Как не получать штрафы от европейских чиновников при обработке персональных данных пользователей из ЕС?

Если вы обрабатываете персональные данные пользователей из Европейского Союза, вам необходимо соблюдать GDPR, а для этого вам необходимо иметь политику конфиденциальности, соответствующую GDPR.

Штрафы за несоблюдение требований GDPR могут доходить до десятков миллионов долларов в зависимости от серьезности вашего нарушения (Дело Google).

1. Что такое GDPR?

GDPR — это закон, действующий с 25 мая 2018 года, принятый ЕС, но затрагивающий компании по всему миру, GDPR дает пользователям больше прав в отношении персональных данных, которыми они делятся с компаниями.

GDPR направлен на защиту прав пользователей в Европейской экономической зоне (ЕЭЗ). В ЕЭЗ входят ЕС, Исландия, Лихтенштейн и Норвегия. Кроме того, GDPR распространяется на пользователей в Швейцарии.

Понимание основ GDPR имеет решающее значение для любого проекта, который присутствует собирает персональные данные от граждан ЕЭЗ, поскольку закон в равной степени применяется к компаниям независимо от страны регистрации.

2. Нужно ли вашему проекту соблюдать GDPR?

Поскольку GDPR применяется к компаниям по всему миру, вы можете подпадать под его действие. Необходимость соблюдения GDPR будет зависеть от ваших ответов на следующие вопросы:

1. Собираю ли я персональные данные пользователей?

Персональные данные включают в себя имена, адреса электронной почты, данные банковских карт, данные устройства и другую информацию, которая относится к прямо или косвенно к субъекту персональных данных. Если вы используете cookie, принимаете онлайн-платежи, храните учетные записи пользователей или отправляете сообщения пользователям вашего ресурса по электронной почте, вы собираете персональные данные.

2. Есть ли у вас пользователи из ЕЭЗ?

Если в настоящее время у вас есть пользователи из ЕС, Исландии, Лихтенштейна, Норвегии или Швейцарии, и вы собираете их персональные данные — вы должны соблюдать GDPR.

Имейте в виду, что, если вы в настоящее время отвечаете «нет» на один из двух вопросов выше, но планируете собирать персональные данные от пользователей из ЕЭЗ в будущем, вам необходимо как можно скорее подготовиться к соблюдению GDPR.

Нужна ли мне политика конфиденциальности для соблюдения GDPR?

Чтобы соответствовать GDPR, вам нужна политика конфиденциальности. Руководящие принципы GDPR сосредоточены на прозрачности механизма взаимодействия с персональными данными пользователей, поэтому компании должны четко объяснять, как они собирают, передают и обрабатывают пользовательские данные в своих политиках конфиденциальности.

Три статьи GDPR касаются требований к политике конфиденциальности:

Статья 12. Информация должна быть предоставлена в письменной форме или другими способами, в том числе, при необходимости, электронными средствами.

Статья 13. Если вы собираете данные пользователей, вам необходимо предоставить им определенную информацию, такую как ваши контактные данные и цели обработки их данных.

Статья 14. Если данные не собираются напрямую от пользователя, вам необходимо предоставить подробную информацию о соответствующих третьих лицах.

Согласно GDPR Recital 58, эти требования могут быть исполнены путем предоставления информации в электронной форме через ваш веб-сайт.

Наличие политики конфиденциальности также является требованием Закона Калифорнии о защите конфиденциальности в Интернете (CalOPPA) и Закона Калифорнии о конфиденциальности потребителей (CCPA). Эти законы вам также необходимо соблюдать, если вы выходите на американский рынок.

Если вы также ведете деятельность в Германии, Австрии или Швейцарии, по закону на вашем веб-сайте должны быть размещены импрессум, а также политика конфиденциальности. Обычно компании предпочитают объединить эти два документа в один — политику конфиденциальности.

Что из себя представляет политика конфиденциальности, соответствующая GDPR?

Политика конфиденциальности GDPR — это информация на вашем ресурсе, в котором четко объясняется, как вы обрабатываете персональные данные пользователей из ЕЭЗ.

3. Как сделать мою политику конфиденциальности, соответствующей GDPR?

Ваша политика конфиденциальности должна быть понятной среднему пользователю, должна давать ему четкое представление о том, как вы обрабатываете его данные и какие права пользователи имеют в отношении их данных. Политика должна содержать конкретные положения, касающиеся того, как вы собираете, передаете и обрабатываете данные.

Требования к политике конфиденциальности GDPR

Два основных требования к вашей политике конфиденциальности GDPR — это то, что она должна быть ясной, прозрачной и ориентированной на пользователя.

Хотя использование технических терминов в политике конфиденциальности неизбежно, информация должна быть краткой и не должна быть спрятана между строк. Сложный для понимания юридический язык и ненужный мелкий шрифт в политике конфиденциальности недопустимы.

Официальные руководящие принципы прозрачности GDPR объясняют, что политика конфиденциальности должна быть интуитивно понятной, иметь логическую структуру текста и иметь удобную навигацию внутри документа.

Что включать в политику конфиденциальности GDPR?

Политика конфиденциальности, соответствующая GDPR, должна содержать следующие конкретные положения:

1. Контактные данные

Контактные данные следующих лиц должны быть включены в вашу политику конфиденциальности:

● Контролер данных. Это лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Примеры: социальная сеть, мобильная игра, сайт доставки еды.

● Процессор данных. Лицо, которое обрабатывает персональные данные от имени и по поручению контролера, например, поставщик облачных услуг.

● Представители ЕС (если применимо). Если вы обрабатываете большие объемы данных или конфиденциальные персональные данные, вам может потребоваться назначить представителя ЕС.

● Должностное лицо по защите данных (DPO) (если применимо). Должностное лицо, отвечающее за соблюдение GDPR. Вам нужен DPO, если вы являетесь государственным органом или ваш бизнес обрабатывает большие объемы данных в качестве основного вида деятельности. DPO выступает в качестве ответственного за безопасность и следит за соблюдением требований GDPR в вашей компании.

2. Указание на автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Если вы внедряете систему автоматизированного принятия решений / профилирования, важно указать в своей политике конфиденциальности, как и почему вы принимаете такие решения или профилируете.

3. Кому могут быть переданы данные

GDPR требует, чтобы компании сообщали, кто участвует в обработке данных. Вам необходимо указать все категории третьих лиц, партнеров и аффилированных лиц, которым могут передаваться данные пользователей.

Если вы используете несколько процессоров данных, мы рекомендуем напрямую ссылаться на их политики конфиденциальности в рамках вашей политики.

4. Основания обработки персональных данных

Статья 6 GDPR устанавливает следующие шесть правовых оснований для законной обработки данных. Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

● Получено согласие на обработку персональных данных;

● Обработка необходима для исполнения договора, в котором субъект данных является стороной, или для реализации, по поручению субъекта данных, шагов, предшествующих заключению договора;

● Обработка необходима для выполнения правового обязательства, возложенного на контролёра;

● Обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица;

● Обработка необходима для выполнения задачи в публичном интересе или в рамках осуществления государственной власти, доверенной контролёру;

● Обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

Стандартная политика конфиденциальности GDPR должна указывать, какое из этих оснований применяется рядом с каждым действием по обработке данных.

5. Страны передачи данных

В вашей политике конфиденциальности необходимо указать, в какие страны передаются данные и какие системы обеспечивают такую международную передачу.

6. Если используются файлы cookie и другие технологии отслеживания

Согласно GDPR, информация, собранная с помощью файлов cookie и других технологий отслеживания (таких как пиксельные теги), считается персональными данными.

Таким образом, файлы cookie должны быть указаны как метод сбора данных и обрабатываться так же, как и другие методы.

7. Как долго данные будут храниться у вас

GDPR требует, чтобы вы указали, как долго будут храниться данные, и советует указать причины такого периода времени.

8. Какие права есть у пользователей согласно GDPR

Статьи 12–22 GDPR устанавливают восемь основных прав субъектов данных:

1. Право на получение информации;

2. Право на доступ;

3. Право на уточнение (исправление);

4. Право на забвение;

5. Право на ограничение обработки данных;

6. Право на переносимость данных;

7. Право на возражение;

8. Право не подвергаться автоматизированному принятию решений.

Ваша политика конфиденциальности должна включать раздел, в котором перечислены основные права, предоставляемые GDPR.

9. Как пользователи могут реализовывать свои права

Список прав субъектов персональных данных так же должен включать инструкции о том, как пользователи могут действовать, если пожелают реализовать свои права. Политика конфиденциальности GDPR должна содержать указания, информацию и соответствующие ссылки, чтобы помочь пользователям, которые хотят реализовать свое право.

4. Как написать политику конфиденциальности, соответствующую GDPR

Теперь вы должны лучше понимать, что такое политика конфиденциальности, а также все ключевые положения и характеристики, которые она должна включать, чтобы соответствовать GDPR.

Чтобы получить от нас бесплатный шаблон политики конфиденциальности GDPR, напишите нам в Telegram @ildar_shakirov или на почту ishakirov@txadvisory.ru.

Также юристы TX Advisory могут помочь вам привести действующую политику конфиденциальности вашего проекта в соответствии с законом, а также составить новую под ваши нужды.

Без политики конфиденциальности, соответствующей закону, ваш бизнес может оказаться под угрозой больших штрафов.

66
3 комментария

Ильдар, спасибо, полезно! 

1
Ответить

Супер, то что надо!

1
Ответить

нужно ли европейское юрлицо для политики конфиденциальности, которая соответствует GDPR?

Ответить