Как работать с персональными данными пользователей из Европы

Изменения, внесенные в законодательную базу Европейского Союза, могут обернуться сущим кошмаром для интернет-компаний и сайтов, работающих с клиентами из ЕС. Нарушение Закона повлечет за собой штрафные санкции – размер финансовой кары может достигать 20 миллионов евро. Чтобы исключить вероятность штрафов, следует строго соблюдать принятый в Европейском Союзе регламент о персональных данных. Он скрывается под загадочной аббревиатурой GDPR. На момент написания статьи информации о вынесенных штрафах не было, но стоит озаботиться изучением изменений о том, как работать с персональными данными, дабы не стать первым в печальном списке штрафников.

GDPR: Что скрывает аббревиатура

Под аббревиатурой GDPR скрывается словосочетания General Data Protection Regulation. Это особый экстерриториальный регламент, призванный стойко хранить безопасность персональных данных граждан стран, входящих в состав Европейского Союза.

Если используете на своём сайте файлы cookies, если собираете и храните персональные данные европейцев (даже одного человека, вашего прямого клиента из Европы), вы обязаны должным образом соблюдать GDPR. И абсолютно не важно, где именно зарегистрирована ваша компания – в ЕС или любой другой части земного шара.

Обратите внимание! Если вы работаете в стране, не входящей в состав Европейского Союза, то правила GDPR вас не касаются. Однако нужно помнить, что в пределах Российской Федерации действует свой Федеральный Закон «О персональных данных» (последнее обновление Закона – 01.07.2017). В нем некоторые статьи пересекаются и перекликаются с параметрами GDPR, что приводит к определенным ограничениям.

Персональные данные: что это

Что интересно, ни в одном источнике нет точного перечисления того, что можно считать персональными данными.

Но под ними подразумеваются любая информация о человеке, которая позволяет установить его личность, как прямо, так и косвенно.

В чем состоят главные принципы GDPR и как оговариваются права субъекта персональных данных

Если попытаться лаконично оговорить все правила, то достаточно будет двух параметров:

• открытость компании/сайта;
• уважение к личным данным пользователей вашего сайта.

Как работать с персональными данными: всего же выделяется 5-ть главных принципов, указанных в регламенте:

• Законность, прозрачность справедливость. Речь идет о том, чтобы открыто сообщать пользователям обо всех методах сбора персональной информации. Предупреждать об этом нужно в Политике конфиденциальности, опубликованной на сайте.
• Ограничение цели. Прямо говорите, для чего именно вам необходимы персональные данные.
• Ограничение хранения. Обязательно нужно указать, сколько именно будут храниться персональные данные. Их нельзя хранить у себя дольше, чем вам нужно для достижения оговоренных целей (пункт 2).
• Минимизация данных. Собирать, использовать и хранить можно лишь столько данных, сколько нужно для достижения целей.
• Целостность, конфиденциальность и точность данных. Данные должны быть собраны корректно, но и быть надежны защищены.

Учитывая изложенные принципы, следует отметить основные права, которыми теперь обладают граждане стран Европейского Союза. И вы обязаны строго их соблюдать.

1. Пользователи имеют право знать, что вы собираете персональные данные (а также, для чего вы это делаете и как долго собираетесь их хранить).

2. Пользователи имеют право в любой момент запросить у вас свои персональные данные.

3. Пользователи имеют право в любой момент попросить удалить собранные данные.

Как работать с персональными данными пользователей из Европы, чтобы не нарушать регламент GDPR

Читайте также: Как научиться зарабатывать: 10 советов от профи

Владельцы сайтов, работающие с клиентами из стран Европейского Союза, обязаны выполнить ряд действий, чтобы обезопасить себя от штрафов. И соблюдать законодательство.

Шаг №1

Убедиться, что используемая вами CRM-система, гарантированно обеспечивает все права пользователей/клиентов. То есть, система должна:

• демонстрировать пользователям информацию о том, что проводится сбор персональных данных;
• изменять/обновлять/дополнять такую информацию;
• проводить устранение данных по запросу пользователей.

Обратите внимание! В обновленном законе используется новый термин «Right to data portability». В переводе это означает «Право на переносимость данных». Суть состоит в том, что теперь, если человек, чьи данные вы собрали и храните у себя, потребует передать их третьему лицу (по сути – другой компании), вы обязаны будете так поступить. Этим термином, включенным в Закон, регламентируется и существенно облегчает  переход клиентов от одной компании к другой.

Шаг №2

Обязательно информируйте посетителей сайта о сборе информации. Для этого поместите внизу страницы сайта небольшую плашку с соответствующей надписью.

Шаг №3

Прежде, чем осуществлять почтовую рассылку любой информации, запросите у пользователей подтверждение на такие действия. Такая операция имеет название Double opt-in.

Для получения рассылки необходимо включить в текст письма соответствующий текст. Например, «Кликните по кнопке, чтобы согласиться с рассылкой». Это послужит подтверждением того, что вы получили электронный адрес пользователя легальным путём.

Шаг №4

Вы обязаны предварительно получить от пользователя согласие на сбор его персональных данных. Новый регламент GDPR указывает, что пользователи должны обязательно дать согласие на обработку персональных данных.

Чтобы получить разрешение на сбор персональных данных, рядом с соответствующей формой поместите квадратик с флажком, кликая по которому пользователь подтверждает свое решение.

Важно! По умолчанию квадратик должен стоять пустым. Клиент должен самостоятельно установить в нем флажок.

Шаг №5

Все собранные данные пользователей нужно надежно хранить и следить за их сохранностью. Если данные случайным образом попадут в руки третьих лиц, на протяжении 5-ти суток вы обязаны уведомить об этом пользователей.

Вот несколько причин, по которым вы можете потерять данные:

• взлом базы данных;
• утечка из-за невнимательности;
• потеря любым другим способом.

Как работать с персональными данными: что если вы не будете придерживаться регламента GDPR

При нарушении регламента вас ждут штрафные санкции и наказания. Максимальный размер штрафа равняется – 20 млн. евро или 4% годового глобального оборота компании. Но это максимально возможный размер штрафа.

Да и вообще – при определении размера штрафа учитывается несколько объективных факторов:

• тяжесть нарушения;
• число пострадавших людей;
• причины, по которым был нарушен регламент или, например, произошла потеря данных.

При первом нарушении, вероятно, вас ждет лишь предупреждение и требование привести все данные и способы сбора, хранения данных в соответствующий регламенту порядок. Конечно, если нарушение будет незначительным.

Также может быть наложен запрет или некоторые отдельные ограничения на обработку данных пользователей. И только после этого – штраф. Да и то не в несколько миллионов.

Важно! Нарушение Закона – это еще и удар по вашей репутации. А в Европе с ней строго! Можете быть уверенными, что доверие пользователей будет утеряно если не на всегда, то надолго. После этого вряд ли пользователи захотят подписываться на рассылку.

Как работать с персональными данными: кто защищает пользователей и их права

Для этого в каждой стране, входящей в состав Европейского Союза, созданы Data Protection Authorities – это специальные органы. Те же страны, которые не являются членами Европейского Союза, обязаны назначить уполномоченного представителя, который и станет взаимодействовать с органами ЕС.

Как будет осуществляться работа и взаимодействие со странами, не назначившими такого представителя, пока нигде не открывается.

Кроме того, на данный момент пока не понятно, как именно компании, не зарегистрированные на территории Европейского Союза, будут наказываться и нести ответственность за нарушение регламента. Однако даже такие неясности не должны вас призывать игнорировать регламент.

И хотя пока наказаний по данному регламенту вынесено не было, не стоит его нарушать. Чтобы не стать первым, кого накажут!