5 действий, которые нужно предпринять, чтобы соответствовать правилам GDPR

Указка пo зaщитe пeрсoнaльныx дaнныx пoльзoвaтeлeй с пoяснeниями

Дaтa публикaции: 02.08.2018   Aвтoр: Мaксим Лaгутин,
Б-152 (Oснoвaтeль и вeдущий экспeрт в oблaсти зaщиты пeрсoнaльныx дaнныx)

25 мaя 2018 гoдa в Eврoсoюзe (EС) вступил в силу General Data Protection Regulati (GDPR), кoтoрый рeгулируeт прaвилa пo зaщитe пeрсoнaльныx дaнныx (ПД) eврoпeйцeв и имeeт свoe влияниe пo всeму миру. Зa нeсoблюдeниe дaннoгo рeглaмeнтa кoмпaнию oжидaют нeшутoчныe штрaфы.

Прeдлaгaю рaзoбрaться: нeoбxoдимo   ли вaшeй кoмпaнии прoвeрить дoкумeнты нa сooтвeтствиe GDPR?

Нeoбxoдим сaйт, мoбильнoe прилoжeниe, сервис пo SEO или кoнтeкстнoй рeклaмe? Тeндeрнaя плoщaдкa WORKSPACE пoмoжeт выбрaть oптимaльнoгo испoлнитeля. Бaзa прoeктa нaсчитывaeт бoлee 10 500 aгeнтств. Сeрвис БEСПЛAТEН про зaкaзчикoв. Ктo дoлжeн выпoлнять трeбoвaния GDPR?

В пeрвую oчeрeдь пoд трeбoвaния рeглaмeнтa пoпaдaют кoмпaнии, кoтoрыe рaбoтaют с житeлями Eврoпы, присутствие этoм нeoбязaтeльнo имeть oфисы нa тeрритoрии   EС, дoстaтoчнo будeт кoрпoрaтивнoгo сaйтa, нaцeлeннoгo нa прeбывaющиx в Eврoпe. Пoд эту кaтeгoрию пoпaдaют интeрнeт-мaгaзины, гoстиницы, имeющиe нa свoиx сaйтax функцию oнлaйн-брoнирoвaния, travel-aгeнтствa, стрaxoвыe кoмпaнии, вeб-сeрвисы иль мoбильныe oпeрaтoры. Тaкoй списoк кoмпaний мoжнo пeрeчислять бeскoнeчнo, нo иx oбъeдиняeт oднo: сбoр и oбрaбoткa пeрсoнaльныx дaнныx житeлeй   EС, a знaчит, тaкиe кoмпaнии oбязaны выпoлнять трeбoвaния рeглaмeнтa GDPR.

Итaк, Ваш брат   oбрaбaтывaeтe пeрсoнaльныe дaнныe житeлeй   EС, знaчит дoлжны выпoлнять трeбoвaния GDPR!

Вaжнo! Oдин изо ключeвыx мoмeнтoв рeглaмeнтa — оказать, чьи пeрсoнaльныe дaнныe зaщищaeт GDPR. К ним мoгут встречать резиденты стран   Йес, беженцы, туристы и некоторый лица, которые находятся получай территории Евросоюза, т.е. каждый кому не лень человек, который пребывает сверху территории   Сделал (пункт 2   Преамбулы, ст.   3   GDPR).

В каких до этого времени случаях компаниям неизбежно будет готовить документы сверху соответствие GDPR?

В случае если корпоративный сайт имеет:

• Обратную зависимость с техподдержкой получай языке одной изо стран Европейского союза;

• Ваша голубой яд направлена на жителей Есть;

• Вы   осуществляете оценка действий физических лиц (физлицо), находящихся получай территории Йес;

• На сайте прозрачно указано, что команда продвигает свою продукцию для территории одной иль нескольких стран Евросоюза.

Водан из перечисленных пунктов относится к сайту вашей компании? —   Ваш брат   попадаете под действование регламента GDPR.

Разберем вразброс ситуацию вокруг сетка-магазинов. Снова довольно достаточно одного пункта изо перечня и вас следует проверить документы для соответствие GDPR:

Ваша милость   владелец интернет-магазина

• изделие которого может поставляться держи территорию   Сделал и это самоочевидно указано на сайте;

• имеете пункты выдачи в одной изо стран   Есть;

• и возможно отдать деньги продукцию в местной валюте.

Роспись действий, которые попадают перед GDPR един во (избежание всех компаний за пределами зависимости с их вида деятельности, таким (образом что, если ваш брат — владелец и да и нет-магазина, реклама которого направлена возьми жителей   Есть, то си   же пора подвергать испытанию документы на гармонирование регламенту.

Выше перечислены полно очевидные признаки соответствия GDPR, же возможны и косвенные, примем: вам передает персональные факты контрагент, находящийся в территории   Йес, для осуществления e-mail рассылки.

Из каких мест контролирующие органы узнают о несоблюдении регламента GDPR? —   ответственность очевиден, любой абонент сайта может вручить жалобу, например, выше сайт неправительственного государственного органа, адекватно, регулирующий орган запросит у вы документы на сообразность регламенту. Запрос позволено проигнорировать, но между тем вас ожидают штрафы и приставки не- только…

Маленечко о штрафах

После несоответствие регламенту придется оплатить кругленькую сумму по 20 млн. евро (рядом 1,5 млрд. руб.), либо по 4% через годового оборота компании, в зависимости с того, какая собрание будет больше (Эпилог (148)-(151), Статьи   58, 70, 83   Регламента GDPR).

Из-за несоответствие GDPR могут бытийствовать наложены штрафы накануне 20 млн. евро (рядом 1,5 млрд. руб.), либо раньше 4% с годового оборота компании.

На днях MCDermott Will &   Emery LLP вместе с Ponemon Institute LLC провели исследования, в процессе которого выяснилось, яко порядка   60% технологических компаний и подле 42% магазинов никак не соответствуют GDPR. Буква информация показывает повсеместную незавершенность к новому регламенту, да и то, никто не отменяет административное выговор за незнакомство, а, следовательно, и нарушение правил регламента.

Штрафы будут соразмерны нарушению, ощутимы во (избежание компаний, же не приведут к закрытию организации, почему очень имеет большое значение!

Каким образом могут отдубасить штрафы?

Роскомнадзор иль иной центр, который имеет работа на территории   РФ, мало-: неграмотный может вам оштрафовать за неправильность европейскому регламенту. Настоящий штраф будет выписан надзорным органом одной с стран-членов Сделал, при этом навязать к его оплате, докол вы   находитесь нате территории   РФ, прыщ на ровном месте не может. Только, предположим, вы   направились в Испанию нате отдых, ведь на таможне вы предложат его забашлять, т.к.   в рамках законодательства многих стран Евросоюза административную ручательство может нести доковладелец бизнеса.

Еще одни последствия, которые вы могут ожидать: контрагенты другими словами клиенты могут поставить требования по исполнению основных требований GDPR. Последовательно предположить, если ваша отправления не соответствует регламенту, ведь, скорее всего, с вами расторгнут договоры.

Причитающийся вероятный сценарий: корректирующий орган может выпустить на своем веб-сайте информацию о вашем несоответствии регламенту   и, в духе следствие, ваша сестра   потеряете клиентов. Европейское законы устроено таким образом, почто компанию, которая работает с контрагентами, несоблюдающими GDPR бесцельно   же штрафуют вслед за работу с неблагонадежными компаниями. В поправка, возможен запрет со стороны регулятора   Нашел европейским компаниям корпеть с вами.

И в завершении «страшилки», страны Европейского союза задумываются о создании «blacklist» и блокировки неблагонадежных сайтов.

В итоге последствия нарушений регламента GDPR объемисто шире, нежели нежели просто выписанный фант.

Что но нужно сделать, дай тебе не попасть сверху штрафы, потерю клиентуры в территории   Сделал и соответствовать GDPR?

• Установить вашего Представителя в Сделал;

• Определить законные основы для обработки данных;

• Попользовать процессы реализации прав физических лиц и защиты их данных;

• Молва учет процессов обработки   ПД и подготовки документации;

• Признать достоинства риски и провести в жизнь организационные и технические мероприятия по снижению рисков на физических лиц;

• Судить инспектора по защите данных.

Сие основные требования «большими мазками», которые нужно выполнить по защите персональных данных единодушно GDPR. С что такое?   же начать?

Первые оперативные (необходимые) шаги

Владельцы корпоративных сайтов река интернет-магазинов, которые видят, как будто попадают перед требования GDPR   и, далеко не имеющие офисов иль филиалов ни в одной с стран Евросоюза, должны вкатать Представителя в одной изо стран   Есть, где осуществляется наибольшая работенка.

Кто такой «Представитель» и за каким (чертом он   нужен?

Избранник — это юридическое то есть (т. е.) физическое рыльник, которое, как требование, занимается профессионально защитой персональных данных. В дело Представителя входят ответы бери различные требования физических лиц и регулирующих органов о соответствии вашей деятельности требованиям GDPR.

1

Выбираем Представителя

Какую информацию могут спросить у Представителя? Как например, документацию: перечень обработки персональных данных, идеже указываются все процессы обработки ПД. Угоду кому) ответа для запросы физических лиц существуют определенные сроки: поперед 30   дней с возможностью пролонгации срока вновь на 2 месяца.

Немаловажным фактором является   так, что к Представителю могут управляться физические лица со долее) (того Евросоюза, а ваш Фактор должен отвечать получи запросы возьми том языке, для котором они были написаны. К сожалению, нате сегодняшний мгновение компаний, которые могут подготовить реплика на всех языках стран   Yes мало, поэтому держи первое сезон будет достаточно перевода Google translate. Ежели вы   собираетесь найти Представителя в Германии, в таком случае рекомендую заметить себе, что право данной страны «славится» своей жесткостью в области защиты персональных данных в сравнении с остальными странами   Йес, поэтому ее   выбор (делать лучше всего в последнюю кортеж. Помимо этого, нужно знать, что Посредник назначается на основании письменного поручения — договора о назначении физлица либо организации своим Представителем в рамках GDPR (ст.   4   GDPR).

Следующим шажком будет правильная возделывание cookie-файлов и метаданных

Держи основание GDPR cookie-файлы и метаданные этак   же являются персональными данными, которые позволяют отождествлять субъекта ПД. В данном случае подразумевается, по какой причине мы   невыгодный идентифицируем конкретного человека с его паспортными данными и местом жительства, а используем информацию об его активностях для сайте для того возможной коммуникации по части средствам отправки email либо — либо таргетирования рекламы.

2

Держи обработку данных cookie-файлов надлежит согласие

Если в России будет предупреждения, что продолжая (жар) загребать сайтом, будут подвергаться обработке   ПД, то в Евросоюзе существует большая житейское море по поводу того, не хуже кого именно вынимать такие согласия. Самое базис — нужно точное симметрия посетителя. Например, быть переходе держи сайт островитянин Евросоюза должен приложить галочку или сжать кнопку, что спирт   дает согласие получи и распишись обработку своих cookie-файлов.

Если только пойти дальше, ведь на передачу в каждую систему обработки данных поведения пользователя нельзя не отдельное согласие, немедленно идет речь о таких системах вроде Google Analytics и Яндекс.Выпись.

Настоятельно рекомендую пускать в ход готовое решение, которое позволяет настроить альпиниада согласия на обработку cookie-файлов «под себя» и, рядом необходимости, выявить регулятору или физическому лицу, зачем согласие ото него было получено. Намек cookie-бота.

Privacy Notice &   Privacy policy

Как сговорились GDPR владелец web-сайта поставлен в необходимость уведомить физическое морд(очк)а о том, (то) есть персональные талантливость будут использованы: в каких сервисах, как будто с ними будут свершать, куда передавать. Всю эту информацию что дел внести в Privacy Notice.

По образу правило, с целью не созидать лишний документ, многие европейские коллеги делают тотальный — Privacy policy, не в пример входит Privacy Notes, т.е. повестка о том, на правах персональные талант человека будут подвергаться обработке и защищаться. В Privacy policy, (как) будто правило, указывается проститутка информация о фолиант, как обрабатываются персональные причина, отношение к обработке данных детей, подобно ((тому) как) подтверждается разделывание специальных категорий   ПД (в томище числе биометрические исходняк) и Cookie policy — поведение в отношении сбора cookie-файлов, их обработки, средств обработки и целей использования.

Постоянно на практике встречается в такой степени, что у компаний есть не Вотан web-сайт, либо героев владеет несколькими инет-магазинами. Что в этом случае копат: создавать одну Privacy policy либо для того каждого сайта свою? —   Альтернативность за Вами. Могу предложить следующее: если сайты действуют приземленно одинаково в рамках обработки и сбора персональных данных, ведь можно заронить семя одну Privacy policy, разделив в самой политике пункты интересах каждого сайта; неравно   же сайты чувствительно различаются, то предпочтительнее делать для каждого свою Privacy policy.

3

Создаем политику: Privacy Notice + Privacy policy + Cookie policy

Церемониал GDPR предусматривает понятное орфограмма Privacy policy, т.е.   получай языках стран, с которыми вас   работаете, и сверху простом языке, так чтоб «и ребенку было понятно»

Мало-: неграмотный хотите собирать политику вручную? —   предлагаю попользоваться специальным сервисом.

Data Processing Agreement

Следующим предрассудок соответствия GDPR является соответствие на наказ обработки персональных данных Data Processing Agreement (DPA). После данному документу физические лица поручают вас обработку ПД.

Протокол актуально, когда у вы интернет-магазин, скоммутированный с b2b или общий сайт, который реализует b2b служба, в рамках которых европейские клиенты, юридические лица, поручают вас обработку персональных данных пользу кого достижения своих целей. Текущий документ необходим вы при оказании сервисных услуг, как например, веб-сервисов, таких (то) есть CRM-системы, рекламные системы и др.

4

Data Processing Agreement — союз на возложение обработки персональных данных

GDPR далеко не регулирует запросы к языку, бери котором необходимо быть написан DPA, ввиду этого будет достаточно снять стружку соглашение на английском языке. Таковой документ должен скреплять своей подписью двумя сторонами, в рассуждении сего рекомендую использовать цифровую рукоприкладство (ЦП), которая хорошего понемножку иметь юридическую силу в странах   Нашел, либо выложить сделка в открытый ход, чтобы клиент был в состоянии его самостоятельно переписать и отправить обычной почтой вы. Последний вариант поможет короткий срок подписать документ, без- опасаясь европейского законодательства по мнению ЦП.

Подчас вы   берете персональные документация на обработку, поручительство перед законом, в случае вашего нарушения, лежит получи и распишись controller (подобие оператора   ПД), вам   же являетесь processor, с лица, которое обрабатывает ПД. Благо что-то содеялось, controller пострадает, как-никак, по данному договору ваша милость   должны будете ему предоставлять компенсацию ущерб, если иное малограмотный написано в договоре.

Единство на обработку персональных данных

Симфония на обработку персональных данных является только лишь одним из законных оснований в области GDPR. Нередко компании уходят ото обработки   ПД нате своих сайтах, что ни говорите, согласие требуется в случае подписок держи рассылки, скоринг, профайлинг и т.д.

Подле наличии регистрации держи сайте, в которой вас нужны данные человека как для оформления ему товара, и, даже если эти   ПД входят в стандартное пользовательское ринг, то соглашения хорош достаточно, НО даже если вы   эти информация планируете использовать интересах e-mail рассылок, ведь необходимо modus vivendi. Строгой формы согласия нате обработку персональных данных в отлучке, однако оно требуется быть понятным. Благодаря этому рекомендую прописывать в согласии цели (на чего цифирь берутся) и ссылку сверху Privacy policy, идеже написано, как с годами можно отозвать солидарность. Согласие должно находиться (в присуствии) так   же не мудрствуя лукаво отозвано, как и получено.

Помните, как будто на каждую задача нужно отдельное симметрия и без сего в Европе никуда.

5

Выцарапать согласие на обработку персональных данных

Единомыслие на обработку данных достоит осуществляться на добровольных началах, минуя принуждения человека. В Google и Facebook уж поданы иски в частности по этой причине. Близ регистрации пометка на концерт обработки персональных данных малограмотный должна глазами) обязательной для дальнейшей регистрации.

Словно должно въедаться в согласие, какие компетенция есть у субъекта персональных данных? В рамках   ст.   13   GDPR муж (совета) имеет право   в:

• знание о томище, как будут подвергаться обработке   ПД;

• доступ к своим персональным данным;

• модифицирование своих   ПД;

• пренебрежение (удаление) физическим внешне персональных данных;

• выгрузку ПД.

В случае потери. Ant. доход информации о персональных данных, вас необходимо в направление 72   часов авизировать об этом инспекционный орган (ст.33   GDPR).

В соответствии с мнению регуляторов   Yes, права физических лиц удобнее сумме автоматизировать.

Итого самый малый пакет состоит   изо:

• Уведомления об обработке персональных данных (Privacy Notice);

• Privacy policy;

• Политики защиты персональных данных;

• Согласия возьми обработку персональных данных;

• Соглашения в лоне оператором персональных данных (controller) и обработчикам персональных данных (processor), в случае необходимости (Data ProcessingAgreement);

• Cookie policy.

ICO подготовили ответы получи и распишись часто задаваемые вопросы согласно GDPR.

GDPR защищает карт-бланш физических лиц (таким 152-ФЗ в России. Российские регуляторы в основном обращают подчеркнуть что на годность документации закону о персональных данных, в Европе   а регуляторы акцентируют рачительность именно на соблюдении прав физических лиц, а европейские население активно ходят в суды и отстаивают близкие права вместе с регуляторами.

В взаимопомощь вам, хочу вогнать небольшую статистику еще поданных жалоб: ровно по последним данным вслед за период с 25 мая объединение 5   июля сверху территории Австрии было подано 169 жалоб получи неприкосновенность частной жизни, 30   с которых являются трансграничными, в томище числе, поданы жалобы получи дочерние компании Facebook, WhatsApp и Instagram.

GDPR отнюдь не 152-ФЗ «О персональных данных» — штрафы с лишком, требований тоже и в соответствии с факту симпатия   является рентой в (видах работы с персональными данными европейцев.

Благодаря этому, если рынок Европы в (видах вас важен, без участия выполнения GDPR приставки не- обойтись.

Толкование:
Дмитрий Бороздин, узловой директор retailCRM

Расскажу для наш регенерат. retailCRM технологически трансформировать не нужно. Сингония уже предусматривают достижимость изменения или удаления персональных данных, их выгрузки вдоль запросу клиента. А вона интернет-магазинам, скоренько всего, придется переоценить опыт работы с персональными данными. Особенно, коли они планируют делать с клиентами с ЕС.

Разве вы хотите каков по правилам GDPR, так в вашей компании в закромах сотрудников, которые до малейших подробностей знакомы с положениями нового закона — отпустило обратиться к юристам.

Пусть исключить риски, связанные с нарушением GDPR, компаниям нужно усвоить несколько этапов:

• Обитать аудит обрабатываемых данных: какие сведения собираем, где и коих) пор времени храним, равно как они защищаются и до чего возможно выполнение запроса об удалении

• Дать толчок юридические основания сбора данных: вне определенных данных вас не сможете претворить свои обязательства, к примеру сказать, не предвидя адреса, интернет-секс-шоп не доставит посылку покупателю. С согласия клиента — вас имеете право возьми сбор таких данных

• Послужить источником политику конфиденциальности, изложенную четким и понятным в целях пользователя языком — без участия трехэтажных юридических терминов

• Предупреждать пользователей о сборе данных и достигать согласие на их обработку (никаких форм «молчаливого согласия», разрешенных до)

• Для компаний, обрабатывающих взрослые массивы данных, необходим последний сотрудник — Data protection officer, серьезный за защиту данных

• Предугадать криптографические средства защиты всех персональных данных (криптооперация)

• Вся документация должна оказываться на языке понятном пользователю: разве вы планируете рулить бизнес во Франции — овчинка выделки стоит озаботиться переводом получай французский стиль, не ограничиваясь лишь только английской версией, и тд.

Ткомедиограф: Максим Лагутин, Б-152 (Заводитель и ведущий специалист в области защиты персональных данных)

]]>