной информацией пользователей, нужно пересмотреть три главных аспекта:

  1. Сбор данных.
  2. Обработку, хранение, изменение, удаление и передачу полученных сведений.
  3. Безопасность персональных данных.

На кого распространяется GDPR

Россия, Украина, Беларусь и другие страны СНГ не попадают под действие законодательства ЕС, но если в вашей базе подписчиков есть хоть один европеец, соблюдать правила придется.

Ответственные стороны

Давайте рассмотрим, кто участвует в сборе, обработке и хранении информации и какие обязанности выполняет:

  1. Субъект данных — человек, который оставил личную информацию.
  2. Контролер (data controller) — тот, кто получает персональные данные, а затем определяет цели и механизм их обработки (processing). Контролером считается любой бизнес, который собирает и использует информацию о пользователях. Он рассказывает зачем собирают данные, документирует процессы обработки, оценивает риски, связанные со сбором информации, заботится о безопасности данных и уведомляет надзорные органы и граждан о проблемах с ними.
  3. Обработчик (data processor) — компания-подрядчик, которая собирает, обрабатывает и хранит персональные данные по поручению контролера. В email маркетинге эту нишу занимает сервис рассылок. Обработчик уведомляет контролера о нарушениях.
  4. Надзорный орган (supervisory authority) — сторона, которая следит за обработкой персональных данных. Этот орган определяет значимость нарушения и назначает соответствующие штрафы.
Читайте так же:  Налоговый вычет при покупке квартиры в ипотеку

Потенциальные штрафы за несоблюдение правил GDPR суровы. Они делятся на две категории и зависят от типа нарушения.

До 10 миллионов евро

Эта сумма или 2% от годового дохода компании — в зависимости от того, какая из них будет больше, назначается за нарушения обязательств контролера и обработчика. Сюда входят согласие на обработку данных ребенка и безопасность персональных данных.

До 20 миллионов евро

Такой размер штрафа или 4% от годового оборота компании — в зависимости от того, какая сумма будет больше, грозит за нарушение ключевых правил GDPR. Это основные права субъектов данных, принципы обработки и передачи персональных данных, правила согласия.

Если нарушение незначительное, компания получит выговор.

Рассмотрим ключевые принципы обработки данных согласно GDPR.

Законность, справедливость и прозрачность

Компания объясняет простым и понятным языком для чего и на каких условиях собирает персональные данные. Пользователь получает открытый доступ к этой информации, благодаря чему знает, как используются предоставленные сведения, и осознает риски, правила и свои права в их отношении.

В email маркетинге часто используют лид-магниты, чтобы увеличить базу подписчиков. Это полезный контент в виде бесплатных пробных периодов, статей, руководств и других материалов, которые потребитель получает не за деньги, а в обмен на контактные данные.

Чтобы такой метод соответствовал правилам GDPR, получите явное согласие пользователей на хранение и обработку данных. Такое согласие заключается в утвердительном действии подписчика, например:

  • галочка на сайте,
  • выбор технических настроек в личном кабинете сайта,
  • либо другое действие или документальное подтверждение того, что подписчик ознакомился с порядком обработки данных.

Как получить явное согласие в email маркетинге

При подписке просите пользователей ознакомиться с политикой конфиденциальности (privacy policy) и правилами использования (terms of use). В этих документах подробно опишите, каким образом вы собираете сведения о клиентах, как систематизируете, храните, изменяете и удаляете их.

Собирайте базу адресов с помощью double opt-in. При single opt-in пользователь вводит электронный адрес и нажимает «подписаться». Если же используется double opt-in, пользователю нужно дополнительно перейти по ссылке или нажать на кнопку в письме-подтверждении. Это и является активным действием субъекта данных, которым он дает явное согласие на обработку и хранение личной информации.

Как вариант, под активным действием субъекта данных может подразумеваться проставленная галочка в чекбоксе формы, как на примере ниже. В первом чекбоксе пользователь отметит, что ознакомлен с правилами использования и политикой конфиденциальности, а во втором согласится на рассылку. Не проставляйте галочки заранее — такое согласие не соответствует правилам GDPR.

Используйте другие каналы коммуникации. Наладить контакт можно не только с помощью email. Достойная альтернатива — это web push уведомления. При подписке на web push пользователи не оставляют персональные данные, но дают явное согласие получать уведомления, нажимая кнопку «Разрешить».

С помощью web push вы сможете оповестить клиентов о новостях, акциях и других важных событиях.

Минимизация данных

Видео (кликните для воспроизведения).

Регламент призывает маркетологов собирать лишь релевантные сведения о клиентах, которые понадобятся для выполнения целей. Если вам нужно знать размер верхней одежды подписчика или его цветовые предпочтения, обоснуйте зачем. Иначе собирать эти данные не рекомендуется.

Не просите лишней информации

Ограничивайтесь минимумом и обдумывайте вопросы, которые вы задаете в письмах-опросниках и формах подписки.

К примеру, туристическая компания Massachusetts Office of Travel & Tourism добавляет опрос в рассылку, приуроченную к Хеллоуину, но интересуется только тем, что поможет предложить релевантный тур.

Нажимая кнопку «Принять участие в опросе», подписчик переходит к страницам, где оставляет свои данные:

  • возраст,
  • информацию о детях,
  • города в штате Массачусетс, которые желает посетить,
  • когда предпочитает путешествовать: на выходные или в будни,
  • отношение к страшным развлечениям в этот праздник.

Согласно этому принципу, пользователь имеет право попросить компанию об исправлении неточной или неактуальной информации о себе. Реагировать на такие запросы нужно быстро, поэтому разработайте удобную систему обновления данных.

Предложите подписчикам обновить предпочтения

Добавьте ссылку на страницу настроек в письмо (email preferences, update preferences, manage preferences) или подключите службу поддержки к изменению личной информации пользователя. При наличии страницы настроек, пользователи смогут перейти по ссылке и обновить данные о себе самостоятельно. Смотрите, как это делает компания Astley Clarke в своем письме.

Вот что может изменить подписчик на странице предпочтений Astley Clarke:

Ограничение цели

Собирайте и используйте личную информацию только в заявленных целях. Не утаивайте свои намерения от пользователя и обязательно просите повторного согласия, если первоначальная цель изменилась.

Говорите правду пользователям

Чтобы повторно не обращаться к подписчикам, продумайте все цели сбора данных наперед и четко обозначьте их в политике конфиденциальности.

В каких целях можно собирать данные:

  • регистрация аккаунта,
  • обращение в службу поддержки,
  • предоставление услуги или использование продукта,
  • отправка сообщений о продукте, новости и предложения компании.

Ограничение хранения

Компании разрешается хранить личные данные пользователя до тех пор, пока это необходимо для целей обработки.

Продумайте политику хранения данных

В отдельном пункте политики конфиденциальности опишите, как долго вы храните данные и что с ними происходит, когда подписчик уходит от вас.

Целостность и конфиденциальность

Компания несет ответственность за сохранность полученных данных, а значит защищает их от незаконной обработки, случайной потери, уничтожения или повреждения.

При утечке личной информации не мешкайте. В течение 72 часов сообщите пользователю и Национальному органу по защите данных (Data Protection Authorities) о случившемся.

В России данную функцию исполняет Роскомнадзор. В уведомление входит расследование инцидента, его причины, а также описание принятых мер. Все это необходимо для своевременной реакции субъектов и минимизации финансовых и других потерь.

Заботьтесь о безопасности данных и приучайте к этому пользователей

Не покупайте, не передавайте и не раскрывайте персональную информацию — это незаконно. Рекомендуйте зарегистрированным у вас пользователям установить надежный пароль, не разглашать его и периодически менять для более надежной защиты.

Перенесите информацию о пользователях из файлов Excel и Google Docs в систему CRM — это безопаснее и удобнее.

Права субъектов данных

Новые правила GDPR расширяют права европейцев по контролю своих персональных данных. Ответственность за их соблюдение несет контролер.

Не ограничивайте доступ пользователя к данным. Рассказывайте, кто использует полученную информацию и зачем. Указывайте период хранения.

Портативность

Теперь пользователь может попросить электронную копию своих персональных данных. И передать материалы пользователю или другому сервису нужно в течение 30 дней. Такое нововведение упрощает процесс смены сервиса.

Удаление данных

При желании пользователь может отозвать свое согласие на обработку данных и отправить запрос на их удаление. Реагируйте на такие запросы без промедлений.

Читайте так же:  Исковое заявление о восстановлении на работе

Для email маркетинга — это в первую очередь изъятие электронного адреса субъекта из всех адресных книг. Прямая ссылка отписки в письме ускоряет этот процесс. Если подписчик больше не хочет получать рассылки, ему достаточно нажать на кнопку или перейти по ссылке «отписаться».

В сервисе SendPulse вам не придется удалять каждого отписавшегося вручную. Адреса таких пользователей попадают в список отписавшихся и в дальнейшем рассылка на эти адреса блокируется.

Ограничение обработки данных

Если пользователя не устраивает автоматическая обработка данных, он может запросить, чтобы его профиль составлял вручную живой человек. Опишите в правилах конфиденциальности, как у вас происходит ручная обработка данных и кто из сотрудников в ней задействован.

Защита детей

Чтобы собирать и обрабатывать данные детей до 16 лет, сначала получите согласие родителей. Не забудьте указать в политике конфиденциальности, как именно дети будут подписываться на рассылку.

Подведем итоги

Чтобы соответствовать требованиям принципов GDPR и уберечь себя от штрафов, начните с этих пяти шагов:

  1. Настройте double opt-in для сбора базы подписчиков.
  2. Добавьте два чекбокса в форму подписки: «ознакомлен с политикой конфиденциальности» и «согласен на рассылку».
  3. Собирайте не больше данных, чем нужно для достижения целей, и сообщайте о них пользователям.
  4. Включите ссылку на страницу предпочтений в рассылку, чтобы подписчик мог исправить устаревшие данные самостоятельно.
  5. Разработайте механизмы, которые предотвратят утечку, повреждение или потерю данных.
  6. Проведите аудит существующей email базы.
    Адреса тех подписчиков, которые не дали явное согласие на сбор и обработку своих данных, необходимо переподписать заново или удалить. Для этого отправьте по этим подписчикам рассылку с просьбой подтвердить свое желание получать письма от вас. В письме информируйте о новых правилах сбора данных, которые прописаны в политике конфиденциальности.

С 25 мая — штрафы до 20 млн евро за пренебрежение к персональным данным пользователей

Понятие GDPR (EU General Data Protection Regulation, Общий регламент защиты персональных данных Европейского союза) уже знакомо многим белорусским компаниям, особенно в IT-сфере. Он вводит новые требования к обработке персональных данных потребителей. Компании, которые не будут им соответствовать, не смогут конкурировать на европейском рынке и подвергнутся огромным штрафам — до 20 млн евро.

Регламент вступает в силу 25 мая 2018 года и затрагивает в том числе белорусские компании. Юристы юридической компании REVERA Елена Бонина и Гай Маевский рассказывают, на что нужно обратить внимание прежде всего, чтобы не нарушать GDPR.

— GDPR распространяет свое действие не только на компании, но и на индивидуальных предпринимателей и других физлиц. Их это коснется в меньшей степени, но знать о требованиях все равно важно, — отмечает Елена Бонина.

Касается ли это моей компании?

— Да, если вы обрабатываете данные потребителей из ЕС: что-то продаете им и запрашиваете контактную информацию, анализируете их пользовательское поведение или разрабатываете ПО, которое работает с персональными данными. Например, если вы создадите приложение, которое будет обрабатывать персональные данные европейцев, и его решат купить, заказчик однозначно потребует соблюдения требований GDPR, — рассказывает Елена Бонина.

В этой таблице можно посмотреть, к каким белорусским компаниям GDPR имеет непосредственное отношение.

Компании, которые реализуют товары или услуги потребителям из ЕС (причем не обязательно гражданам ЕС, важно именно фактическое местонахождение в ЕС)

Кто в зоне риска

Компании стоит задуматься о GDPR, если:

на сайте используется язык или валюта стран ЕС

Компании, которые анализируют поведение пользователей из ЕС (аналогично — важно их фактическое нахождение в ЕС)

Кто в зоне риска

  • маркетинговые площадки
  • социальные сети
  • маркетплейсы

Индикаторы

  • она отслеживает запросы пользователей из ЕС в интернете
  • создает постоянные cookie-файлы
  • создает профайлинг пользователей из ЕС, анализирует и (или) прогнозирует их

Постоянные представители белорусских компаний, которые ведут деятельность в ЕС

Кто в зоне риска

Те, кто обрабатывают персональные данные любых субъектов (независимо от их местоположения и гражданства)

Примеры постоянных представителей:

  • дочерняя компания
  • представительство (филиал)
  • постоянный агент
  • партнер, который совместно с белорусской компанией определяет цели и способы обработки персональных данных

GDPR существенно затронет деятельность и других компаний, в особенности разработчиков ПО. Хотя напрямую не сказано, что они должны соответствовать GDPR, это важно для конкурентоспособности их бизнеса в будущем. Теперь заказчики ПО будут делать выбор в пользу тех компаний, которые соблюдают требования GDPR. Это снижает их собственные риски, ведь именно они в конечном счете несут ответственность за обработку персональных данных своих клиентов.

Что такое персональные данные?

Персональные данные — это любая информация о человеке, с помощью которой его можно идентифицировать:

  • сразу — например, по ФИО или номеру паспорта; в этом случае человека называют идентифицированным;
  • в последующем, сопоставив несколько видов данных (местонахождение, учетные записи в социальных сетях, IP-адрес и др.); в этом случае человека называют идентифицируемым.

Как только мы имеем идентифицированного или идентифицируемого человека, любая дополнительная информация о нем также становится персональными данными. Например, тот факт, что вы носите красный пиджак, еще не есть персональные данные. Но если кто-то будет использовать эту информацию в собственных целях (например, для того, чтобы предложить вам красные брюки), такие сведения станут персональными данными.

Обрабатывает ли моя компания персональные данные?

  • собирает;
  • хранит, даже не совершая никаких действий с ними;
  • обрабатывает с помощью какого-либо ПО и др.

Как видите, даже если ваша компания не использует персональные данные жителей ЕС в собственном бизнесе и просто их хранит, обработка персональных данных все равно происходит. А значит, требования GDPR вас касаются.

Какие новые права появляются у пользователей в отношении своих персональных данных?

Вот наиболее значимые из них:

1. Право на забвение — право человека потребовать полное удаление своих персональных данных, если выполняется хотя бы одно из условий ниже:

  • персональные данные больше не нужны для целей, с которыми они были обработаны;
  • лицо отозвало свое согласие на обработку персональных данных, при этом отсутствуют другие основания для их обработки;
  • персональные данные были обработаны незаконно, в том числе с нарушением требований GDPR;
  • другие условия, которые с наименьшей вероятностью применимы к белорусским компаниям.

2. Право на перенос данных — право потребовать получения своих персональных данных в удобном формате, в том числе для их передачи другой компании; а также право потребовать трансфера персональных данных напрямую другой компании, если это технически осуществимо.

3. Право на возражение против обработки персональных данных в целях прямого маркетинга, включая профайлинг. После получения такого возражения компания больше не вправе обрабатывать персональные данные пользователя в этих целях. Причем ответственность компании — при первом же контакте с пользователем четко и внятно донести ему, что он имеет право на такое возражение.

Что делать, если моя компания подпадает под действие GDPR?

Для того, чтобы привести в соответствие с GDPR все внутренние процессы, потребуются существенные трудозатраты. Юристы REVERA обращают внимание на основные моменты, над которыми можно начать работать уже сейчас.

[2]

1. Собирайте только те персональные данные, которые вам действительно необходимы

Это один из принципов GDPR — количество собираемых персональных данных должно быть минимально необходимым. Причем человек должен понимать, с какой целью они будут использоваться, а компания должна быть готова подтвердить, что такая цель обоснованна и необходима.

Читайте так же:  Расторжение брака в судебном порядке как развестись и в какой суд подавать заявление

Допустим, ваш интернет-магазин продает товары в Европу. Для того, чтобы выполнить свои обязательства перед покупателями, прежде всего вам нужна следующая информация:

  • банковские реквизиты — для дистанционной оплаты;
  • адрес местонахождения и имя покупателя — чтобы товар был доставлен по назначению.

Использовать эти данные в других целях (например, для почтовой рассылки рекламы) нельзя. Для этого нужно запросить дополнительное согласие у покупателей.

Чтобы собирать другие персональные данные, которые не связаны напрямую с услугами магазина (пол, возраст, семейное положение, профессия и пр.), также нужно получить отдельное согласие пользователя либо грамотно обосновать в договоре (публичной оферте) необходимость обработки таких данных. Еще одно дополнительное согласие потребуется, если вы планируете обрабатывать чувствительные персональные данные. Это сведения, раскрывающие расовое или этническое происхождение, сексуальную ориентацию, политические и религиозные мировоззрения и др. На практике они часто используются для контекстной рекламы и профайлингов.

2. Убедитесь, что у вас есть согласие на обработку данных

Есть 2 основных сценария:

  • согласие не нужно, если компания запрашивает данные, которые объективно нужны для исполнения договора (как в примере с интернет-магазином);
  • согласие нужно, если вы хотите использовать данные клиентов в дополнительных целях — анализ поведения и т.д. Тогда вы должны запросить согласие у человека на обработку его персональных данных в соответствующих целях.

Текст согласия должен быть составлен в предельно ясной форме. Согласие можно получать и в виде галочки, однако она не должна стоять по умолчанию: нужно явное волеизъявление человека.

3. Проследите, чтобы GDPR соответствовала вся цепочка компаний-подрядчиков

Допустим, есть (1) фитнес-центр, который использует персональные данные своих клиентов. Работу компьютерной системы, в которой хранятся данные, и их обработку обеспечивает (2) компания-подрядчик X. Помимо этого, компьютерную систему когда-то создала (3) компания-разработчик Y, которая сейчас уже не имеет доступа к информации.

Из всех троих фитнес-центр несет наибольшую ответственность и контролирует, чтобы его деятельность соответствовала GDPR. Подрядчик X также должен им соответствовать, так как напрямую связан с обработкой. Соответствие ПО разработчика Y — формально не обязательно, но в интересах фитнес-центра, чтобы соответствовало и оно, так как это снижает ее риски.

Таким образом, фитнес-центру нужно:

  • проследить, что все компании в цепочке соответствуют требованиям GDPR, а с подрядчиком X заключить специальный договор (GDPR предъявляет отдельные требования к таким договорам);
  • убедиться, что если ее подрядчики привлекают к обработке других подрядчиков, между ними также должен быть заключен специальный договор; а от самого центра требуется письменное согласие на привлечение таких подрядчиков.

4. Документируйте весь процесс обработки персональных данных в компании

Вы должны быть готовы доказать и документально подтвердить, что соответствуете всем требованиям GDPR. Важно иметь именно документы, так как регламент напрямую указывает, что только лишь фактического соблюдения всех требований недостаточно. Прежде всего, обратите внимание, чтобы в вашей компании были следующие документы:

  • политика обработки персональных данных;
  • внутренние правила и процедуры работы с персональными данными;
  • реестры персональных данных;
  • учетные записи обработки персональных данных.

5. Если необходимо, назначьте представителя компании в ЕС.

По общему правилу, если иностранная компания (не резидент ЕС) обрабатывает персональные данные лиц из ЕС, она должна назначить представителя на территории ЕС. Именно он будет отвечать за соблюдение GDPR.

Исключение — для компаний, которые:

  • обрабатывают персональные данные нерегулярно;
  • не имеют дело с чувствительными персональными данными;
  • едва ли представляют риск для прав физических лиц в связи с использованием их персональных данных.

6. Если необходимо, назначьте Data protection officer (DPO, инспектор по защите персональных данных)

DPO может быть как штатным сотрудником компании, так и сторонним подрядчиком. Инспектор обязателен для компаний, ключевая деятельность которых связана с:

  • обработкой персональных данных, которая требует регулярного и систематического мониторинга физлиц в больших масштабах. Это касается крупных соцсетей, компаний, работающих с Big Data, и крупных маркетплейсов;
  • масштабной обработкой чувствительных персональных данных (sensitive personal data).

С учетом сложности и объема требований GDPR, такой инспектор будет полезен для многих компаний. Он сможет наладить все процедуры, утвердить политики, вести учет обработки персональных данных и контролировать, чтобы компания ничего не нарушала.

7. Проверьте, соответствует ли ПО, которое непосредственно обрабатывает персональные данные ваших клиентов, требованиям GDPR.

Прежде всего, речь идет о принципах privacy by design и privacy by default.

Privacy by design означает, что приватность должна быть «встроена» в ПО еще на этапе разработки. В целом, ПО должно обеспечивать следующие меры для защиты приватности:

— псевдоминизацию или обезличивание (отдельное хранение информации, позволяющей установить личность человека, и дополнительных сведений, которые к нему относятся);

— криптографическую защиту персональных данных и другие меры защиты, которые необходимо принять с учетом рисков реальности несанкционированного доступа к персональным данным.

Privacy by default означает, что пользователю изначально должны предлагаться максимальные настройки приватности, и это должно быть всегда по умолчанию.

Для того, чтобы подтвердить соблюдение privacy by design и privacy by default, а также удостовериться в этом самим, рекомендуется проводить специальную оценку — Data Protection Impact Assessments, DPIA.

Что грозит моей компании за нарушение требований GDPR?

Во-первых, если человек понес материальный или нематериальный ущерб в результате нарушения требований GDPR, он может предъявить к компании иск о его возмещении.

Во-вторых, GDPR предусматривает огромные штрафы за нарушение требований — до 20 миллионов евро.

За такие нарушения, как:

  • неправильно полученное согласие на обработку персональных данных человека,
  • нарушение прав людей, чьи персональные данные были обработаны,
  • сбор персональных данных в большем объеме, чем это было необходимо, и нарушение других существенных требований GDPR

предусмотрен административный штраф до 20 миллионов евро либо до 4% от общего годового мирового оборота за предыдущий финансовый год (в зависимости от того, какая сумма больше).

За менее существенные с точки зрения GDPR нарушения предусмотрен штраф в размере до 10 миллионов евро — или до 2% от общего годового мирового оборота компании за предыдущий финансовый год. Такими нарушениями являются:

— использование ненадлежащего ПО для обработки персональных данных;

— ненадлежащим образом оформленные отношения с обработчиком персональных данных (неграмотно составленный договор);

Видео (кликните для воспроизведения).

— отсутствие учетных записей обработки персональных данных и др.

Источники


  1. Аношко, В. С. История и методология почвоведения / В.С. Аношко. — М.: Вышэйшая школа, 2013. — 340 c.

  2. Зашляпин, Л. А. Основы теории эффективной адвокатской деятельности. Прелиминарный аспект / Л.А. Зашляпин. — М.: Издательство Уральского Университета, 2015. — 568 c.

  3. Под редакцией Аванесова Г. А. Криминология; Юнити-Дана — Москва, 2010. — 576 c.
  4. Энциклопедия будущего адвоката: моногр. ; КноРус — М., 2012. — 1000 c.
  5. Левенфельд, Л. Гипнотизм. Руководство к изучению гипноза и внушения (особенно в медицине и юриспруденции) / Л. Левенфельд. — М.: Типография «Саратовского Дневника», 2016. — 438 c.
  6. Жинкин, С.А. Теория государства и права. Конспект лекций / С.А. Жинкин. — М.: Феникс, 2017. — 602 c.
Gdpr – что это
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here