Как жить и работать с новым законом ЕС по защите персональных данных
25 мая 2018 года вступает в силу Общий регламент ЕС по защите данных (GDPR). Этот закон действует на все компании, которые обрабатывают персональные данные граждан Евросоюза. Даже если сами компании к Евросоюзу не имеют никакого отношения. Юрист компаний JetStyle и Ridero Анна Бессмертная рассказала, почему так и что нужно изменить на сайте, чтобы соблюсти европейские законы.
— Знаешь хорошего консультанта по Европейскому закону о персональных данных?
— Да.
— Дашь мне его имейл?
— Нет.
Лучшая шутка последнего месяца
«Общий регламент по защите данных» или General Data Protection Regulation имеет экстерриториальное действие. Это значит, что любая компания, которая обрабатывает персональные данные граждан любой из стран Евросоюза, должна соблюдать его требования.
Важно: если у вас есть интернет-магазин или сервис, портал или что угодно, что обрабатывает персональные данные граждан, — это про вас.
Если люди заходят к вам через анонимайзеры и система определяет их как жителей Евросоюза, вас это тоже касается.
Зачем это сделано?
Общая идея законотворцев проста: человек должен управлять информацией, которую он сообщает миру. В эру абсолютной цифровой публичности это не столько способ скрыть данные о себе (хотя такая опция тоже есть), сколько возможность понять, что о тебе знает условный сервис доставки еды и как он это знание использует.
Важные уточнения Регламента:
Персональными данными теперь считается любая информация, которая позволяет прямо или косвенно идентифицировать человека. Это не только имя, телефон и адрес, но и имейл, файлы cookie, IP-адрес и даже результаты отслеживания поведения пользователя на сайте.
В отдельную группу вынесены особые персональные данные, касающиеся информации о расовом или этническом происхождении, генетических и биометрических данных, религиозных или философских взглядах, сексуальной ориентации или состоянии здоровья пользователя. Обработка таких персональных данных может проводиться только в ограниченном количестве случаев и сопряжена с многочисленными ограничениями.
Компания, в интересах которой собираются персональные данные, становится оператором персональных данных. Оператор должен собирать все данные только по согласию пользователя и несет ответственность в случае нарушения порядка обработки или утечки данных.
Если компания собирает персональные данные на постоянной основе и эта деятельность является для нее ключевой (например, сервис почтовых рассылок), то компания должна назначить специального сотрудника — менеджера по обработке персональных данных (Data protection officer). В его обязанности входит регулярно следить за соблюдением закона, проводить инструктажи и информировать руководство о мерах, которые необходимо принять для охраны персональных данных.
Если данные жителей Евросоюза обрабатывает компания, не зарегистрированная в Евросоюзе, она должна назначить своего ответственного представителя — организацию или человека, который постоянно находится в Европе и может представлять интересы оператора персональных данных.
Новые права для пользователей — субъектов персональных данных
С 25 мая пользователь может обратиться в любой сервис, которому он что-то сообщал о себе, и потребовать полный перечень персональных данных о себе самом в любом удобном для себя виде (электронном или бумажном). Также пользователь может потребовать удалить все сведения о нем — в российской практике такая возможность именуется «правом на забвение».
Что нужно сделать уже сегодня, если вы обрабатываете данные граждан Евросоюза:
Перепишите политику приватности понятным для обычного человека языком. Дайте ее прочитать своей маме. Если у нее не возникло вопросов — вы все правильно сделали.
В Политике внимательно укажите все сторонние компании, которым вы передаете персональные данные — начиная от сервисов, с помощью которых вы делаете рекламные рассылки, и заканчивая Facebook, на котором крутите таргетированную рекламу. Дайте ссылки на их Политики приватности.
Настройте уведомление о том, что сайт собирает файлы cookie. Теперь оно должно всплывать сразу при входе на сайт.
Добавьте уведомления о сборе персональных данных на все формы: поп-апы с подпиской на новости, формы обратной связи, анкеты и прочее. Галочки перед «Я согласен» не должны быть нажаты по умолчанию. Это отдельно предусмотрено Регламентом. Согласие пользователя должно быть выражено хотя бы щелчком мыши.
Если вы обрабатываете персональные данные на постоянной основе — назначьте DPO и найдите представителя в Европе.
P.S. Если вы пропустили всю историю про персональные данные, посмотрите видео с нашим юристом. Анна за 8 минут объяснит, как собирать данные пользователей, не нарушая законы РФ.