Как не получать штрафы от европейских чиновников при обработке персональных данных пользователей из ЕС?

Если вы обрабатываете персональные данные пользователей из Европейского Союза, вам необходимо соблюдать GDPR, а для этого вам необходимо иметь политику конфиденциальности, соответствующую GDPR.

Штрафы за несоблюдение требований GDPR могут доходить до десятков миллионов долларов в зависимости от серьезности вашего нарушения (Дело Google).

GDPR — это закон, действующий с 25 мая 2018 года, принятый ЕС, но затрагивающий компании по всему миру, GDPR дает пользователям больше прав в отношении персональных данных, которыми они делятся с компаниями.

GDPR направлен на защиту прав пользователей в Европейской экономической зоне (ЕЭЗ). В ЕЭЗ входят ЕС, Исландия, Лихтенштейн и Норвегия. Кроме того, GDPR распространяется на пользователей в Швейцарии.

Понимание основ GDPR имеет решающее значение для любого проекта, который присутствует собирает персональные данные от граждан ЕЭЗ, поскольку закон в равной степени применяется к компаниям независимо от страны регистрации.

Поскольку GDPR применяется к компаниям по всему миру, вы можете подпадать под его действие. Необходимость соблюдения GDPR будет зависеть от ваших ответов на следующие вопросы:

1. Собираю ли я персональные данные пользователей?

Персональные данные включают в себя имена, адреса электронной почты, данные банковских карт, данные устройства и другую информацию, которая относится к прямо или косвенно к субъекту персональных данных. Если вы используете cookie, принимаете онлайн-платежи, храните учетные записи пользователей или отправляете сообщения пользователям вашего ресурса по электронной почте, вы собираете персональные данные.

2. Есть ли у вас пользователи из ЕЭЗ?

Если в настоящее время у вас есть пользователи из ЕС, Исландии, Лихтенштейна, Норвегии или Швейцарии, и вы собираете их персональные данные — вы должны соблюдать GDPR.

Имейте в виду, что, если вы в настоящее время отвечаете «нет» на один из двух вопросов выше, но планируете собирать персональные данные от пользователей из ЕЭЗ в будущем, вам необходимо как можно скорее подготовиться к соблюдению GDPR.

Нужна ли мне политика конфиденциальности для соблюдения GDPR?

Чтобы соответствовать GDPR, вам нужна политика конфиденциальности. Руководящие принципы GDPR сосредоточены на прозрачности механизма взаимодействия с персональными данными пользователей, поэтому компании должны четко объяснять, как они собирают, передают и обрабатывают пользовательские данные в своих политиках конфиденциальности.

Три статьи GDPR касаются требований к политике конфиденциальности:

● Статья 12. Информация должна быть предоставлена в письменной форме или другими способами, в том числе, при необходимости, электронными средствами.

● Статья 13. Если вы собираете данные пользователей, вам необходимо предоставить им определенную информацию, такую как ваши контактные данные и цели обработки их данных.

● Статья 14. Если данные не собираются напрямую от пользователя, вам необходимо предоставить подробную информацию о соответствующих третьих лицах.

Согласно GDPR Recital 58, эти требования могут быть исполнены путем предоставления информации в электронной форме через ваш веб-сайт.

Наличие политики конфиденциальности также является требованием Закона Калифорнии о защите конфиденциальности в Интернете (CalOPPA) и Закона Калифорнии о конфиденциальности потребителей (CCPA). Эти законы вам также необходимо соблюдать, если вы выходите на американский рынок.

Если вы также ведете деятельность в Германии, Австрии или Швейцарии, по закону на вашем веб-сайте должны быть размещены импрессум, а также политика конфиденциальности. Обычно компании предпочитают объединить эти два документа в один — политику конфиденциальности.

Что из себя представляет политика конфиденциальности, соответствующая GDPR?

Политика конфиденциальности GDPR — это информация на вашем ресурсе, в котором четко объясняется, как вы обрабатываете персональные данные пользователей из ЕЭЗ.

Ваша политика конфиденциальности должна быть понятной среднему пользователю, должна давать ему четкое представление о том, как вы обрабатываете его данные и какие права пользователи имеют в отношении их данных. Политика должна содержать конкретные положения, касающиеся того, как вы собираете, передаете и обрабатываете данные.

Требования к политике конфиденциальности GDPR

Два основных требования к вашей политике конфиденциальности GDPR — это то, что она должна быть ясной, прозрачной и ориентированной на пользователя.

Хотя использование технических терминов в политике конфиденциальности неизбежно, информация должна быть краткой и не должна быть спрятана между строк. Сложный для понимания юридический язык и ненужный мелкий шрифт в политике конфиденциальности недопустимы.

Официальные руководящие принципы прозрачности GDPR объясняют, что политика конфиденциальности должна быть интуитивно понятной, иметь логическую структуру текста и иметь удобную навигацию внутри документа.

Политика конфиденциальности, соответствующая GDPR, должна содержать следующие конкретные положения:

Контактные данные следующих лиц должны быть включены в вашу политику конфиденциальности:

● Контролер данных. Это лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Примеры: социальная сеть, мобильная игра, сайт доставки еды.

● Процессор данных. Лицо, которое обрабатывает персональные данные от имени и по поручению контролера, например, поставщик облачных услуг.

● Представители ЕС (если применимо). Если вы обрабатываете большие объемы данных или конфиденциальные персональные данные, вам может потребоваться назначить представителя ЕС.

● Должностное лицо по защите данных (DPO) (если применимо). Должностное лицо, отвечающее за соблюдение GDPR. Вам нужен DPO, если вы являетесь государственным органом или ваш бизнес обрабатывает большие объемы данных в качестве основного вида деятельности. DPO выступает в качестве ответственного за безопасность и следит за соблюдением требований GDPR в вашей компании.

Если вы внедряете систему автоматизированного принятия решений / профилирования, важно указать в своей политике конфиденциальности, как и почему вы принимаете такие решения или профилируете.

GDPR требует, чтобы компании сообщали, кто участвует в обработке данных. Вам необходимо указать все категории третьих лиц, партнеров и аффилированных лиц, которым могут передаваться данные пользователей.

Если вы используете несколько процессоров данных, мы рекомендуем напрямую ссылаться на их политики конфиденциальности в рамках вашей политики.

Статья 6 GDPR устанавливает следующие шесть правовых оснований для законной обработки данных. Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

● Получено согласие на обработку персональных данных;

● Обработка необходима для исполнения договора, в котором субъект данных является стороной, или для реализации, по поручению субъекта данных, шагов, предшествующих заключению договора;

● Обработка необходима для выполнения правового обязательства, возложенного на контролёра;

● Обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица;

● Обработка необходима для выполнения задачи в публичном интересе или в рамках осуществления государственной власти, доверенной контролёру;

● Обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

Стандартная политика конфиденциальности GDPR должна указывать, какое из этих оснований применяется рядом с каждым действием по обработке данных.

В вашей политике конфиденциальности необходимо указать, в какие страны передаются данные и какие системы обеспечивают такую международную передачу.

Согласно GDPR, информация, собранная с помощью файлов cookie и других технологий отслеживания (таких как пиксельные теги), считается персональными данными.

Таким образом, файлы cookie должны быть указаны как метод сбора данных и обрабатываться так же, как и другие методы.

GDPR требует, чтобы вы указали, как долго будут храниться данные, и советует указать причины такого периода времени.

Статьи 12–22 GDPR устанавливают восемь основных прав субъектов данных:

1. Право на получение информации;

2. Право на доступ;

3. Право на уточнение (исправление);

4. Право на забвение;

5. Право на ограничение обработки данных;

6. Право на переносимость данных;

7. Право на возражение;

8. Право не подвергаться автоматизированному принятию решений.

Ваша политика конфиденциальности должна включать раздел, в котором перечислены основные права, предоставляемые GDPR.

Список прав субъектов персональных данных так же должен включать инструкции о том, как пользователи могут действовать, если пожелают реализовать свои права. Политика конфиденциальности GDPR должна содержать указания, информацию и соответствующие ссылки, чтобы помочь пользователям, которые хотят реализовать свое право.

Теперь вы должны лучше понимать, что такое политика конфиденциальности, а также все ключевые положения и характеристики, которые она должна включать, чтобы соответствовать GDPR.

Чтобы получить от нас бесплатный шаблон политики конфиденциальности GDPR, напишите нам в Telegram @ildar_shakirov или на почту ishakirov@txadvisory.ru.

Также юристы TX Advisory могут помочь вам привести действующую политику конфиденциальности вашего проекта в соответствии с законом, а также составить новую под ваши нужды.

Без политики конфиденциальности, соответствующей закону, ваш бизнес может оказаться под угрозой больших штрафов.