FAQ по GDPR: все что нужно знать бизнесу

29.05.2018
Penguin-team
8 минут
Контекстная реклама, Маркетинг, Полезная информация,
1650

25 мая 2018 года вступил в силу новый закон ЕС про защиту персональных данных — сокращенно его называют GDPR, и вы наверняка видели бурные обсуждения вокруг этой аббревиатуры. В чем соль ситуации, на кого повлияет новый закон и как жить бизнесу в дивном новом мире — в FAQ от Penguin-team, созданном по рекомендации Евгении Дубровой-Аликсюк и на основе материалов «Дебет-Кредит».

О чем речь?

О GDPR, то есть General Data Protection Regulation — Европейском регламенте по защите персональных данных. Это закон наподобие украинского Закона «О защите персональных данных» от 01.06.2010 № 2297-VI и российского 152-ФЗ «О персональных данных». В них зафиксировано, что входит в понятие персональных данных (в каждом регламенте — своя формулировка, от которой зависит, как рассматривать вопрос в правовом поле), как их можно собирать, что с ними делать, как хранить и так далее.

В отличие от действующих законов Украины и России, GDPR более широко трактует определение персональных данных и нацелен на реальную защиту пользователей и унифицирование этого вопроса на всей территории Евросоюза.

Что считается персональными данными в GDPR?

Это регламентируется в главе 1, ст. 4 (Definition/Определение), п.1:

Персональные данные — это любая информация, связанная с идентифицированным или идентифицируемым физлицом («субъектом данных»). Идентифицируемое физлицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

То есть персональные данные — это и очевидная информация (имя, фамилия, адрес, дата рождения, паспортные данные и т.д.) и другие сведения: место обучения или работы, страны, в которых бывал человек, текущее местонахождение и не только — все, что потенциально позволяет вычислить человека даже со скрытым настоящим именем.

Куки, IP и вот это все — тоже сюда?

Да. В GDPR указана очень широкая формулировка, которая позволяет относить к персональным данным буквально любую информацию о пользователе, в том числе технические данные.

Что с этими персональными данными можно и нельзя делать?

Начнем с простого — что нельзя. Категорически нельзя собирать и использовать данные (ст. 9), которые касаются:

  • политических и религиозных взглядов;
  • расовой или этнической принадлежности;
  • состояния здоровья;
  • сексуальной ориентации;
  • членства в профсоюзах;
  • генетические и биометрические данные запрещено собирать с целью точной идентификации человека.

Что можно: собирать и обрабатывать остальные персональные данные с явного согласия пользователей.

Явное согласие — это как? Типа «Да, я честно-пречестно понял и точно-преточно согласен»?

Пользовательские соглашения пишутся с редкостным канцеляритом и их никто не читает — факт раз. Сайты предупреждают про обработку личных данных поп-апами типа «Этот сайт использует куки, когда вы на нем, вы автоматически на это согласны» — факт два.

Оба варианта теперь незаконны.

Явное согласие предполагает, что сначала компания внятно и доступно объяснит:

  • какие данные собираются;
  • зачем;
  • как они будут обработаны и использованы;
  • в течение какого времени они собираются и используются.

А потом будет просить согласие на сбор и обработку данных.

Что пользователю с этого?

Во-первых, пользователь может запросить у компании:

  • какие данные собираются;
  • в какой форме;
  • кто имеет доступ к ним;
  • как используются, в том числе, используются ли для автоматического создания профиля пользователя, к примеру, для показа таргетированной рекламы.

Всю информацию компания должна предоставлять по запросу бесплатно, в удобном формате, в течение месяца в норме или в течение трех месяцев в исключительных случаях (с указанием причины задержки).

Во-вторых, пользователь может отозвать данное согласие на обработку данных так же легко, как дать его. А может вообще не давать разрешение.

В-третьих, пользователь может требовать удалить или запретить использовать персональные данные, если:

  • персональные данные использовались по назначению и больше не нужны (заказал товар в интернет-магазине, указал данные, получил посылку — больше данные компании не нужны);
  • пользователь отозвал согласие на обработку;
  • данные собирались незаконно;
  • данные недостоверны.

Если раньше «право на забвение» касалось только поисковиков, которые в исключительных случаях должны были удалять данные из поисковой выдачи, то теперь это касается всех сайтов в целом.

Если собираются не анонимизированные данные (то есть те, которые позволяют идентифицировать пользователя при повторном посещении сайта), компания обязана создавать все перечисленные выше точки коммуникации (contact point в оригинальном тексте регламента).

Если собираются анонимизированные данные (по которым нельзя напрямую идентифицировать пользователя), компания может обойтись без этого.

Если для пользования сайтом нужна регистрация, это автоматически предполагает сбор не анонимизированных данных — точки коммуникации обязательны.

Вернемся к бизнесу. Как понять, распространяется ли GDPR на мою компанию?

Чтобы ответить на этот вопрос, важно понимать цели и задачи этого решения. Регламент направлен «на защиту защиту персональных данных всех лиц в Европейском Союзе (ЕС)». То есть подчинение или неподчинение регламенту зависит не от того, где базируется ваша компания и где она зарегистрирована, а от того, кто ваша аудитория.

Закон распространяется на вас, если ваша компания хранит или обрабатывает персональные данные резидентов или граждан ЕС, независимо от расположения и регистрации компании.

Даже если вы просто предлагаете пользователям, которые находятся на территории ЕС, бесплатные товары/услуги или мониторите их действия (как системы веб-аналитики) с сайтом, который посещают пользователи с территории ЕС — на вас распространяется GDPR.

К примеру, есть медиахолдинг Tronc, куда входят газеты Chicago Tribune, The Los Angeles Times и New York Daily News. Холдинг — американский, то есть не входит в ЕС. Но зайти на сайт любого издания с территории Евросоюза, по данным BBC News, сейчас нельзя: они не работают. Аналогично, по сообщению CNBC, обстоят дела с сайтам, которые входят в Lee Enterprises и A+E Networks.

Что делать компании теперь?

Чтобы работа компании соответствовала GDPR, нужно серьезно перестраивать и процессы, и IT-системы защиты, контроля и протоколирования обработки персональных данных.

Есть 4 очень важных аспекта, которые теперь влияют на работу компаний:

  1. Нужен регламент обработки данных для компании и согласие на английском языке для пользователя.

Пока процесс обработки персональных данных должен фиксироваться только в компаниях 250+ человек. Под фиксированием подразумевается описание каждой группы данных и целей обработки, плюс описание факта передачи третьим лицам (если данные передаются).

Пока это все что нужно, но эксперты уже говорят, что дальше может потребоваться хранить данные про обработку каждой отдельной записи. К этому тоже стоит готовиться заранее.

  1. Нужен офис или представитель на территории ЕС + DPO (data protection officer) — специалист, ответственный за работу с персональными данными.

Каждая компания, которая собирает или обрабатывает персональные данные, должна иметь офис или письменно назначенного представителя на территории Евросоюза. Реквизиты офиса или представителя должны указываться в согласии на обработку данных. На этот адрес будут направляться документы от «субъектов данных» (т.е. людей) и от регуляторов.

Документы от субъектов данных — это, к примеру, документ с отзывом согласия или с требованием предоставить информацию, которую компания собрала про пользователя-заявителя.

Документы от регуляторов — это извещения о поступивших жалобах, уведомления о проверках и прочие документы от контролирующих органов.

Список национальных регуляторов по всем странам ЕС — Data Protection Authorities.

Общеевропейский регулятор до 25 мая 2018 по вопросу персональных данных — Working party 29.

После вступления регламента в силу вместо Working party 29 начинает работать Европейский совет по защите данных, он же European Data Protection Board — EDPB.

  1. Нужна система защиты данных от утечек.

Теперь у компаний есть обязательный перечень средств обеспечения безопасности к использованию, в т.ч. криптографическая защита, средства обеспечения постоянной конфиденциальности и целостности данных. Хранение данных в открытом виде стало незаконным, даже если не было никаких утечек.

В GDPR нет четких предписаний, какие системы безопасности применять, ясно одно: архитектура должна быть построена по принципу Data protection by design and by default (ст. 25). Обязанности по защите информации регламентируются в статьях 6, 25, 28 и 32.

Для защиты данных от утечек можно использовать DLP (Data Loss Prevention) — это «технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек» © Wikipedia.

Какие технические требования касаются конкретно вашей компании можно узнать, консультируясь со специалистами и изучив полный текст регламента со всеми трактовками.

  1. Замалчивать утечки данных — наказуемо.

Если в компании выявили утечку персональных данных, теперь нельзя просто справляться с последствиями своими силами. В обязательном порядке нужно уведомить регулятора о том, почему и как случилась утечка, какие данные и в каком количестве пострадали, как компания реагирует на ситуацию и что делает для работы с последствиями утечки. Сообщать об этом нужно через офис или представителя в ЕС в течение 72 часов с выявления утечки.

То есть такой номер, как провернул Uber, сообщив про утечку данных 57 млн пользователей спустя ГОД — уже нарушение регламента.

И даже это не полный список. Регламент очень обширный и обязательные меры в том числе зависят от вида бизнеса и других факторов. К примеру, если на сайте есть пользователь младше 13 лет, для обработки данных нужно разрешение родителей. И таких нюансов много.

Закон уже действует?

Да, закон официально вступил в силу и обязателен к исполнению с 25 мая 2018 года.

Это не внезапное решение: постановление было принято еще 27 апреля 2016 года — с того момента начался двухлетний переходной период. Оно заменяет старый закон про защиту персональных данных, Data Protection Directive, который действовал с 1995 года.

Не пойму, пора ли волноваться персонально мне?

Волноваться можно о том, что вашу компанию поймают на нарушении правил. Но узнать про нарушение можно только двумя путями:

  • при проверке контролирующего органа;
  • из жалоб пользователей.

Что касается проверки: сайтов, которыми пользуются в ЕС, миллионы. Проверять все нереально. Поэтому намерено проверять будут в первую очередь крупных рыночных игроков, а не небольшие локальные компании.

Мы почти уверены, что под проверку сразу попадут все крупные европейские издания, операторы связи, большие сайты знакомств и интернет-магазины, вероятно разработчики и соцсети. Многие из них — как Google, Facebook, Microsoft, Apple — готовились заранее, об этом можно прочесть в статье на Лайкни.ру.

Что касается жалоб: тут все зависит от масштабов и типа бизнеса. Если вы работаете на небольшую аудиторию постоянных покупателей/читателей, вряд ли они будут писать жалобу на вас. Если вы представляете крупный международный интернет-магазин, наверняка кому-то ваши правила не угодят, и на вас будут жаловаться.

Итого:

  • если компания небольшая, персональных данных немного — повод волноваться меньше;
  • если речь про крупный интернет-магазин, операторов связи, собственную систему веб-аналитики или сайты знакомств — лучше закрыть доступ для пользователей из ЕС и дальше либо сделать процесс соответствующим регламенту и открыть доступ обратно, либо перестать работать на европейском рынке.

Что будет с компаниями, в которых нашли нарушение?

Кратко: ничего хорошего. Евросоюз давал два года, чтобы подготовиться, и тот факт, что большинство компаний услышали про GDPR только после его вступления в силу, ничего не меняет.

За нарушение регламента (основных прав пользователей, принципа обработки и передачи персональных данных) предусматривается штраф в размере 20 млн евро или 4% от годового мирового оборота компании, в зависимости от того, какая сумма больше. До 10 млн евро или 2% от годового мирового дохода, если речь о нарушении принципов согласия на обработку данных ребенка.

Это серьезные цифры и для европейских компаний, не говоря уж про украинский бизнес, который работает на аудиторию Евросоюза.

Теперь законодательство моей страны изменится?

Нет, GDPR не обязывает страны — участницы ЕС вносить изменения в локальные законодательства. Это экстерриториальный закон, который обязателен к исполнению всем компаниям, работающим с аудиторией ЕС, вне зависимости от местных законов.

Что теперь будет с рекламным рынком, РРС-маркетингом?

Сложно сказать. Понятное дело, маркетинг никуда не денется, но изменения в работе будут, и немалые. К примеру, если раньше для таргетинга нужно было подключить системы аналитики, повесить форму сбора данных и табличку «мы используем cookie», то сейчас такой номер не пройдет — нет явного согласия.

Что важно понимать:

  • рекламная политика AdWords будет меняться — и эти изменения важно отслеживать, не игнорировать их, потому что они прямо влияют на вашу работу. В конце концов, Google прямо в своих условиях использования пишет, что клиент (т.е. вы) несет полную ответственность за использования предоставленных сервисов. Если со стороны компании будут нарушения при использовании тех же сервисов аналитики, к примеру, — отвечать за это будет не Google, а вы;
  • как влияет на аудитории в AdWords работа с или без куки-файлов;
  • как обращаться с данными, учитывая новые правила конкретно для вашего сегмента бизнеса — для этого важно проконсультироваться с юристами, в регламенте много тонкостей;
  • новые правила затронут использование ремаркетинга — и к этому тоже стоит быть готовым.

Как это касается отдельных PPC-специалистов:

  • если вы работаете на аутсорсе, то несете моральную ответственность перед клиентом и должны уведомить его о законе GDPR. Предупредите клиента, какие требования GDPR он должен выполнить, чтобы не попасть в неприятную ситуацию, поделитесь с ним ссылкой на эту статью. Окончательные же изменения на сайте должен утвердить юрист клиента, руководствуясь законодательством.

Очень сильно нововведения скажутся на рекламе в YouTube, особенно на:

  • ремаркетинге;
  • аудиториях по интересам;
  • использовании демографических данных;
  • похожих аудиториях;
  • аудиториях заинтересованных покупателей.

Не скажется GDPR на рекламе в результатах поиска и на видео.

Как быть с email-маркетингом? В разделе GDPR Email Marketing есть фраза: «Многое указывает на то, что email-маркетинг разрешен без согласия, по крайней мере, для существующих клиентов». Значит ли это, что пользователь, оставивший свой email в оффлайн-офисе компании при заказе, может получать письма от компании без согласия на обработку данных?

Пока в этой сфере больше вопросов, чем ответов, но со временем эксперты будут разбираться в нюансах нового регламента и трактовать его для каждой сферы бизнеса — РРС в том числе. Так что ждем апдейтов и не падаем духом.

Чек-лист

И в заключение — чек-лист для проверки, насколько ваша компания готова к GDPR.

Сначала немного терминологии:

  1. Если ваша компания определяет цели хранения и обработки личных данных, она считается контроллером, т.е. «контролирующая сторона» (любой сайт, который собирает данные о пользователях).
  2. Если компания хранит и обрабатывает данные от имени другой организации — она процессор, т.е. «обрабатывающая сторона» (например, disqus и т.п.).

Компания может быть одновременно и контроллером, и процессором — если она сама решает, что и как хранить/обрабатывать, и сама это делает. В любом случае важно, чтобы соблюдались требования GDPR к каждой из «ролей», будь это контроллер или процессор.

— обязательно к выполнению контроллерами

— обязательно к выполнению процессорами

Данные:

Нужны списки всех типов персональных данных, которую хранит компания, источников информации, факты про передачу третьим лицами, регламент обработки и установленная длительность хранения информации

Есть список мест, где хранятся персональные данные, и способы передачи данных между ними

Есть общедоступная политика конфиденциальности, которая описывает все процессы, связанные с сбором, обработкой, использованием и хранением персональных данных

Политика конфиденциальности включает законное обоснование, почему компания обрабатывает персональные данные

Ответственность и управление:

Компания назначила сотрудника по защите данных (DPO)

Все сотрудники и руководители, принимающие решения, знают про новый регламент и его влиянии на работу компании

Технические системы безопасности соответствуют нормам регламента

Если бизнес территориально не в ЕС, компания назначила представителя непосредственно на территории Евросоюза

При утечке компания информирует регулятора и субъектов данных в течение 72 часов через офис в ЕС или назначенного представителя

Все компании-подрядчики (партнеры), которые участвуют в обработке персональных данных, указаны в политике конфиденциальности

Есть подписанный контракт с компанией-процессором, которая получает доступ к персональным данным компании-контроллера

Нововведения в правах:

✓  Клиенты могут запросить доступ к своим персональным данным

Клиенты могут обновить персональные данные для поддержания их актуальности (и потребовать удаления неактуальных данных)

Компания удаляет данные, которые уже были использованы по назначению

У клиентов есть право на забвение — удаление своих персональных данных

Клиенты могут отозвать согласие на обработку данных — и компания будет обязана прекратить их собирать и обрабатывать

Клиенты могут запросить отправку своих персональных данных себе или третьему лицу

Клиент может оспорить результаты автоматической обработки данных, создания профилей и принятия решений на их основании (к примеру, как делают банки, когда алгоритм обрабатывает заявки на кредитование и принимает решение, выдавать кредит или нет)

Согласие:

Компания получает согласие пользователя на обработку персональных данных

Политика конфиденциальности написана просто, понятно и кратко

У клиентов есть простая возможность отказаться от обработки персональных данных

Если компания обрабатывает личные данные детей, она получает согласие от законных опекунов

При обновлении политики конфиденциальности компания уведомляет всех пользователей

Другое:

Компания отслеживает изменения в законодательстве, которые касаются персональных данных, в странах своих клиентов, откуда поступают персональные данные

Бизнес осведомлен о необходимости использования Data Protection Impact Assessment (DPIA, инструмент для выявления риска при обработке данных) при операциях по обработке персональных данных с высокой степенью риска

Данные можно передавать за пределы ЕС только в том случае, если компания-получатель обеспечивает уровень защиты, соответствующий нормам GDPR

Получить 7 писем о том,
как улучшить свой AdWords аккаунт
+ PPC статьи

Имя
e-mail
Улучшить AdWords

Улучшить свой AdWords

Получите 7 писем, о том, как можно улучшить свой аккаунт в AdWords

Подписаться

Наш сайт использует файлы cookie, чтобы улучшить работу и предоставить максимальное удобство пользователям.




В версии 2.1.1

  • Добавлена поддержка "Google Keyword Planner"
  • Используйте "LeftALT + S" для поиска слов
  • "Показать/скрыть" теперь полностью скрывает расширение с экрана

Основные комбинации

  • LeftMouseClick для добавления слова, повторное нажатие - для удаления
  • LeftALT + LeftMouseClick - для сбора фраз
  • LeftALT + S - для поиска слов