GDPR — всё, что нужно знать о новом регламенте ЕС по защите данных

Закон вступил в силу 25 мая
25 мая 2018 года начал работать новый Общий регламент ЕС по защите личных данных (GDPR). Закон распространяется на все компании, которые обрабатывают личные данные граждан Евросоюза.

Разбираемся, нужно ли что-то менять в своей политике компаниям и фрилансерам из стран, которые не входят в ЕС. А также проясняем вопрос с VPN.

Статья подготовлена при помощи юриста Натальи Мосуновой, докторанта Университета Восточной Англии.

Как понять, касается ли вас GDPR

Цель новых правил — защита интересов граждан от манипуляций и незаконного использования их данных крупными корпорациями.
докторант Университета Восточной Англии (UEA), юрист, LLM

К небольшим компаниям (особенно за пределами ЕС) требования мягче. Пример: у вас есть сайт на русском языке для ведения бизнеса с русскоязычными клиентами. На сайт заходит гражданин ЕС и оставляет там данные. В этом случае вы не подпадаете под новые правила, потому что сайт не был ориентирован на европейскую аудиторию, а у вас не было цели собирать и анализировать данные граждан Евросоюза.

Закон касается вас, если:

  • Товары и услуги на сайте предлагаются европейцам

  • Вы отслеживаете клиентское поведение граждан ЕС

Оба этих условия должны присутствовать одновременно.

Признаки, по которым определяют, что целевая аудитория сайта — европейцы:

  • Сайт написан на одном из европейских языков

  • Цены товаров или услуг указаны в валюте стран ЕС

  • Граждане ЕС любым способом обозначены на сайте, как целевая аудитория

GDPR распространяется на ситуации, когда компания не просто получает или обрабатывает персональные данные, а намеренно и последовательно собирает их с целью создания профайла пользователя, принимает решения в отношении пользователя, анализирует и предсказывает пользовательские предпочтения на основе этих данных.

Таким образом, установлен обязательный активный элемент для применения новых правил к компаниям вне ЕС; случайного взаимодействия с европейским пользователем для этого недостаточно.

докторант Университета Восточной Англии (UEA), юрист, LLM

Пока нет конкретных критериев, которые бы помогли определить, занимается сайт активным сбором данных или нет. Наталья Мосунова и юристы из профессиональных сообществ в Фейсбуке считают, что здесь тоже будет учитываться язык, валюта и целевая аудитория. Соответственно, если целевая аудитория сайта не европейцы, то у вас нет цели активно собирать и анализировать их данные.

Как быть с пользователями, которые заходят через VPN

Многих предпринимателей запутала ситуация с VPN: на сайт может зайти пользователь из России, но через ip-адрес страны ЕС. На деле это мало влияет на ситуацию.

Если ваш сайт ориентирован на европейскую аудиторию, вы продаете услуги в валюте ЕС и пишете объявления на английском языке — переделывать политику все равно придется. А если нет — то разовая сессия ни к чему вас не обязывает. В этом случае неважно — зашел на сайт настоящий европеец или Анатолий из Москвы через немецкий ip-адрес.

Что делать, если вы подпадаете под GDPR

  • Переписать политику приватности как можно более понятным и простым языком

  • Указать в политике все сторонние компании, которые получают от вас персональные данные, дать ссылки на их политики приватности

  • Настроить уведомление, что ваш сервис собирает файлы cookie — оно должно появляться сразу при входе на сайт

  • Добавить во все формы и анкеты для пользователей уведомления о сборе персональных данных. Галочка перед «Я согласен» по умолчанию должна быть снята

  • Если вы обрабатываете персональные данные на постоянной основе, вам понадобится ответственный представитель в Европе

Новые права пользователей

Человек может обратиться в любую компанию, которой сообщал свои персональные данные, и потребовать полный перечень имеющейся информации о себе в электронном или бумажном виде. Также можно потребовать удалить все сведения.

Как продвигать сайт в поиске без сеошника

Как ЕС будет разбираться с нарушителями из других стран

Пока непонятно, как ЕС планирует отслеживать и наказывать компании из других стран. Вариантов здесь немного.

Сейчас юристы скептически оценивают возможность применения этих правил к компаниям, никак не связанным с ЕС (то есть тем, у кого нет ни филиалов, ни представительств на территории Евросоюза). Единственная очевидная возможность воздействовать на такие компании — это использовать материалы расследования европейских властей для того, чтобы подать иск к компании в стране ее регистрации.

докторант Университета Восточной Англии (UEA), юрист, LLM

Важное для компаний

Персональные данные — любая информация, которая позволяет прямо или косвенно идентифицировать человека. Помимо имени, адреса и номера телефона, это адрес email, cookie-файлы, IP-адрес и результаты отслеживания поведения в сети.

Отдельная группа — информация о расовом и этническом происхождении, генетических и биометрических данных, религиозных взглядах, сексуальной ориентации и состоянии здоровья. Обрабатывать такую информацию можно только в строго определенных случаях и со множеством ограничений.

Оператор персональных данных — компания, в интересах которой собираются эти данные. Оператор не должен получать информацию без согласия пользователя. В случае нарушения правил хранения или утечки данных он несет всю ответственность.

Если компания собирает персональные данные на постоянной основе и это для нее ключевая деятельность (например, если это сервис почтовых рассылок) — у них должен быть специальный менеджер по обработке персональных данных. Он обязан следить за соблюдением закона, инструктировать сотрудников компании и сообщать руководству, если необходимо принять какие-то меры для защиты данных.

Если данные жителей ЕС обрабатывает компания, не зарегистрированная в ЕС — ей нужно назначить своего ответственного представителя, который постоянно находится в Европе. Таким представителем может быть человек или организация.

Резюме

  • Если европейцы не целевая аудитория вашего сайта — не беспокойтесь по поводу GDPR.

  • Случайные посетители из стран ЕС не делают вас нарушителем новых правил. Это касается и переходов с помощью VPN.

  • Менять политику надо, если товары и услуги на сайте продаются в валюте ЕС, сайт написан на европейском языке и отслеживает клиентское поведение посетителей.