Что такое GDPR

Как GDPR скажется на разработчиках и маркетологах и что делать, чтобы соответствовать новым правилам   

Все уже слышали, что 25 мая вступил в силу GDPR (англ. General Data Protection Regulation) — регламент по защите персональных данных граждан Европейского союза. Чтобы сохранить конфиденциальность личных данных граждан ЕС и уменьшить число краж цифровых личностей, европарламентарии усилили контроль над сбором и использованием персональных данных. Они расширили их перечень, предоставили новые права пользователям и наложили новые обязательства на юридические лица. Попробуем разобраться.

Что имеется в виду под персональными данными

По версии GDPR персональные данные — это данные, которые или сразу идентифицируют личность (ФИО, идентификационный номер, генетический код и т. д.), или могут помочь ее установить (IP-адрес, место работы и т. д.).  

Теперь к персональным данным относится даже та информация, которая дополняет портрет человека: образование, состояние здоровья, сексуальная ориентация, политические взгляды, финансовые операции, привычки. Например, Facebook с его доступом к фото, истории SMS на Android-устройствах, к списку установленных приложений и даже к списку онлайн-покупок может знать о человеке практически всё перечисленное и однозначно нарушает GDPR. Как говорят аналитики, регламент направлен в первую очередь на интернет-гигантов типа Facebook и Google.

Что поменяется для компаний с введением GDPR

Главное, что нужно знать: сбор и обработка персональных данных не запрещается совсем, но к этим процессам выдвигаются новые требования.

1. Информация должна собираться законно, справедливо и прозрачно. Это значит, что компании должны объяснять пользователям, какие данные они собирают, для чего им нужна эта информация, как она будет использоваться, кому передаваться, какое время храниться. Всё это нужно изложить в четкой и доступной форме. Больше никаких сложных или путанных формулировок и юридического жаргона в Privacy Policy.

2. Собирать и обрабатывать персональные данные можно только после того, как пользователь даст на это явное согласие. Пользователь должен совершить активное действие — поставить галочку и нажать соответствующую кнопку рядом с текстом, где четко написано, на что он подписывается.

Без явного согласия пользователя обрабатывать его данные запрещается. Например, если декларируется, что email нужен для идентификации, а под шумок его включают в базу данных рассылки, это нарушение.

Кстати, если собирается информация о несовершеннолетних, необходимо согласие их родителей.

3. Компании должны надежно защищать персональные данные пользователей от утечки, повреждения или уничтожения. GDPR не указывает, какие именно меры принимать, главное — результат.

Другие нововведения GDPR:

Минимальный объем запрашиваемых данных и ограничение срока их хранения. GDPR призывает собирать только те данные, которые необходимы для предоставления услуги и работы продукта. Если компания запрашивает больше информации, чем требуется для оказания услуги, она должна давать пользователю выбор — предоставлять дополнительные сведения или нет. Если данные больше не нужны для целей, для которых они собирались, их следует удалять. Например, если человек разорвал контракт с сотовым оператором, тот должен удалить всю информацию о нем. Компании должны мониторить и чистить свои базы, а также следить за актуальностью данных о пользователях.

Точки коммуникации. Это некий способ реализовать новые права пользователей:

- запросить данные о себе, которые хранит сервис;

- отозвать согласие на обработку данных;

- отредактировать или удалить (право на забвение) данные по запросу;

- попросить передать все данные, которые хранит сервис, третьей стороне.

Без точек коммуникации могут обойтись сервисы, которые собирают анонимизированные данные. Всем остальным придется отвечать на подобные запросы пользователей.

Стоп-машина. Среди прочего пользователи могут возражать против того, что их данные будут обрабатываться автоматически и на основе этого анализа сервис будет принимать какие-то решения. Например, если профиль физического лица составил робот без участия человека и потенциальному заемщику отказали в кредите, тот может оспорить это решение.

Штатный или внештатный специалист по защите персональных данных. Это человек, который следит за соблюдением регламента. Должность нужна в тех компаниях, которые оперируют большими объемами данных. Критерий масштабности не определен четко, но можно танцевать от 5000 тысяч записей и 250 сотрудников.

Сообщение об утечке. Если произошла утечка персональных данных, компания обязана в течение трех суток сообщить регулятору, как это произошло, каков объем утечки и что делается для смягчения ущерба. Если утечка связана с высоким риском для пользователей, компания должна проинформировать пострадавших.

Кого касаются новые правила

Хотя регламент европейский, он затрагивает всех, кто так или иначе собирает или обрабатывает персональные данные граждан Евросоюза. Если компания зарегистрирована в условной Камбодже, но ее сайт посещают европейцы, она должна соблюдать GDPR.

По каким формальным признакам определить, касается ли вас регламент? Их три:

- описание ваших товаров или услуг адаптировано на европейские языки;

- услуги или товары оплачиваются в валютах европейских стран;

- услуги или товары предоставляются на национальных доменах верхнего уровня государств ЕС.   

Но даже тем, кто ни в чем таком не замечен, но связан с европейцами через третьи лица, нужно принять меры, чтобы не лишиться клиентов. Дело в том, что регламент обязывает европейские юрлица проверять всю цепочку своих поставщиков. С теми, кто не соблюдает GDPR, европейцы будут прощаться, чтобы самим не подставляться.

Что грозит за нарушение GDPR

Законы о защите персональных данных существовали и раньше, но именно GDPR наделал столько шума по трем причинам: из-за своей глобальности, требования оповещать об утечке данных и размеров штрафов для нарушителей.

Суммы будут определяться в каждом конкретном случае, но в регламенте обозначен потолок штрафов для двух типов нарушений.

Если, например, нарушены технические нормы по работе с данными, штраф может составить 10 млн евро или 2% от оборота предыдущего финансового года.

А вот если компания посягнула на права пользователей или передала кому-то данные, она может «влететь» на 20 млн евро или 4% от оборота предыдущего финансового года.

За незначительные нарушения полагается сначала предупреждение. И, кстати, уплата штрафа не освобождает от соблюдения GDPR.  

Что делать, чтобы не нарушать регламент

Вот несколько советов, как привести информационные системы в соответствие с GDPR:

  1.   Оценивайте последствия защиты персональных данных до разработки ПО или нового функционала. Это обязательная процедура, которая позволит учесть все риски при разработке и встроить защиту пользовательской информации в ядро системы.
  1.   Ограничьте перечень собираемых персональных данных. Пересмотрите принцип «любая информация о пользователе пригодится» и умерьте аппетиты.
  1.   Ведите реестр данных. Вам нужно вести детальный учет всей личной информации пользователей: знать ее местоположение, ответственного за файлы или процесс, уровни доступа к данным, риски и значимость файлов и т.д.
  1.   Разработайте новую политику конфиденциальности. В документе опишите простым языком всё, что мы перечислили выше, включая права пользователя, подрядчиков, которые участвуют в обработке персональных данных, и меры безопасности, которые принимаются для сохранения конфиденциальности. Кроме того, вам нужно четко разграничить согласие с правилами пользования и согласие на сбор информации для разных целей. Например, получить email нужно для предоставления услуги (обязательно), а собирать информацию об активности пользователя в интернете — для разработки персонального предложения (не обязательно). Важно: одна цель — одно поле — одна галочка!
  1.   Получите согласие на обработку данных от старых пользователей. Если у вас нет доказательств, что пользователь, к примеру, осознанно подписался на рассылку, отправьте ему письмо с разъяснением и просьбой подтвердить подписку.
  1.   Получите согласие на использование сайтом cookies. Добавьте всплывающее окно с объяснением, зачем вы используете cookies, разместите там ссылку на Privacy Policy и кнопку ОК. Окно не должно исчезать, пока пользователь не нажмет на кнопку.
  1.   Добавьте в личном кабинете пользователя вкладку для просмотра данных и отправки запросов. Там должно быть указано всё, что вы знаете о пользователе, а также форма запроса на редактирование или удаление информации.
  1.   Используйте для обработки ПО, которое отвечает условиям privacy by design и privacy by default. Первое значит, что софт использует шифрование и анонимизацию пользователей. Второе — что при установке программы пользователю должны предлагаться максимальные настройки безопасности. Дальше он, осознавая риски, может убирать галочки.
  1.   Внедрите систему информационной безопасности в компании. Храните данные на защищенных серверах, разграничивайте уровни доступа, используйте DLP-решения, проводите семинары для сотрудников и принимайте другие меры для защиты данных.   
  1. Не связывайтесь с недобросовестными подрядчиками и следите, чтобы партнеры, которые участвуют в обработке данных ваших пользователей, соблюдали регламент. Это касается, в частности, компаний, чьи плагины вы используете.
  1. Фиксируйте всю работу с данными. По требованиям GDPR все меры, которые вы принимаете для защиты данных, должны быть задокументированы. Описывайте, что именно вы делаете: от оценки последствий защиты и ведения реестра до технических решений, положений и внутренних правил.

Solar Digital — диджитал-агентство, которое занимается в том числе разработкой. Нас, как и другие компании с зарубежными клиентами, затрагивает GDPR, поэтому мы решили разобраться с нововведениями, чтобы не нарушать правила самим и уберечь от этого партнеров. Но мы не юристы и в этом посте не могли учесть все нюансы регламента, который расписан на 261 странице. Советуем вам привлекать квалифицированных юристов на всех этапах изменения своей системы безопасности, включая написание новой политики конфиденциальности.