Четыре правила работы с персональными данными в Евросоюзе
Инструкция для тех, кто хочет начать работать с ЕС.
Привет! Меня зовут Олег Блинов. Я защищаю персональные данные всех пользователей Joom. По моему опыту, европейцы чаще всего обращаются в поддержку по вопросам персональных данных. Для них это привычная часть сервиса. Хочу поделиться с вами короткими советами, которые помогут начать вести бизнес в Европе.
Правило 1. Начали развиваться в ЕС → подпали под GDPR
Всегда сложно ответить точно на вопрос, какой закон действует при ведении дела в другой стране. Компания может быть зарегистрирована в стране А, бизнес-команда сидеть в стране Б, а основная масса клиентов находиться в стране В.
Основной принцип: если клиент приходит к вам, то применяется закон вашей страны; если вы идете к клиенту, то применяется закон страны клиента.
Что значит «идти к клиенту»? Перечень открытый, потому начнем с наиболее явных признаков.
- Фактическое присутствие: вы открыли офис в ЕС, открыли банковский счет в европейском банке, наняли человека на территории ЕС для развития бизнеса.
- Добавили оплату в евро.
- Запустили рекламу с таргетированием на ЕС.
- Работаете через домен в доменной зоне страны-члена ЕС.
Другие признаки можете определить на основании здравого смысла. Чем больше ваша стратегия ориентирована на европейцев, тем больше вероятность попасть под GDPR.
GDPR применяется только к гражданам ЕС? Не совсем. GDPR применим к данным людей, которые находятся на территории ЕС, вне зависимости от гражданства. Это делает применимость более предсказуемой — можно просто ориентироваться на IP адрес и не нужно бояться, что случайно попадете на гражданина ЕС, оказавшегося в Москве.
Нужно ли соблюдать несколько законов одновременно? Правильного на 100% ответа нет. Жаловаться европейцы будут своему регулятору, а с плановой проверкой придет Роскомнадзор.
Тут нужно сесть с толковым юристом и оценить свои риски. Базовый сценарий — российским компаниям нужно всегда быть готовыми к проверке РКН. Скорее всего он не будет учитывать применение GDPR и потребует все делать в соответствии с российским законом.
Со стороны ЕС все неоднозначно — штрафы к компаниям за пределами ЕС применяются скорее в крайних случаях. Например, когда нужно наказать Google.
Источники: ст. 3 GDPR, а также подробные пояснения регулятора.
Правило 2. Не пишите Privacy Policy без инвентаризации
Если вы поняли, что GDPR к вам применяется, то первый позыв — заказать у знакомого юриста красивую Privacy Policy. Сопротивляйтесь этому желанию. Деньги за работу он возьмет, но своей цели вы не достигнете. Почему?
Чаще всего в России Privacy Policy — это написанный тяжелым юридическим языком документ, который на 90% состоит из копипаста формулировок из закона. Причина кроется в том, что основной «клиент» данного документа — Роскомнадзор, а не пользователь.
В ЕС политика приватности — это коммуникация с вашим пользователем. Вы должны просто и понятно раскрыть всю важную информацию о том, как обрабатываете данные. Для этого нужно составить список бизнес-процессов и выписать на листочек ответы на три вопроса:
- Какие данные обрабатываем?
- Какую цель достигаем?
- Какие действия выполняются с данными?
Давайте на примере.
У команды рекламы есть бизнес-процесс рекламной рассылки по email. Какие данные обрабатываем? Адрес электронной почты, имя (для обращения в заголовке), время последнего входа на сервис (чтобы «догнать» пользователей, которые давно не заходили на сайт или в приложение), вектор предпочтений для составления списка рекомендаций. Какую цель достигаем? Привлекаем внимание к своему продукту, стимулируем покупки. Какие действия выполняются с данными? Данные собираются у пользователя, хранятся в наших базах данных, используются для машинного обучения, передаются поставщику, который делает саму рассылку.
Это упрощенный вариант data mapping. На основании него юрист уже может составить полезную и правдивую Privacy Policy.
Источники: ст. 13 GDPR.
Правило 3. Создайте инструменты для выгрузки и удаления данных
У пользователей из Европы есть два права, которыми они пользуются чаще всего и которые не имеют полного аналога в российском праве: право на удаление данных и право на выгрузку данных.
Право на удаление данных. Чаще всего вы будете получать письма с текстом «Удалите все мои данные!». На них нужно ответить в течение 30 дней.
Если в команде нет юриста, который помог бы разобраться с такими запросами, то наиболее безопасный вариант — действительно все удалять. Вы удалите больше, чем в действительности требуется по закону, но обязанность удалить вы выполните.
Для этого нужно написать скрипт, который принимает идентификатор пользователя и вычищает строки с таким id из ваших баз данных. Скорее всего, в первые разы это закончится плохо, потому что другие системы будут пытаться обратиться к несуществующим данным.
Если у вас есть подходящий специалист по персональным данным, то он поможет вам сократить объем удаляемых данных. Дело в том, что по таким запросам без вопросов нужно прекращать обрабатывать только те данные, которые получены для исполнения договора или по согласию. Не буду перегружать эту статью юридическими деталями, их можно прочитать в источниках чуть ниже.
Право на выгрузку данных. Иногда вы будете получать запросы на выгрузку данных о пользователе в машиночитаемом формате. Такое право у пользователей действительно есть, и существует несколько стратегий соблюдения этого права.
- Easy: выкачать и предоставить в JSON / CSV все данные о пользователе. Вы предоставите существенно больше данных, чем обязаны по закону, но написать такой скрипт проще всего.
- Medium: выкачать и предоставить в JSON / СSV все данные о пользователе, которые получили от самого пользователя. Разница с предыдущим вариантом в том, что сгенерированные на вашей стороне данные не включены в выгрузку. Это сложнее, но позволит обезопасить часть информации, к примеру, score пользователя вашими антифрод системами.
- Hard: выкачать и предоставить в JSON / СSV все данные о пользователе, которые получили от самого пользователя и обрабатываются по согласию или договору. Данный вариант наиболее близок к формулировке вашей обязанности по закону. Тут снова потребуется толковый юрист, чтобы разобраться с основанием обработки (согласие / договор).
- Cheat: найти европейского конкурента и заказать выгрузку ваших данных у него. Скопировать подход и выгружать в JSON / CSV.
Источники: удаление — ст. 7(3), 17, 21 GDPR; выгрузка — ст. 20 GDPR и пояснения регулятора.
Правило 4. Относитесь к пользователям с уважением
В своей недавней колонке на Rusbase я рассказал об исследовании BCG о просадке экономики сервисов в результате того, что пользователи недовольны обработкой данных. Если коротко, то компании теряют 5-8% от своего общего годового дохода из-за обид пользователей на несправедливое обращение с их данными.
В этих цифрах сокрыта возможность — вы можете выделиться по сравнению с конкурентами за счет уважительного отношения к клиенту и его данным. Такое уважение строится на трех принципах: законность, справедливость и прозрачность.
Законность. GDPR содержит гигантское количество различных требований к ведению обработки данных. Увы, но качественный комплаенс невозможен без участия специалиста, желательно сертифицированного международной ассоциацией. Есть даже гипотеза, что GDPR был пролоббирован крупными IT-компаниями, чтобы усложнить выход на рынок конкурентам.
Тем не менее, задерживаться с соблюдением закона не стоит. Несоответствие требованиям воспринимается пользователями как личная обида, а не как нарушение интересов государства.
Справедливость. Когда разрабатываете продукт, представьте себя на месте вашего пользователя. Что бы вы почувствовали, если бы знали, как обрабатываются данные? Уверен, что расстроились бы, если бы узнали, что сайт отслеживает ваши посещения, чтобы увеличить цену билетов на самолет при повторном заходе. Или справедливо возмутились бы передаче данных куче непонятных рекламных партнеров, созданных в оффшорах.
Старайтесь в таких случаях как можно реже идти на сделку с совестью. Это поможет завоевать доверие пользователей и повысит уровень комплаенса.
Прозрачность. Здоровые отношения строятся на честности. Сообщите пользователю в удобном и понятном формате, зачем вам требуются те или иные данные, когда вы их удалите, кому они передаются. Даже если нет конкретной статьи закона, которая требует такого раскрытия, информированность дает пользователю ощущение контроля, который неотделим от приватности.
ИТОГО:
- О GDPR стоит думать, когда начинаете развиваться в Европе.
- В первую очередь следует провести ревизию своих процессов, а только потом писать политики.
- Нужно уметь удалять и выгружать данные.
- Уважение к пользовательским данным делает клиентов более лояльными и снижает риски.
Спасибо. Кто отвечает и как прописать в РР если данные собираются и обрабатываются сторонними сервисами – Mailchimp, например? То есть, у нас нет регистрации и никаких данных мы не собираем, но есть куча сторонних сервисов – листы рассылки, пуш-уведомления, AdSense и тд.
Мэйлчимп, кстати, предоставляет ещё и GDPR-формочки: https://mailchimp.com/help/collect-consent-with-gdpr-forms/
В статье как-то не особо упомянуто, что сбор данных по GDPR тоже нужно организовать правильно.
В большинстве случаев за них отвечаете вы. Это значит, что нужно указывать их обработку внутри своей PP, будто это ваша собственная обработка. При этом вы обязаны выполнять прочие обязанности, как если бы это была ваша собственная система.
Стоит оговориться, что некоторые поставщики (к примеру, логистические сервисы) берут ответственность на себя (в договоре они называют себя data controllers). В таком случае в PP нужно указать только передачу данных им и желательно — ссылку на их privacy policy.
А данные, которые человек опубликовал на своем сайте в разделе contacts - это вообще перс.данные или что (я про GDPR)...? ну условно фрилансер.
Да, это персональные данные.
Номер плательщика НДС (EU) получили?
Спасибо, что делитесь опытом!
Успехов и удачи в делах!
Было полезно!