25 мая 2018 года в Евросоюзе (ЕС) вступил в силу General Data Protection Regulation (GDPR), который регулирует правила по защите персональных данных (ПД) европейцев и имеет свое влияние по всему миру. За несоблюдение данного регламента компанию ожидают нешуточные штрафы.

Предлагаю разобраться: необходимо ли вашей компании проверить документы на соответствие GDPR?

Кто должен выполнять требования GDPR?

В первую очередь под требования регламента попадают компании, которые работают с жителями Европы, при этом необязательно иметь офисы на территории ЕС, достаточно будет корпоративного сайта, нацеленного на пребывающих в Европе. Под эту категорию попадают интернет-магазины, гостиницы, имеющие на своих сайтах функцию онлайн-бронирования, travel-агентства, страховые компании, веб-сервисы или мобильные операторы. Такой список компаний можно перечислять бесконечно, но их объединяет одно: сбор и обработка персональных данных жителей ЕС, а значит, такие компании обязаны выполнять требования регламента GDPR.

Важно! Один из ключевых моментов регламента — выявить, чьи персональные данные защищает GDPR. К ним могут относиться резиденты стран ЕС, беженцы, туристы и иные лица, которые находятся на территории Евросоюза, т.е. любой человек, который пребывает на территории ЕС (пункт 2 Преамбулы, ст. 3 GDPR).

В каких еще случаях компаниям необходимо будет готовить документы на соответствие GDPR?

Если корпоративный сайт имеет:

• Обратную связь с техподдержкой на языке одной из стран Европейского союза;

• Ваша реклама направлена на жителей ЕС;

• Вы осуществляете мониторинг действий физических лиц (физлицо), находящихся на территории ЕС;

• На сайте явно указано, что компания продвигает свою продукцию на территории одной или нескольких стран Евросоюза.

Один из перечисленных пунктов относится к сайту вашей компании? — Вы попадаете под действие регламента GDPR.

Разберем отдельно ситуацию вокруг интернет-магазинов. Снова будет достаточно одного пункта из перечня и вам следует проверить документы на соответствие GDPR:

Вы владелец интернет-магазина

• продукция которого может поставляться на территорию ЕС и это однозначно указано на сайте;

• имеете пункты выдачи в одной из стран ЕС;

• и возможно оплатить продукцию в местной валюте.

Перечень действий, которые попадают под GDPR един для всех компаний вне зависимости от их вида деятельности, так что, если вы — владелец интернет-магазина, реклама которого направлена на жителей ЕС, то так же пора проверять документы на соответствие регламенту.

Выше перечислены достаточно очевидные признаки соответствия GDPR, но возможны и косвенные, например: вам передает персональные данные контрагент, находящийся на территории ЕС, для осуществления e-mail рассылки.

Откуда контролирующие органы узнают о несоблюдении регламента GDPR? — ответ очевиден, любой пользователь сайта может подать жалобу, например, через сайт неправительственного государственного органа, соответственно, регулирующий орган запросит у вас документы на соответствие регламенту. Запрос можно проигнорировать, но тогда вас ожидают штрафы и не только...

Немного о штрафах

За несоответствие регламенту придется заплатить кругленькую сумму до 20 млн. евро (около 1,5 млрд. руб.), либо до 4% от годового оборота компании, в зависимости от того, какая сумма будет больше (Преамбула (148)-(151), Статьи 58, 70, 83 Регламента GDPR).

Недавно MCDermott Will & Emery LLP совместно с Ponemon Institute LLC провели исследования, в процессе которого выяснилось, что порядка 60% технологических компаний и около 42% магазинов не соответствуют GDPR. Эта информация показывает повсеместную неготовность к новому регламенту, однако, никто не отменяет административное наказание за незнание, а, следовательно, и несоблюдение правил регламента.

Штрафы будут соразмерны нарушению, ощутимы для компаний, но не приведут к закрытию организации, что очень важно!

Каким образом могут наложить штрафы?

Роскомнадзор или иной орган, который имеет действие на территории РФ, не может вас оштрафовать за несоответствие европейскому регламенту. Данный штраф будет выписан надзорным органом одной из стран-членов ЕС, при этом принудить к его оплате, пока вы находитесь на территории РФ, никто не может. НО, предположим, вы направились в Испанию на отдых, то на таможне вам предложат его оплатить, т.к. в рамках законодательства многих стран Евросоюза административную ответственность может нести владелец бизнеса.

Еще одни последствия, которые вас могут ожидать: контрагенты или клиенты могут выставить требования по исполнению основных требований GDPR. Логично предположить, если ваша деятельность не соответствует регламенту, то, скорее всего, с вами расторгнут договоры.

Следующий вероятный сценарий: регулирующий орган может опубликовать на своем веб-сайте информацию о вашем несоответствии регламенту и, как следствие, вы потеряете клиентов. Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, несоблюдающими GDPR так же штрафуют за работу с неблагонадежными компаниями. В дополнение, возможен запрет со стороны регулятора ЕС европейским компаниям работать с вами.

И в завершении «страшилки», страны Европейского союза задумываются о создании «blacklist» и блокировки неблагонадежных сайтов.

Что же нужно сделать, чтобы не попасть на штрафы, потерю клиентуры на территории ЕС и соответствовать GDPR?

• Назначить вашего Представителя в ЕС;

• Определить законные основания для обработки данных;

• Использовать процессы реализации прав физических лиц и защиты их данных;

• Вести учет процессов обработки ПД и подготовки документации;

• Оценить риски и реализовать организационные и технические меры по снижению рисков для физических лиц;

• Назначить инспектора по защите данных.

Это основные требования «большими мазками», которые необходимо выполнить по защите персональных данных согласно GDPR. С чего же начать?

Первые оперативные (необходимые) шаги

Владельцы корпоративных сайтов или интернет-магазинов, которые видят, что попадают под требования GDPR и, не имеющие офисов или филиалов ни в одной из стран Евросоюза, должны назначить Представителя в одной из стран ЕС, где осуществляется наибольшая деятельность.

Кто такой «Представитель» и зачем он нужен?

Представитель — это юридическое или физическое лицо, которое, как правило, занимается профессионально защитой персональных данных. В обязанности Представителя входят ответы на различные запросы физических лиц и регулирующих органов о соответствии вашей деятельности требованиям GDPR.

Какую информацию могут запросить у Представителя? Например, документацию: перечень обработки персональных данных, где указываются все процессы обработки ПД. Для ответа на запросы физических лиц существуют определенные сроки: до 30 дней с возможностью пролонгации срока еще на 2 месяца.

Немаловажным фактором является то, что к Представителю могут обращаться физические лица со всего Евросоюза, а ваш Представитель должен отвечать на запросы на том языке, на котором они были написаны. К сожалению, на сегодняшний момент компаний, которые могут подготовить ответ на всех языках стран ЕС мало, поэтому на первое время будет достаточно перевода Google translate. Если вы собираетесь выбрать Представителя в Германии, то рекомендую помнить, что законодательство данной страны «славится» своей жесткостью в области защиты персональных данных в сравнении с остальными странами ЕС, поэтому ее выбирать лучше всего в последнюю очередь. Помимо этого, следует знать, что Представитель назначается на основании письменного поручения — договора о назначении физлица или организации своим Представителем в рамках GDPR (ст. 4 GDPR).

Следующим шагом будет правильная обработка cookie-файлов и метаданных

На основание GDPR cookie-файлы и метаданные так же являются персональными данными, которые позволяют идентифицировать субъекта ПД. В данном случае подразумевается, что мы не идентифицируем конкретного человека с его паспортными данными и местом жительства, а используем информацию об его активностях на сайте для возможной коммуникации по средствам отправки email или таргетирования рекламы.

Если в России достаточно предупреждения, что продолжая пользоваться сайтом, будут обрабатываться ПД, то в Евросоюзе существует большая практика по поводу того, как именно брать такие согласия. Самое главное — нужно точное согласие посетителя. Например, при переходе на сайт житель Евросоюза должен поставить галочку или нажать кнопку, что он дает согласие на обработку своих cookie-файлов.

Если пойти дальше, то на передачу в каждую систему обработки данных поведения пользователя требуется отдельное согласие, сейчас идет речь о таких системах как Google Analytics и Яндекс.Метрика.

Настоятельно рекомендую использовать готовое решение, которое позволяет настроить сбор согласия на обработку cookie-файлов «под себя» и, при необходимости, продемонстрировать регулятору или физическому лицу, что согласие от него было получено. Пример cookie-бота.

Privacy Notice & Privacy policy

Согласно GDPR владелец web-сайта должен уведомить физическое лицо о том, как персональные данные будут использованы: в каких сервисах, что с ними будут делать, куда передавать. Всю эту информацию необходимо внести в Privacy Notice.

Как правило, чтобы не создавать лишний документ, многие европейские коллеги делают общий — Privacy policy, куда входит Privacy Notes, т.е. уведомление о том, как персональные данные человека будут обрабатываться и защищаться. В Privacy policy, как правило, указывается общая информация о том, как обрабатываются персональные данные, отношение к обработке данных детей, как подтверждается обработка специальных категорий ПД (в том числе биометрические данные) и Cookie policy — политика в отношении сбора cookie-файлов, их обработки, средств обработки и целей использования.

Часто на практике встречается так, что у компаний имеется не один web-сайт, либо человек владеет несколькими интернет-магазинами. Что в этом случае делать: создавать одну Privacy policy либо для каждого сайта свою? — Выбор за Вами. Могу порекомендовать следующее: если сайты действуют практически одинаково в рамках обработки и сбора персональных данных, то можно создать одну Privacy policy, разделив в самой политике пункты для каждого сайта; если же сайты сильно различаются, то лучше делать для каждого свою Privacy policy.

Регламент GDPR предусматривает понятное написание Privacy policy, т.е. на языках стран, с которыми вы работаете, и на простом языке, чтобы «и ребенку было понятно»

Не хотите создавать политику вручную? — предлагаю воспользоваться специальным сервисом.

Data Processing Agreement

Следующим пункт соответствия GDPR является согласие на поручение обработки персональных данных Data Processing Agreement (DPA). По данному документу физические лица поручают вам обработку ПД.

Соглашение актуально, когда у вас интернет-магазин, связанный с b2b или корпоративный сайт, который реализует b2b услуги, в рамках которых европейские клиенты, юридические лица, поручают вам обработку персональных данных для достижения своих целей. Этот документ необходим вам при оказании сервисных услуг, например, веб-сервисов, таких как CRM-системы, рекламные системы и др.

GDPR не регулирует требования к языку, на котором должен быть написан DPA, поэтому будет достаточно прописать соглашение на английском языке. Этот документ должен подписываться двумя сторонами, поэтому рекомендую использовать цифровую подпись (ЦП), которая будет иметь юридическую силу в странах ЕС, либо выложить соглашение в открытый доступ, чтобы клиент мог его самостоятельно скачать и отправить обычной почтой вам. Последний вариант поможет быстро подписать документ, не опасаясь европейского законодательства по ЦП.

Когда вы берете персональные данные на обработку, ответственность перед законом, в случае вашего нарушения, лежит на controller (аналог оператора ПД), вы же являетесь processor, лицом, которое обрабатывает ПД. Если что-то случилось, controller пострадает, однако, по данному договору вы должны будете ему компенсировать ущерб, если иное не написано в договоре.

Согласие на обработку персональных данных

Согласие на обработку персональных данных является только одним из законных оснований по GDPR. Часто компании уходят от обработки ПД на своих сайтах, однако, согласие требуется в случае подписок на рассылки, скоринг, профайлинг и т.д.

При наличии регистрации на сайте, в которой вам нужны данные человека только для оформления ему товара, и, если эти ПД входят в стандартное пользовательское соглашение, то соглашения будет достаточно, НО если вы эти данные планируете использовать для e-mail рассылок, то необходимо согласие. Строгой формы согласия на обработку персональных данных нет, однако оно должно быть понятным. Поэтому рекомендую прописывать в согласии цели (для чего данные берутся) и ссылку на Privacy policy, где написано, как потом можно отозвать согласие. Согласие должно быть так же просто отозвано, как и получено.

Помните, что на каждую цель нужно отдельное согласие и без этого в Европе никуда.

Согласие на обработку данных должно осуществляться на добровольных началах, без принуждения человека. На Google и Facebook уже поданы иски именно по этой причине. При регистрации галочка на согласие обработки персональных данных не должна являться обязательной для дальнейшей регистрации.

Что должно входить в согласие, какие права есть у субъекта персональных данных? В рамках ст. 13 GDPR человек имеет право на:

• знание о том, как будут обрабатываться ПД;

• доступ к своим персональным данным;

• изменение своих ПД;

• забвение (удаление) физическим лицом персональных данных;

• выгрузку ПД.

По мнению регуляторов ЕС, права физических лиц удобнее всего автоматизировать.

Итого минимальный пакет состоит из:

• Уведомления об обработке персональных данных (Privacy Notice);

• Privacy policy;

• Политики защиты персональных данных;

• Согласия на обработку персональных данных;

• Соглашения между оператором персональных данных (controller) и обработчикам персональных данных (processor), в случае необходимости (Data ProcessingAgreement);

• Cookie policy.

ICO подготовили ответы на часто задаваемые вопросы по GDPR.

GDPR защищает права физических лиц аналогично 152-ФЗ в России. Российские регуляторы в основном обращают внимание на соответствие документации закону о персональных данных, в Европе же регуляторы акцентируют внимание именно на соблюдении прав физических лиц, а европейские жители активно ходят в суды и отстаивают свои права вместе с регуляторами.

В помощь вам, хочу привести небольшую статистику уже поданных жалоб: по последним данным за период с 25 мая по 5 июля на территории Австрии было подано 169 жалоб на неприкосновенность частной жизни, 30 из которых являются трансграничными, в том числе, поданы жалобы на дочерние компании Facebook, WhatsApp и Instagram.

GDPR не 152-ФЗ «О персональных данных» — штрафы больше, требований тоже и по факту он является рентой для работы с персональными данными европейцев.

Поэтому, если рынок Европы для вас важен, без выполнения GDPR не обойтись.

Дмитрий Бороздин
Генеральный директор retailCRM

Расскажу про наш продукт. retailCRM технологически менять не нужно. Система уже предусматривают возможность изменения или удаления персональных данных, их выгрузки по запросу клиента. А вот интернет-магазинам, скорее всего, придется пересмотреть опыт работы с персональными данными. Особенно, если они планируют работать с клиентами из ЕС.

Если вы хотите соответствовать правилам GDPR, но в вашей компании нет сотрудников, которые досконально знакомы с положениями нового закона - лучше обратиться к юристам.

Чтобы исключить риски, связанные с нарушением GDPR, компаниям нужно пройти несколько этапов:

• Провести аудит обрабатываемых данных: какие данные собираем, где и сколько времени храним, как они защищаются и насколько возможно выполнение запроса об удалении

• Привести юридические основания сбора данных: без определенных данных вы не сможете выполнить свои обязательства, например, не зная адреса, интернет-магазин не доставит посылку покупателю. С согласия клиента - вы имеете право на сбор таких данных

• Создать политику конфиденциальности, изложенную четким и понятным для пользователя языком - без трехэтажных юридических терминов

• Уведомлять пользователей о сборе данных и получать согласие на их обработку (никаких форм "молчаливого согласия", разрешенных прежде)

• Для компаний, обрабатывающих большие массивы данных, необходим новый сотрудник - Data protection officer, ответственный за защиту данных

• Предусмотреть криптографические средства защиты всех персональных данных (шифрование)

• Вся документация должна быть на языке понятном пользователю: если вы планируете вести бизнес во Франции - стоит озаботиться переводом на французский язык, не ограничиваясь лишь английской версией, и тд.