GDPR: что это, и как проверить свой сайт на его соотвествие | Чеклист

Мануалы
2Нравится
Комментарии
Поделиться
GDPR: что это, и как проверить свой сайт на его соотвествие | Чеклист

С тех пор как General Data Protection Regulation (GDPR) вступил в силу в 2018 году, многие задумались о том, как же стать «GDPR-complaint» и не получить огромный штраф за нарушения правил Регламента. Если вы об этом не задумывались, то важно помнить, что GDPR распространяется не только на компании, которые находятся непосредственно на территории Европейского Союза (ЕС) либо Европейской экономической зоны (ЕЭЗ), но и на те, что предоставляют услуги или товары людям, которые находятся в ЕС или ЕЭЗ.

Исходя из этого, важно привести сайт в соответствие с GDPR, ведь Регламент содержит целый ряд требований, выполнить которые можно при помощи вашего вебсайта. В этом посте мы рассмотрим основные моменты, благодаря которым вы сможете понять, насколько ваш сайт соответствует GDPR, и какие шаги можно предпринять, чтобы достичь такого соответствия.

  • 1. Наличие Политики конфиденциальности (Privacy Policy), которая отвечает требованиям GDPR
  • 2. Использование файлов Сookie
  • 3. Получение согласия на сбор других данных
  • 4. Запросы субъектов данных
  • 5. Конфиденциальность по задумке и по умолчанию (Privacy by design / default)

1. Наличие Политики конфиденциальности (Privacy Policy), которая отвечает требованиям GDPR

Политика конфиденциальности — это обязательный элемент каждого онлайн-бизнеса, но далеко не каждая политика будет соответствовать регламенту. В контексте GDPR, Privacy Policy направлена на то, чтобы уведомить своих пользователей, как именно компания собирает персональные данные и как придерживается принципов обработки, в легкодоступной и понятной для пользователей форме. Под «легкодоступной и понятной формой» имеется в виду текст, который не перенасыщен техническими, юридическими либо любыми другими терминами, которые могут быть непонятны человеку без специальных знаний. Также важно, чтобы Политику на сайте было легко найти, поэтому ссылку на неё обычно размещают внизу либо вверху страницы.

Размещение ссылок на Privacy Policy и Cookie Policy внизу страницы

Хорошей практикой будет приведение Privacy Policy в вид, который будет легко восприниматься пользователями. Политика не должна выглядеть как договор с уймой примечаний мелким текстом, а наоборот, иметь много выделяющихся заголовков, разделение на короткие абзацы ёмкого содержания и, по возможности, визуализацию написанного в Политике. Можно вдохновиться удачными примерами, например, Политиками сервисов Google → чтобы сделать для себя вывод, какой формат будет наиболее понятным и интуитивным для вашего сайта / бизнеса.

Политика конфиденциальности компании Google

Также можно обратить внимание на Политику компании Facebook Meta. Приём, который тут можно подсмотреть, — это формат «Ответов на вопросы». Благодаря нему пользователь может точно получить ответы на интересующие его вопросы, без необходимости детально перечитывать все разделы Политики.

Политика конфиденциальности Facebook

В контексте понятности предоставляемой информации, стоит отметить, что язык текста также имеет значение. Если вы предоставляете услуги французским пользователям, информируя их исключительно на английском языке, этого может быть недостаточно для выполнения своих обязанностей по GDPR. На практике с такой проблемой столкнулся видеопортал TikTok, который был оштрафован на 750 тысяч евро за нарушение неприкосновенности частной жизни детей. Информация, которую получали голландские пользователи (в основном, дети младшего возраста) от TikTok при установке и использовании приложения, была на английском языке, и поэтому она была непонятна детям.

Не предоставив политику конфиденциальности на голландском языке, TikTok недостаточно подробно объяснил, как приложение собирает, обрабатывает и повторно использует личные данные. Это было сочтено за нарушение обязанности компании предоставлять информацию. Конечно, на размер штрафа также повлияла обработка данных детей, что предполагает усиленную защиту согласно GDPR.

От внешнего вида перейдём к содержанию. Что же должна в себя включать Privacy Policy, чтобы в достаточной мере выполнять требования GDPR по информированию пользователей? Это достаточно широкий пласт информации, которую нужно собрать и грамотно осветить, поэтому обычно, для формирования качественной Политики, стоит проконсультироваться с юристом.

Базово, вы должны включить в Политику:

  1. Личность и контактные данные контроллера данных (то есть того, кто самостоятельно обрабатывает персональные данные и определяет цели такой обработки → это, скорее всего, будет ваша компания).
  2. При наличии Data Protection Officer (специально предусмотренная GDPR должность, которая отвечает за консультации, информирование руководства и сотрудников о соблюдении норм GDPR), нужно указать также его контакты.
  3. Цели обработки персональных данных, а также законное основание обработки данных.
  4. Если основанием для обработки будет «законный интерес», предусмотренный статьей 6 (1)(f) GDPR, то описать такой интерес.
  5. Если вы передаёте данные третьим лицам, то сообщить о них.
  6. Если вы передаёте данные за границу, то нужно описать основания, на которые вы полагаетесь при такой передаче. GDPR выдвигает ряд требований к международной передаче данных, с которыми можно ознакомиться в статья 44-49 Регламента, либо в соответствующих аналитических статьях.
  7. Период хранения персональных данных или, если такой период вычислить невозможно, то критерии, которые используются для определения длительности хранения.
  8. Сообщить о правах субъектов данных, которыми они могут воспользоваться, а именно:
  9. Право на запрос, в котором субъект данных может потребовать от контроллера (i) доступ, (ii) исправление, (iii) удаление, (iv) ограничение обработки персональных данных; (v) выразить возражение против такой обработки, а также (vi) право на мобильность данных, (vii) отзыв согласия касательно обработки, (viii) подачу жалобы в надзорный орган.
  10. Информация о том, является ли предоставление персональных данных уставным или договорным требованием, или необходимым для заключения договора. А также обязан ли субъект данных предоставить персональные данные, и о возможных последствиях непредоставления таких данных.
  11. Наличие автоматизированных систем принятий решений, в том числе профайлинга.

Если всё это вам показалось сложным и непонятным, то хочу вас обрадовать — вы точно не одиноки! Но не стоит расстраиваться, ведь в открытом доступе есть много хороших Политик конфиденциальности, которые можно изучить и адаптировать под свою компанию. Также помните, что вряд ли получится составить Политику самостоятельно, используя какой-либо шаблон из интернета. Чаще всего для составления качественной Политики вам потребуется помощь юриста и глубокий анализ вашего сервиса с точки зрения процессов обработки персональных данных. Возможно, стоит изучить вопрос более детально, чтобы точно понять вопросы, которые нужно раскрыть, а также, как лучше на них отвечать.

Подытожим. Если ваша Политика конфиденциальности:

  • написана простым и понятным языком, имеет много заголовков и состоит из коротких абзацев;
  • легко находима на вашем сайте;
  • включает в себя всю необходимую информацию, предусмотренную GDPR;

Поздравляю, вы с уверенностью можете ставить первый check в вашем чеклисте по GDPR-compliance. Во многом именно Политика конфиденциальности является ключевым элементом в соблюдении Регламента, поэтому подойти к этому вопросу нужно ответственно.

Сегодня почти каждый вебсайт содержит куки-файлы. Это могут быть обязательные для функционирования сайта cookie (например, корзина в интернет-магазине), преференционные (выбор языка сайта), аналитические и маркетинговые.

GDPR прямо не регулирует вопрос использования cookie -файлов, но в законодательстве ЕС существует ePrivacy Directive, которая покрывает эту тему. Ваш сайт помимо Privacy Policy должен иметь Cookie Policy, в которой по таким же принципам, описанным выше касательно Privacy Policy, вы раскрываете цели вы использования файлов куки, какие категории файлов вы используете, какие данные собираете с помощью них, сколько вы храните такие данные. Это также можно расписать в формате «Ответов на вопросы». Ниже представлен пример, как можно расписать использование файлов куки — Cookie Notice (то же самое, что и Cookie Policy).

Политика использования файлов куки интернет-магазина одежды

Составить Cookie Policy — это только половина дела, другая половина — это устроить процесс сбора файлов. После того как вы предоставили пользователю информацию о сборе данных с помощью cookie , вы должны получить его согласие на такой сбор. Исключениями являются строго необходимые и преференционные куки (в случае, если они не связаны с постоянными идентификаторами и используются исключительно для целей, для которых они собирались).

О получении согласия нужно поговорить подробнее, ведь тут есть ряд деталей, которые нужно учесть:

Если вы используете так называемых check-box для сбора согласия, то галочки (либо ползунки) не должны быть проставлены автоматически — пользователь должен сделать это самостоятельно. В примере ниже вы можете видеть как один из брендов одежды собирает куки:

  • разделяет их на разные категории;
  • информирует, для чего собирается та или иная категория;
  • позволяет пользователю самостоятельно решить, на какие файлы куки он хочет предоставить согласие, а также информирует об обязательном сборе строго необходимых куки без согласия пользователя.

Форма согласия на обработку файлов cookie магазина одежды

Форма согласия на обработку файлов cookie магазина одежды

Ваш сайт не должен использовать cookie-wall, то есть запрещать пользователю использовать ваш сайт либо услуги потому, что пользователь не предоставил согласие на сбор файлов куки. Вебсайт Information Commissioner’s Office Великобритании, например, позволяет сразу же отказаться от сбора всех файлов куки («Reject all cookies»), кроме строго необходимых. При таком отказе, окно сбора согласия исчезает и не мешает продолжать пользоваться сайтом. Это правильная практика.

Форма согласия на обработку файлов cookie на вебсайте Information Commissioner’s Office Великобритании

Пользователю должно быть так же легко отозвать согласие, как и предоставить его. Для этого нужно предусмотреть специальный механизм. Например, сайт другого магазина одежды включает в себя страничку «Cookie Settings», благодаря которой можно в любой момент настроить файлы куки, которые собираются.

Страница «Cookie settings» на сайте магазина одежды

Итак, считать очередным check’ом в вашу копилку комплаенса можно, если:

  • На вашем сайте доступна Cookie Policy, в которой понятно расписано, для каких целей вы используете файлы куки, какие категории файлов вы используете, какие данные собираете с их помощью, сколько вы храните такие данные.
  • Вы не проставляете галочки в check-box для согласия на сбор cookies, а даёте сделать это пользователю самостоятельно.
  • Вы не ограничиваете доступ к сайту и услугам пользователям, которые отказались предоставлять согласие на сбор файлов куки.
  • На вашем сайте отозвать согласие на сбор cookie настолько же легко, как и легко было предоставить такое согласие;

3. Получение согласия на сбор других данных

Помимо согласия на сбор файлов куки, вам скорее всего, придётся получить согласие на обработку персональных данных пользователей. Это может понадобиться, например, когда пользователь будет проходить регистрацию на вашей платформе, предоставляя свои персональные данные. Зачастую сразу же при регистрации предлагается подписаться на получение новостей от сервиса либо информации о предстоящих скидках. В форме получения согласия, предоставленной ниже, галочки проставлены заранее. Пользователь чётко понимает, на что он соглашается и имеет возможность ознакомиться с правилами обработки его персональных данных с помощью ссылки на Privacy Policy.

Форма получения согласия на обработку данных магазина техники

Здесь правила схожи с получением согласия на сбор cookie файлов, поэтому:

  • информируйте пользователей с помощью, например, ссылки на Политику конфиденциальности;
  • не проставляйте галочки за пользователя;
  • чётко сообщайте пользователю на что он соглашается;

Таким образом вы сможете законным образом собирать данные пользователей для целей вашего сервиса. Еще один выполненный пункт чеклиста!

4. Запросы субъектов данных

Исходя из требований GDPR, компания должна обеспечить эффективные механизмы реализации прав субъектов данных. Вы можете предоставить некоторые механизмы для реализации прав субъектов данных с помощью вашего вебсайта.

Право на доступ, удаление, исправление персональных данных, осуществление права на возражение, а также право ограничить обработку персональных данных, согласно GDPR, может быть реализовано через запрос субъекта данных. GDPR не предусматривает конкретных механизмов, с помощью которых субъект данных может отправить запрос: запрос может быть составлен письменно, устно и в другой воспринимаемой форме, в том числе через социальные сети.

Однако «должны быть предусмотрены условия содействия субъекту данных в осуществлении прав, включая процедуру запроса и, по возможности, бесплатного получения доступа к персональным данным, их исправления, удаления, а также осуществления права на возражение. Контроллер также должен предоставить средства для выполнения запросов в электронном виде, особенно в тех случаях, когда персональные данные обрабатываются электронными средствами.»

Исходя из этого, вот ещё один важный пункт в чекисте

  1. Разработка специальной электронной формы на сайте, с помощью которой пользователи смогут заполнить и отправить запрос.
  2. Предоставление контактных данных на сайте (например, электронная почта) DPO компании или службы поддержки, что будет отвечать за реагирование на такие запросы и связанную с реакцией координацию разных отделов, что обрабатывают персональные данные.

5. Конфиденциальность по задумке и по умолчанию (Privacy by design / default)

И последний пункт в этом челисте — обратить внимание на концепции privacy by design и privacy by default, которые могут повысить уровень защиты персональных данных вашего сайта, особенно, если он ещёв стадии разработки.

Под privacy by design подразумеваются средства, установленные в продукт первоначально, технически, и которые направлены на повышение уровня защиты персональных данных, например, псевдо-анонимизация данных, либо создание каких-то особенностей в системе безопасности сайта. В то же время, privacy by default — это соответствие необходимым техническим и организационным мерам, чтобы по умолчанию обрабатывались только те персональные данные, которые необходимы для каждой конкретной цели обработки, например, уже вышеописанное согласие на обработку данных, до получения которого обрабатывать данные запрещено. Сюда входят требования к:

  • объёму собираемых данных,
  • степени обработки данных,
  • сроку хранения данных,
  • доступности данных.

Эти факторы необходимо учитывать при разработке и интеграции технических и организационных мер в операции обработки, чтобы они эффективно реализовывали принципы обработки данных, установленные GDPR. В частности, такие меры должны гарантировать, что по умолчанию личные данные не станут доступными для неопределённого числа лиц без вмешательства иного лица.

Подводим итоги

Подытоживая всё, что мы обсудили, хочется ещё раз отметить, что GDPR-compliance — это довольно комплексный процесс, к которому нужно подходить со всей серьезностью. Даже выполнил большую часть пунктов из чеклиста, вы не гарантируете себе комплаенс, ведь практики обработки данных, в век постоянного развития технологий, необходимо систематически пересматривать и обновлять в соответствии с новыми изменениями законодательной базы.