GDPR — европейский регламент о персональных данных, который со временем затронет малый бизнес в России. Мы разобрали ключевые особенности GDPR и сравнили его с российским аналогом — ФЗ-152 «О персональных данных»

GDPR (General Data Protection Regulation) — это общий регламент о защите персональных данных всех физических лиц, которые находятся на территории Европейского союза. Регламент работает с 25 мая 2018 года.

Цель GDPR — помочь пользователю понять, как используются его персональные данные, и как можно управлять доступом к ним. В регламенте перечислены правила, по которым персональные данные собираются, обрабатываются и хранятся.

В основе GDPR лежат 6 принципов, которые призваны улучшить работу с персональными данными пользователей:

• Законность, справедливость и прозрачность. Пользователи должны знать, к каким их персональным данным компании имеют доступ.
• Ограничение цели. Компании могут собирать только те данные, которые помогут исполнить пользовательское соглашение.
• Минимизация данных. Компании не имеют права собирать больше данных, чем необходимо для достижения цели.
• Точность. Компании должны своевременно обновлять или удалять некорректные данные.
• Ограничение хранения. Данные пользователей не должны храниться дольше, чем это требуется для выполнения обязательств.
• Целостность и конфиденциальность. Данные следует защищать от несанкционированного доступа, незаконной обработки или повреждения.

Если вы ведете бизнес только в России, вам достаточно соблюдать 152-ФЗ «О персональных данных». Как только вы начнете работать с резидентами ЕС (показывать рекламные сообщения, делать рассылку, собирать данные, вести бизнес), вы попадете под GDPR.

С GDPR полезно ознакомиться, поскольку в нем есть пункты, которых нет в ФЗ-152. Скорее всего, в будущем ФЗ-152 докрутят до уровня GDPR, и тогда все равно придется обновлять или перестраивать бизнес-процессы.

Права физических лиц

GDPR направлен на защиту персональных данных обычных людей. Когда ваши данные обрабатываются по GDPR, вы получаете несколько прав по обработке ваших персональных данных.

Право быть проинформированным. Компания обязана рассказать про то, как она будет обрабатывать персональные данные:

• Назвать цель и основание сбора данных.
• Обосновать длительность хранения.
• Перечислить тех, кому данные могут быть переданы.
• Рассказать про защиту данных.
• Предупредить, если данные будут переданы за пределы ЕС.
• Дать пользователю возможность отозвать согласие на обработку данных.
• Оставить свои контактные данные.

Право доступа. Вы можете узнать, к каким вашим данным компания имеет доступ. Если вы купили фитнес-трекер и установили приложение, в приложении вы сможете узнать персональные данные, которое оно обрабатывает, а также получить информацию, которую отслеживает трекер.

Вы можете бесплатно попросить копию всех имеющихся ваших данных вместе с любой сопроводительной информацией. Компания обязана предоставить данные в течение месяца. Если вы купили машину, вы можете попросить автодилера предоставить всю вашу персональную информацию: имя, контактные данные, время и место покупки и т. д.

Право на возражение. Вы можете потребовать приостановить обработку ваших персональных данных. Ваши данные останутся у компании, но способ обработки изменится. Например, вы сходили в кино, а после него вас закидали рекламой неинтересных фильмов. Вы можете попросить кинотеатр не присылать никакой рекламы, и они будут обязаны это сделать.

Право на исправление. Вы можете попросить компанию скорректировать или дополнить информацию о себе. В этом случае вы берете на себя ответственность за достоверность переданных сведений. Например, вы хотите оформить страховку на новую машину, а у страховщика указано, что ваша машина ранее была в аварии. Вы можете позвонить им и исправить некорректную информацию.

Право на забвение. Вы можете попросить компанию удалить данные о вас, если у них нет оснований продолжать обрабатывать их.

Право на переносимость. Вы можете попросить компанию предоставить ваши персональные данные другой компании за вас. Например, если вы хотите сменить мобильного оператора и сохранить номер телефона, старый мобильный оператор за вас должен передать новому ваши паспортные данные, включая номер мобильного телефона.

Право на безопасную автоматическую обработку. Автоматическая обработка должна быть защищена от несанкционированного доступа и позволять вам оспаривать решения, которые принимаются автоматически. Если банковская система не выдает кредит, банк будет обязан по вашему запросу перепроверить решение системы.

В GDPR речь идет о пользовательских данных вообще — в интернете и на бумаге. Чтобы данные на бумаге признавались персональными данными, они должны быть структурированными. Например, имена сотрудников в папке — это структурированные данные, а имя и телефон, записанные на бумажку — нет.

Чтобы обрабатывать ваши данные, компании нужно основание. Постарайтесь правильно выбрать основание с первого раза и зафиксировать его в пользовательском соглашении, чтобы вам не пришлось менять его позже. Оснований может быть шесть:

• Согласие.
• Контракт.
• Жизненные интересы физического лица.
• Общественные интересы.
• Требование закона.
• Законные интересы контролера.

Согласие. Согласие должно быть отделено от других условий.

Согласие должно быть активным. Пользователь должен осознанно согласиться с условиями: нельзя, чтобы согласие автоматически давалось или за него были проставлены галочки. Информация о порядке отзыва согласия на обработку персональных данных должна быть размещена таким образом, чтобы пользователь мог легко её найти.

Гранулярность. В согласии должны быть предусмотрены разные варианты согласия для разных типов обработки. Например, приложение должно получить разные согласия на доступ к камере или контактам.

Персонифицированность. Компания должна назвать себя, а также названия любых смежных организаций, которые будут также опираться на согласие.

Документированность. Ведите учет когда и при каких обстоятельствах было получено согласие. Напоминайте пользователю то, на что он раньше согласился.

Обратимость. Сообщите пользователю, что он вправе в любое время отозвать свое согласие, и объясните, как это сделать. Отказывать в согласии должно быть настолько же просто, насколько давать согласие. Пример удобного отказа — отписка от рассылки в 1 клик.

Контракт. Чтобы выполнить обязательства по контракту, вам нужны определенные персональные данные. Например, вы не сможете доставить пиццу, если не знаете адреса доставки.

Жизненные интересы. Сбор данных для решения вопросов жизни и смерти человека. Подходит для больниц.

Общественный интерес. Вы можете собирать данные, если вы работаете в общественных интересах.

Требование закона. Вы обязаны соблюдать закон страны-члена ЕС.

Законные интересы контролера. Это ваши законные интересы: вы можете собирать персональные данные в законных интересах своей компании, если такой сбор не ущемляет права объекта данных.

Чтобы определить основание, компании нужно понять цель сбора данных, подобрать нужные персональные данные и способ их использования.

Все основания для сбора должны быть необходимыми. Если вы можете достичь цели без сбора определенных персональных данных — значит, у вас нет основания. Нельзя обрабатывать все данные подряд, без основания — это нарушение GDPR.

Нарушения легко обнаружить в онлайн-проектах:

• Поведение пользователя отслеживается без согласия.
• Некорректная форма согласия.
• В согласии проставлены галочки за пользователя.
• Собираются лишние персональные данные.

За несоблюдение статей GDPR компаниям грозят штрафы:

• До 10 000 000 € или 2% от годового дохода – за нарушение правил о согласии на обработку данных ребенка и безопасности персональных данных.
• До 20 000 000 € или 4% от годового дохода – за нарушение основных прав пользователей, правил согласия, принципов обработки и передачи персональных данных.

Razer отправил письмо про GDPR, но закончил его странно: «Это не рекламное сообщение, поэтому ваше согласие необязательно». Если такая формулировка появилась после введения GDPR — это было бы нарушение.

 

Видно, что не все компании знают, как работать в рамках GDPR. Со временем должна наработаться практика, которая поможет им безболезненно перестроить бизнес-процессы.

 

GDPR и 152-ФЗ

Федеральный закон 152 «О персональных данных» — российский аналог GDPR, который работает с 2006 года.

Оба закона обязывают контролеров (тех, кто обрабатывает персональные данные) серьезнее подходить к вопросу обработки персональных данных.  Контролеры обязаны добиться согласия обработать персональные данные пользователя, а также рассказать, как эта информация будет обрабатываться.

Статья 9 GDPR перечисляет данные, которые по умолчанию нельзя обрабатывать.

• расовое или этническое происхождение;
• религиозные, философские и политические взгляды;
• членство в профсоюзах;
• биометрические и генетические данные;
• данные о состоянии здоровья и половой жизни.

Обрабатывать такие данные можно лишь с согласия человека или если данные требуются для исполнения закона, представляют научный интерес или нужны для сохранения его жизни или жизни третьих лиц. GDPR и 152-ФЗ здесь похожи: 152-ФЗ требует письменное разрешения для обработки специальной категории данных. Например, стоматолог, прежде чем проводить лечение, должен получить письменное разрешение от пациента на сбор, хранение и обработку физиологических данных пациента. Если вам нужны специальные данные человека, четко укажите, какую информацию вы будете собирать, для каких целей, как будете защищать.

Если же появилась новая цель обработки данных, но она совпадает с основанием — вы вправе продолжать обрабатывать персональные данные по-старому.

152-ФЗ работает только в России, а GDPR работает за пределами ЕС и влияет на российские компании, которые ведут бизнес в Европе или с европейскими гражданами — гостиницы, авиакомпании, мобильные операторы, поисковики. Если вы не ведете бизнес, но обрабатываете персональные данные резидентов ЕС, вам также придется работать по GDPR.

152-ФЗ определяет персональные данные следующим образом: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Такая трактовка оставляет место для интерпретаций Роскомнадзору и судам.

В GDPR персональные данные определены четче. Примеры персональных данных:

• Имя и Фамилия.
• Домашний адрес.
• Имейл типа ivan_ivanov@yandex.ru.
• Паспортные данные.
• Местоположение (включая геолокацию в телефонах).
• IP-адрес.
• Файлы куки.
• Рекламный идентификатор.
• Биометрические данные.

Примеры данных, которые не считаются персональными:

• ИНН организации.
• Имейл типа hello@company.ru.
• Анонимизированные данные.

Если разные части информации, собранные вместе, помогают идентифицировать человека, они также признаются персональными данными. Если данные зашифрованы, но их можно повторно привести в читаемый вид и опознать человека, они также признаются персональными данными.

Если персональные данные анонимизированы так, что человека определить невозможно, то они перестают считаться персональными данными.

Существуют определенные типы персональных данных, относящиеся к категории особых персональных данных. Это расовое или этническое происхождение, политические взгляды, религиозные убеждения, генетические и биометрические данные, используемые для идентификации человека, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни.

Несмотря на то что оба документа касаются защиты и обработки персональных данных, у них есть различия:

ФЗ-152 не обязывает сообщать о любых утечках персональных данных. По GDPR нельзя не сообщить о взломе — это худшее, что можно сделать. Сообщать об утечках больно, поэтому лучше заранее снизить риски.

152-ФЗ не дает возможности «перенести данные». Если вы захотите поменять мобильного оператора, вам придется самостоятельно собирать документы и направлять их новому оператору.

GDPR имеет большее влияние, поскольку затрагивает деятельность российских компаний и меняет их бизнес-процессы. В ближайшее время, скорее всего, 152-ФЗ будет актуализирован до уровня GDPR.

GDPR и маркетинг

Если вы не ведете бизнес в Европе, это не значит, что GDPR вас не касается. Если вы собираете персональные данные европейцев или ориентируете на них рекламные кампании — к вам применяется GDPR.

Если вы интернет-магазин, оператор связи или используете собственную систему веб-аналитики, вам стоит обновить бизнес-процессы для работы с новой нормой.

Если вы используете Analytics, проверьте данные и убедитесь, чтобы собираете ровно то, что нужно, и не отправляете персональные данные в Analytics.

 

К персональным данным относится также IP-адрес посетителя. Чтобы отслеживать, откуда приходят посетители, включите IP-анонимайзер: последняя часть IP-адреса заменится нулем. Мы уже писали о том, как обезличить персональные данные посетителей и не испортить себе отчеты.

в GTM переменная будет выглядеть так:

В Яндекс.Метрике анонимайзер включается так:

 

Политика конфиденциальности — основной документ, который требует GDPR. В идеале это один документ, который содержит основные цели обработки персональных данных и написан простым, не юридическим языком. Из политики конфиденциальности должно быть понятно, как вы будете обрабатывать пользовательские данные:

• какие пользовательские данные вы собираете;
• кто собирает, каким образом и на каком основании;
• как данные используется в работе;
• будет ли они переданы третьим лицам;
• как долго данные хранятся у вас;
• может ли пользователь управлять своими данными;
• могут ли быть негативные последствия для пользователя.

 

Способ уведомления бывает прямым или косвенным. В случае прямого сбора, вам нужно уведомлять пользователя каждый раз при первом использовании нового способа или сборе новых данных. Уведомление должно быть адекватным: не блокировать работу, не быть длинным и содержать ссылку на подробный текст. Если вы ориентированы, например, на рынок Франции, уведомляйте на французском языке. Закон не содержит каких-то требований, но местные законы могут устанавливать свои требования в отношении языка уведомления.

Если собираете данные косвенно (например, через партнера), вы все равно должны предупредить человека о сборе:

• Не позднее месяца после первого получения данных. Стоит также указать обстоятельства получения данных.
• Если данные используются для связи с человеком — не позднее первой возможности коммуникации.
• Если нужно раскрыть данные сторонним организациям — не позднее первого раскрытия.

Если собираете данные косвенно, сформируйте доверие у человека: покажите пользу от сотрудничества с вами.

Статьи 15—18 GDPR обязывают напомнить посетителю сайта его права в отношении своих персональных данных.

Пропишите политику хранения данных (Data Retention Policy). Статья 5 обязывает хранить данные ровно столько, сколько это необходимо для достижения целей.

Укажите контактные данные и юридический адрес. Если у вас в Евросоюзе есть свой инспектор (Data Protection Officer), оставьте его контакты.

Пропишите условия использования. Укажите «The Website is available only to individuals who are at least 16 years old», если целенаправленно не работаете с детьми. Можно добавить чекбокс для получения родительского согласия.

Распишите порядок оплаты и какие cookies использует ваша система. Уведомления о cookies также должны четко отвечать, какую информацию, как и зачем вы собираете. Не подойдут расплывчатые формулировки, вроде «мы отслеживаем cookies, чтобы улучшить ваш опыт».

Примеры:
Яндекс пишет про cookies
Гугл про обновленную политику конфиденциальности

 

Что запомнить

Правильно обрабатывать персональные данные пользователей нужно, даже если бы не было никаких законов.

GDPR призван облегчить работу для неевропейских компаний: проще придерживаться одного набора правил, чем учитывать национальные нюансы отдельных стран ЕС.

Даже если вы не планируете работать с Европой, полезно постепенно внедрять новые способы защиты данных персональных данных: это даст вам конкурентное преимущество, а также подготовит к возможным обновлениям в ФЗ-152.
Полезные материалы:

Подробнее о технических нюансах внедрения GDPR
Развенчание мифов о GDPR
Кого коснется GDPR в России