Три шага для самостоятельной проверки Вашего бизнеса на соответствие регламента GDPR

После вступления в силу в мае 2018 года GDPR — регламента, который контролирует сохранность персональных данных резидентов ЕС — количество вопросов по тому, как сделать так, чтобы компания не попала под санкции и крупные штрафы из-за каких-либо несоответствий, растет просто в геометрической прогрессии. Причем касается это не только компаний, которые располагаются в Евросоюзе — регламент подразумевает, что если Ваша деятельность так или иначе связана с хранением и обработкой персональных данных европейцев или прочих субъектов, находящихся на территории ЕС, а Ваша компания при этом находится за его пределами, то Вы все равно обязаны соблюдать все заявленные требования

Три шага для самостоятельной проверки Вашего бизнеса на соответствие регламента GDPR

Что же необходимо сделать, чтобы у Вас не возникло проблем с GDPR?

Идеальным вариантом для Вас и Вашей компании, конечно, будет нанять квалифицированного специалиста, который занимается именно выявлением нарушений данного регламента. Такой специалист называет Data Protection Officer — сокращенно DPO. Но специалистов таких пока еще не очень много, найти их тяжело, а услуги могут влететь в копеечку. 

Поэтому сейчас мы расскажем Вам о нескольких простых шагах, с помощью которых Вы можете устроить небольшую самопроверку, которая поможет сделать некоторые выводы!

Шаг Первый

Проверьте наличие Privacy Notice & Privacy policy

Один из основных моментов GDPR гласит, что владелец web-сайта обязан уведомить пользователя, что его персональные данные будут использованы, а также предоставить информацию о том, что именно с его персональными данными будут делать, куда и в какие сервисы будут передавать для дальнейшей обработки. Все вышеперечисленное необходимо ОБЯЗАТЕЛЬНО внести в Privacy Notice. 

В общей практике, существуют случаи, когда компании, не желая создавать путаницу с лишними документами, делают один общий — Privacy Policy. Туда уже может входить и Privacy Notes, в котором пользователя уведомят о том, что его данные будут собираться, обрабатываться и защищаться. Также советуем прописать в Privacy Policy отдельными пунктами отношение к обработке персональных данных детей, обработке специальных категорий персональных данных, а также Cookie Policy. Cookie Policy будет подробно описывать Вашу политику относительно сбора cookie-файлов, их обработки и т.д.

Три шага для самостоятельной проверки Вашего бизнеса на соответствие регламента GDPR

Представим ситуацию, что у Вашей компании имеется не один web-сайт, а несколько. Или, например, Вы лично являетесь владельцем более одной компании. Создавать ли Вам одну Privacy Policy на все Ваши ресурсы или же для каждого отдельно свою? Решение за Вами. Имеются лишь общая рекомендация: если сайты плюс-минус одинаковые, то можно воспользоваться одной Privacy Policy на всех; если сайты сильно отличаются, то лучше сделать отдельно для каждого сайта.

GDPR подразумевает, что Privacy Policy должно присутствовать на Вашем сайте на языке стран, с которыми Вы работаете. Формулировки должны быть максимально краткими, понятными, чтобы не вводить пользователей в заблуждение. 

Создание Privacy Policy вручную, особенно если Вы не очень в этом разбираетесь — процесс довольно-таки трудоемкий. Поэтому Вы можете воспользоваться специальными автоматизированными сервисами.

Шаг второй

Data Processing Agreement

Следующий шаг — это проверить наличие DPA или согласия на поручение обработки персональных данных. 

По данному документу физические лица поручают вам обработку ПД. То есть регулируются отношения между контроллером и оператором персональных данных.

Особенное внимание на данный пункт нужно обратить владельцам интернет-магазинов или сервисов, так или иначе связанных с b2b-услугами, в рамках которых пользователи доверяют Вам хранение и обработку своих данных. 

Три шага для самостоятельной проверки Вашего бизнеса на соответствие регламента GDPR

В GDPR не прописано никаких конкретных указаний относительно языка, на котором должно быть прописано DPA, поэтому можно ограничиться английским. Документ необходимо подписывать в двустороннем порядке, поэтому рекомендуем использовать цифровую подпись, либо просто выложить соглашение в открытый доступ, чтобы Ваш клиент в случае чего имел к нему доступ. 

Согласие на обработку персональных данных является только одним из законных оснований по GDPR. Часто компании уходят от обработки ПД на своих сайтах, однако, согласие требуется в случае подписок на рассылки, скоринг, профайлинг и т.д.

В практике имеются случаи, когда компании сознательно отказываются от обработки персональных данных на своих сайтах, но DPO в любом случае требуется, если Вы занимаетесь рассылкой, скорингом, профайлингом или осуществляете другие подобные операции.

Если на Вашем сайте или сервисе имеется возможность регистрации, то Вы имеете право запрашивать только те данные, без которых нормальное функционирование невозможно. Например, если у Вас интернет-магазин, то Вам нужно только ФИО, адрес электронной почты и фактический адрес проживания (или же адрес, по которому будет осуществляться доставка). Обратите внимание — если после завершения услуги Вы планируете, например, осуществлять рассылку по e-mail, то на это требуется отдельное разрешение. Строгой формы для согласия нет, но оно должно быть интуитивно понятным. Пользователь должен иметь возможность отозвать согласие так же легко, как и дать.

Шаг третий

Согласие на обработку персональных данных от пользователей

Убедитесь в том, что согласие от пользователей на обработку их персональных данных должно осуществляться на добровольных началах. ВАЖНО: в акте согласия не должно быть никакого принуждения. То есть, галочка напротив согласия на обработку не должна быть обязательным условием для дальнейшей регистрации или функционирования сайта/сервиса. Опыт старших коллег из Google и Facebook, которые совсем недавно получили судебные иски за подобные манипуляции, должен быть для Вас своего рода примером того, как делать НЕ НАДО!

Три шага для самостоятельной проверки Вашего бизнеса на соответствие регламента GDPR

Что должно входить в согласие, какие права есть у субъекта персональных данных? В рамках ст. 13 GDPR человек имеет право на:

  • знание о том, как будут обрабатываться ПД;
  • доступ к своим персональным данным;
  • изменение своих ПД;
  • забвение (удаление) физическим лицом персональных данных;
  • выгрузку ПД.

В случае утечки данных, Вы обязаны в течение 72 часов после обнаружения проблемы уведомить об этом надзорный орган, которому помимо самого факта утечки Вы обязаны доложить, о каких объемах “утекшей” информации идет речь, удалось ли выявить причину утечки и какие мероприятия проводятся с целью минимизации последствий.

Вот три важнейших пункта, на которые Вам стоит обратить внимание в первую очередь. Повторимся, что в идеале Вам необходимо воспользоваться услугами специалиста в сфере GDPR — он поможет Вам найти пробелы и подскажет, что необходимо сделать для их ликвидации.

Три шага для самостоятельной проверки Вашего бизнеса на соответствие регламента GDPRВ последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *