Чек-лист для стартапов: 12 шагов к соблюдению GDPR

Содержание:

• Что такое GDPR?
• Кто должен выполнять требования GDPR?
• Чем отличаются требования GDPR к стартапам?
• 12 шагов к соблюдению GDPR 
  • Проведите аудит данных 
  • Ограничьте сбор данных через контактные формы
  • Предоставьте формы для активного согласия
  • Следите за актуальностью списка для рассылки
  • Дважды запрашивайте согласие на отправку рассылок
  • Используйте одобренные CMS и плагины
  • Храните данные в безопасных местах
  • Обеспечьте доступ и переносимость данных
  • Настройте политику приватности
  • Запустите баннер согласия на использование cookies
  • Защитите данные от взлома

• Применение законов о защите персональных данных в некоторых странах ЕС 
  • Чехия
  • Франция
  • Германия
  • Италия
  • Венгрия

Что такое GDPR?

GDPR (General Data Protection Regulation) — общий регламент по защите данных, принятый Европейским союзом в 2018 году. Его цель — обезопасить конфиденциальность пользователей в интернете. Различные вариации этого регламента действуют во всех странах-членах ЕС.

Персональными данными считается любая информация, относящаяся к идентифицированному или идентифицируемому живому человеку («субъекту персональных данных»). К ней относятся:

• имя;
• домашний адрес;
• адрес электронной почты;
• номера удостоверений личности, например социального страхования и паспорта;
• данные о местоположении, такие как геолокация в телефоне;
• IP-адрес;
• история поиска и браузера;
• биометрические данные и информация, связанная со здоровем;
• этническая информация;
• политические и религиозные убеждения;
• сексуальная ориентация.

В требованиях GDPR последние четыре пункта относятся к специальной категории — конфиденциальные персональные данные. Если сайт обрабатывает какой-либо из этих типов данных, потребуется соблюдать особые условия: запросить явное согласие на их обработку и иметь на это весомые цели.

Кто должен выполнять требования GDPR?

GDPR распространяется на все сайты, которые собирают данные пользователей из Европейского Союза — даже те, что находятся за пределами ЕС. Владелец интернет-бизнеса не может знать наверняка, находятся ли в ЕС пользователи, с которыми он взаимодействует. Поэтому все онлайн-компании должны соблюдать GDPR в качестве защитной меры.

Согласно требованиям GDPR, владельцы и операторы сайтов несут юридическую ответственность за то, чтобы персональные данные собирались и обрабатывались законным путем. Персональными данными занимаются компании из двух категорий.

Контроллеры данных — это, согласно определению GDPR, любой человек, государственный орган, агентство и прочее учреждение, которое решает, как и для каких целей персональные данные будут обрабатываться.

Пример. С помощью цифрового экрана в комнате ожидания музыкальная школа оповещает родителей о том, в каком кабинете будет проходить занятие. На экране отображается имя ребенка и номер кабинета. Музыкальная школа классифицируется как «контроллер» — она определяет, как система уведомлений обрабатывает данные.

Обработчики данных — это, согласно определению GDPR, любой человек, государственный орган, агентство и прочее учреждение, которое обрабатывает персональные данные по поручению контроллера.

Пример. Компания по разработке ПО нанимает маркетолога для проведения email-кампании. Он получает список имен и email-адресов потенциальных клиентов и должен прислать каждому персонализированное «холодное» письмо. Компания считается контроллером, определяющим способ обработки данных, а маркетолог — обработчиком, следующим ее указаниям.

И хотя обработчики просто следуют инструкциям, они также должны соответствовать требованиям GDPR, поскольку работают с личными данными.

Чем отличаются требования GDPR к стартапам?

Стартапы могут иметь преимущества в двух случаях.

Если в компании работает менее 250 сотрудников, то она не обязана вести учет данных и их обработки. Исключения — обработка ставит под угрозу права отдельных лиц, не проводится регулярно или включает особые категории данных (пол, расовое и этническое происхождения, политические взгляды и информацию о здоровье).

Кроме того, Data Protection Officer или DPO (ответственный за организацию обработки персональных данных) необходим только при крупномасштабной обработке персональных данных, что, как правило, не актуально для стартапов. Если вы планируете расширять бизнес, то назначать DPO можно по мере необходимости.

12 шагов к соблюдению GDPR

Эта инструкция позволит привести бизнес в соответствие требованиям законодательства.

Проведите аудит данных

Для этого задайте себе и своей команде следующие вопросы.

• Какие личные данные вы храните? Включают ли они конфиденциальные персональные данные? Если да, то как обеспечивается их безопасность?
• Собирает ли сайт персональные данные несовершеннолетних лиц (моложе 16 лет)? Для каких целей они нужны?
• Где хранятся личные данные и кто имеет к ним доступ?
• Отвечают ли за хранение третьи лица? Если да, то как вы контролируете обработку данных?
• Находятся ли эти третьи лица за пределами Европейской экономической зоны? Если да, то каким образом они защищают ваши данные? 
• Как долго должны храниться персональные данные? Можно ли удалить их частично или анонимизировать?

Определите юридические основания для сбора данных

GDPR предусматривает шесть правовых оснований для обработки данных:

• согласие;
• выполнение контракта;
• законный интерес;
• жизненный интерес;
• юридическое требование;
• общественный интерес.

Важно определить законные основания для обработки всех собираемых данных, поскольку GDPR обязывает компании документировать эту информацию и предоставлять ее пользователям. Эти подробности также должны быть описаны в политике конфиденциальности. 

Кроме того, бизнес должен иметь возможность в любой момент продемонстрировать правовые основания для обработки данных внутри компании, пользователям и регулирующим органам.

Ограничьте сбор данных через контактные формы

Если на сайте расположены формы, собирающие персональные данные (опросы, контактные формы или подписки), доработайте их следующим образом.

• Дополните их положением о конфиденциальности, которое сообщает, зачем запрашиваются данные и для каких целей они будут использоваться. Объясните, что пользователь в любой момент может отозвать согласие.
• Включите опцию выбора, например неотмеченный флажок или неактивированный переключатель, чтобы получить согласие на сбор данных.
• Добавьте флажок (или аналогичный вариант), позволяющий человеку выбрать, хочет ли он получать от вас письма.

Помимо этого, стоит добавить ссылку на политику конфиденциальности.

Предоставьте формы для активного согласия

Согласно GDPR, согласие должно быть добровольным, конкретным и проинформированным. Это означает, что контактные формы должны объяснять, зачем сайт запрашивает определенную информацию.

Контактные формы для оформления подписки должны включать способ предоставить согласие, например поставить галочку. Это позволяет убедиться, что пользователь принял условия использования сайта и согласен на получение рассылки.

Следите за актуальностью списка для рассылки

Если в списке для рассылки присутствуют граждане ЕС, его также нужно проверить на соответствие требованиям GDPR.

Если списки для рассылки приобретены у третьих лиц, важно убедиться, что пользователи дали на это согласие, иначе GDPR будет нарушен. Рекомендуется автоматически исключать из списка тех, кто не давал согласия.

Если для отправки новостных рассылок применяются сервисы для email-маркетинга, то потребуется разрешение от пользователей. Рекомендуется использовать процедуру двойного согласия, при которой после подачи заявки на сайте нужно подтвердить адрес электронной почты (подробнее об этом — в следующем пункте).

У пользователей должна быть возможность в любой момент отказаться от получения рассылки. Для этого каждое письмо должно содержать ссылку на отмену подписки.

Дважды запрашивайте согласие на отправку рассылок

Чтобы с уверенностью подтвердить, что все подписчики согласны на получение рассылок, следует включить процесс двойного согласия. В таком случае пользователь добавляется в список для рассылки только после того, как подтвердит согласие дважды — при заполнении формы и при переходе по ссылке подтверждения из письма, которое отправляется автоматически после заполнения формы.

Это не обязательное требование, но настоятельная рекомендация. Этот процесс позволяет точно подтвердить, что пользователь согласен на передачу своих данных, и демонстрирует приверженность компании стандартам, устанавливаемым GDPR. 

Используйте одобренные CMS и плагины

Системы управления контентом (CMS, content management system) также должны соответствовать требованиям GDPR. В популярных платформах, таких как WordPress, Wix, Joomla и Squarespace, встроены механизмы для соблюдения этих правил.

Если система CMS не поддерживает эти функции, то, вероятно, потребуется добавить код, расширения, плагины или ПО, которые помогут обеспечить соответствие требованиям.

Многие плагины для WordPress используют персональные данные, а некоторые даже добавляют собственные файлы cookie на сайт для различных целей. Все они должны соответствовать GDPR независимо от того, какие функции предоставляют: контактные формы, аналитику, SEO или резервное копирование и хранение. Плагины также не должны хранить данные, вносимые пользователями, в своей базе.

Кроме того, не забудьте перечислить плагины, используемые на сайте, в политике конфиденциальности.

Храните данные в безопасных местах

Согласно требованиям GDPR, все собираемые данные должны храниться либо на территории ЕС, либо регулироваться европейскими законами о конфиденциальности. 

Согласно отчету Netskope, даже совсем небольшие компании в среднем используют 258 облачных приложений. При этом важно учитывать, к каким данным могут получать доступ облачные сервисы.

При работе с крупными облачными поставщиками, такими как Microsoft, AWS и Google, проблем не возникнет, поскольку они предлагают датацентры по всему миру. Если вы пользуетесь другими SaaS-сервисами, проверьте, соблюдают ли они требование о суверенитете данных.

Обеспечьте доступ и переносимость данных

Пользователи имеют право получать информацию о том, какие данные о них хранит сайт, а также запрашивать их корректировку и удаление в любое время. Эти опции должны быть легко доступны, а также описаны в политике конфиденциальности.

GDPR не уточняет способ раскрытия этой информации. Один из возможных вариантов — добавить ссылку или кнопку в нижней части всех страниц или создать отдельную страницу с более подробной информацией об управлении данными. Некоторые сайты также предоставляют электронную почту, на которую можно отправить такой запрос.

Настройте политику приватности

Политика конфиденциальности должна быть описана простым и понятным языком и доступна по ссылке на каждой странице сайта (даже на тех, где не происходит сбор персональных данных).

Основная цель политики конфиденциальности — проинформировать посетителей о том, как сайт собирает, использует, хранит и раскрывает их личные данные. Кроме того, она должна объяснять права пользователей (в том числе возможность получать доступ к персональным данным и запрашивать их удаление) и ваши обязательства перед ними.

Запустите баннер согласия на использование cookies

В зависимости от толкования закона в определенной стране, может быть достаточно получить лишь «молчаливое согласие».

В таком случае каждому пользователю не придется нажимать «принять», чтобы получить доступ к сайту. Вместо этого будет отображаться короткое сообщение, информирующее об использовании файлов cookie. По истечении заданного периода времени, например нескольких секунд, сообщение может исчезнуть. Если пользователь остается на сайте, то его согласие получено.

Прежде чем выбирать этот подход, следует проконсультироваться с местным регулирующим органом.

Защитите данные от взлома

Подумайте о том, чтобы добавить на сайт протокол HTTPS, чтобы зашифровать все данные пользователей. Лучше всего, как рекомендует GDPR, использовать анонимизацию или всевдонимизацию.

Удалите данные, которые больше не используются, чтобы максимально сократить их объем. Регулярно сканируйте системы, устройства и сети на наличие уязвимостей — это позволит выявлять возможные пробелы в безопасности.

Также важно разработать внутренние правила отчетности об утечках данных. Если это произойдет, вам потребуется связаться с управлением по защите данных в течение 72 часов с того момента, как об инциденте станет известно. Кроме того, вы должны быть готовы как можно скорее уведомить клиентов, которых могла затронуть утечка.

Применение законов о защите персональных данных в некоторых странах ЕС

GDPR предусматривает большинство юридических обязательств. Тем не менее государства-члены ЕС могут разрабатывать собственные положения о том, как регламент применяется в их стране. Вот несколько примеров.

Чехия

Порядок сбора персональных данных в Чешской Республике регулируется законом № 101/2000 Coll. о защите личных данных (Act No. 101/2000 Coll. on the Protection of Personal Data). Если компания собирает информацию, относящуюся к идентифицируемому человеку, его необходимо проинформировать о том, по каким причинам и каким образом собираются данные, а также запросить его согласие.

Франция

Закон о защите данных (Data Protection Act, DPA) 1978 года, пересмотренный в 2004 году, — основной закон, защищающий конфиденциальность данных во Франции. Кодекс почтовых и электронных коммуникаций (Postal and Electronics Communications Code) также затрагивает сбор персональных данных, если они используются для отправки электронных сообщений.

DPA применяется к сбору любой информации, с помощью которой можно идентифицировать человека. Правила затрагивают тех, кто находится во Франции или ведет деятельность во французском учреждении (например, если в стране находится поставщик хостинг-сервера или других услуг, который занимается сбором и обработкой данных).

Именно по этой причине в 2014 году французский орган по защите данных смог оштрафовать Google за нарушение законов о конфиденциальности.

Чтобы обрабатывать любые персональные данные, необходимо получить разрешение их субъекта и предоставить ему некоторые детали. В их числе — для каких целей и кем они будут обрабатываться (личные данные и адрес контроллера), как долго будут храниться, кто может получить к ним доступ и как они защищены.

Германия

Федеральный закон о защите данных (Federal Data Protection Act), принятый в Германии в 2001 году, запрещает сбор персональных данных любого типа, в том числе IP-адресов компьютеров, без явного согласия субъекта. Кроме того, данные нужно получать напрямую от субъекта — к примеру, покупка списков для рассылки у третьих лиц считается незаконной.

Согласно разделу о принципе прозрачности (Principle of Transparency), субъект должен быть проинформирован о сборе данных и его цели. Данные, собранные для определенной цели, недопустимо использовать для других без дополнительного согласия.

Эти законы применяются к любому сбору данных на территории Германии. Их соблюдение обеспечивают Федеральное агентство по защите данных и 16 отдельных государственных органов.

Италия

Кодекс защиты персональных данных Италии (Data Protection Code) накладывает строгие правила по отношению к цифровому маркетингу. Чтобы отслеживать действия пользователя и использовать его данные для рекламы и маркетинга, необходимо получить его согласие. При этом он должен быть осведомлен о том, для каких целей и какими способами будут обрабатываться данные, а также какими правами он обладает в соответствии с законом.

Права физических лиц в отношении конфиденциальности их персональных данных защищает итальянский Орган по защите данных (Data Protection Authority). За нарушения он может налагать штрафы: так, например, в 2013 году Google грозил штраф в размере около $1,1 млн.

Венгрия

В Венгрии конфиденциальность личных данных защищается законом № LXIII о защите личных данных и раскрытии информации публичного интереса 1992 года (Act LXIII of 1992 on the Protection of Personal Data and the Publicity of Data of Public Interests). Его основная цель — предоставить физическим лицам контроль над собственными данными.

Согласно этому закону, чтобы обрабатывать и собирать персональные данные, необходимо получить согласие и иметь конкретную цель. Также нужно проинформировать пользователя о том, что передача персональных данных является добровольной.

Если компания нарушает закон, пользователи могут подать на нее в суд. В таком случае она может понести ответственность за любой ущерб, причиненный из-за неправильного обращения с данными.

В статье использована информация из следующих источников:

Privacypolicies.com, Cookieyes.com, Upguard.com, Cookieyes.com, Cookiebot.com, Privacypolicies.com

Фото на обложке: Ivan Marc / Shutterstock