Сайты, работающие с клиентами из стран ЕС, с недавних пор могут получить штрафы до 20 млн евро, если не начнут соблюдать новый регламент о персональных данных GDPR. Пострадавших пока нет, но это не повод нарушать закон. Лучше перестраховаться :-)
General Data Protection Regulation (GDPR) — это экстерриториальный регламент, защищающий безопасность данных всех граждан стран ЕС. Если вы собираете, храните или обрабатываете персональные данные (в том числе cookies) хотя бы одного клиента из Европы, вы должны соблюдать регламент вне зависимости от того, где зарегистрирован сайт и компания.
Если у вас сайт, который работает исключительно по России, вы можете не переживать о соблюдении требований GDPR. Тем не менее, не надо забывать, что в России действует 152-ФЗ «О персональных данных» (обновленная версия вступила в силу 1 июля 2017), который в чем-то повторяет требования GDPR и также ограничивает работу с персональной информацией клиентов.
Что является персональными данными
Конкретного перечня информации, которая считается персональными данными, нигде не приводится. Под персональными данными понимается любая информация о человеке, по которой можно установить его личность прямым или косвенным способом.
Основные принципы регламента и права субъектов персональных данных
Коротко все правила можно сформулировать как открытость и уважение к личной информации ваших клиентов. Вот пять основных принципов:
- Принцип законности, справедливости и прозрачности: открыто объявляйте обо всех методах сбора и обработки персональных данных в своей политике конфиденциальности.
- Принцип ограничения цели: четко обозначьте, зачем вы собираете эти данные.
- Принцип ограничения хранения: укажите срок хранения — нельзя хранить персональные данные дольше, чем вам требуется для достижения обозначенных целей.
- Принцип минимизации данных: разрешено собирать только необходимый для ваших целей минимум.
- Принцип целостности, конфиденциальности и точности собираемых данных. Данные должны быть корректны и конфиденциальны.
Таким образом, у каждого жителя стран ЕС появляется ряд прав, которые вы обязаны соблюдать:
- знать, что собираются персональные данные (какие, для каких целей и как долго они будут храниться);
- запрашивать их у компании;
- требовать удалить все данные (так называемое право на забвение).
Что необходимо предпринять владельцу сайта
- Проверить, что CRM система, которой вы пользуетесь, обеспечивает основные права ваших клиентов, то есть позволяет вам:
- предоставить информацию о собранных персональных данных,
- изменять и дополнять ее;
- удалять данные по запросу.
Интересно, что появилось такое понятие как «право на переносимость данных» (right to data portability). Это значит, что по требованию субъекта персональных данных вы должны передать все его данные третьей организации — так упрощается переход клиента от одной компании к другой. Будьте к этому готовы.
- Предупреждайте о сборе информации. Достаточно расположить внизу страницы плашку с текстом в духе «мы собираем файлы cookies для персонализации контента на сайте. Продолжая использовать сайт, вы соглашаетесь с этим».
- Запрашивать подтверждение на отправку рассылки. В емейл-маркетинге это называется double opt-in. Отправляя письмо с текстом «нажмите на кнопку, чтобы подтвердить согласие на рассылку», вы в явном виде получаете согласие пользователя и доказываете, что получили этот емейл честным путем (а не купили, например, спам-базу).
Вот стандартное double opt-in письмо Mailchimp:
- Спрашивать у пользователей согласие на сбор персональных данных. GDPR требует, чтобы пользователи давали свое согласие на обработку персональных данных в явном виде (как в примере выше). Для этого разместите рядом с формой сбора данных галочку, нажимая на которую пользователь соглашается на обработку его персональных данных. Обратите внимание, что эта галочка не может быть нажата по умолчанию — пользователь должен сделать это самостоятельно.
- Сообщать о потере данных. За персональными данными ваших клиентов надо очень внимательно следить и хранить их в надежном месте. Если данные попадут к третьим лицам, которым они не предназначались (вас взломают, произойдет утечка по невнимательности или неосторожности или вы потеряете их любым другим способом), вы должны сообщить об этом пользователям в течение пяти дней. Конечно, это не будет таким крупным событием как нашумевшая в марте утечка Facebook, но приятного все же мало.
Что будет за несоблюдение правил
Как и в любых нарушениях, будет рассматриваться тяжесть, количество пострадавших и причины. Максимальный штраф за нарушение реглмента может достигать двадцати миллионов евро или 4 % от годового оборота компании. Однако не впадайте сразу в панику — это максимальная планка, которая точно не будет применена при первом нарушении. Первый раз вам, скорее всего, вынесут предупреждение и потребуют привести все в соответствие регламенту. Вы также можете получить запрет или ограничение на обработку персональных данных, и только в крайнем случае штраф (не обязательно многомиллионный).
Кроме этого, несоблюдение законов может ударить по вашей репутации и доверии к компании. Никто не хочет подписаться на вашу рассылку, а потом получать непонятный контент от сторонних организаций.
Для защиты прав пользователей в каждой стране ЕС созданы специальные органы Data Protection Authorities (DPA), а страны, которые не входят в ЕС, должны назначить представителя в Европе, который будет взаимодействовать с DPA. Подробности работы со странами, не назначившими представителя, не раскрываются. Также не до конца известно, каким образом компании вне ЕС будут нести ответственность за нарушения. Но важно понимать, что, несмотря на эту неясность, игнорировать регламент не стоит.
Прецедентов по этому закону пока не было. Тем не менее, лучше выполнить все предписания и быть уверенным в себе.