Что вам нужно знать о GDPR
Блог

Что вам нужно знать о GDPR

Новый регламент о защите персональных данных

GDPR

уже действует несколько месяцев. Но если вы до сих пор не понимаете суть нового закона. Не знаете касается ли он вашей фирмы. Тогда читайте эту статью. Просто разберёмся во всём ещё раз.
Что вам нужно знать о GDPR
Что такое GDPR?

GDPR

(General Data Protection Regulation) – закон, который объясняет бизнесу, как собирать, обрабатывать и хранить

персональные данные граждан ЕС

.
Почему приняли данный закон?
Базы данных стали очень часто красть и незаконно их использовать. Например, в марте 2018 года Facebook допустил утечку данных 50 миллионов пользователей. Новый закон защищает интересы обычных людей и их право на конфиденциальность.
Какие именно персональные данные защищает

GDPR

?
Любые данные о человеке, по которым его можно идентифицировать. То есть прямо или косвенно узнать. Это ФИО, пол, адрес, телефон, возраст, местоположение.
К персональным данным в Сети также относятся:
  • e-mail;
  • cookie;
  • аккаунты в соц.сетях и посты в них;
  • в некоторых случаях IP-адрес.
Отдельным пунктом в

GDPR

прописаны типы данных, которые собирать запрещено. Это информация о расовом и этническом происхождении, информация о состоянии здоровья, политические взгляды, религиозные или философские убеждения, генетические и биометрические данные, сведения о сексуальной жизни и сексуальной ориентации.
6 основных принципов обработки данных по

GDPR

:
  • «Законность, справедливость, прозрачность». В политике конфиденциальности компания должна чётко и понятно объяснить, какие данные пользователей собирает, для чего это делает и как будет далее их использовать.
  • «Ограничение цели». Компания должна собирать только те данные, которые соответствуют заявленным целям. Если цели сбора данных изменились, но они и дальше продолжают использоваться – это будет явным нарушением.
  • «Минимизация данных». Нельзя собирать больше данных, чем требуется для для достижения конкретной цели. К примеру, для заказа обратного звонка не обязательно знать семейное положение пользователя.
  • «Точность». Некорректные данные о пользователях нужно своевременно обновлять или удалять.
  • «Ограничение хранения». Пользовательские данные не должны храниться дольше, чем это необходимо для достижения цели.
  • «Целостность и конфиденциальность». Компания должна защитить данные от незаконного доступа, повреждения или удаления.
Как определить,

попадает ли ваша компания под GDPR

?
Если компания, её филиалы или представительства находятся на территории ЕС, она однозначно попадает под действие GDPR.
Компаниям, которые находятся за пределами ЕС, нужно ответить на следующие вопросы: Среди ваших клиентов есть граждане и резиденты ЕС? На своём сайте вы собираете, обрабатываете и храните их персональные данные? Если вы утвердительно ответили на эти вопросы, то ваша компания попадает под действие GDPR. Даже если у вас всего лишь 1 клиент из страны ЕС. При этом совершенно неважно, где ваш офис располагается территориально.
Если ваша ЦА – граждане ЕС, ваш сайт имеет версию, которая написана на одном из европейских языков, цены на товары и услуги указаны в европейской валюте, переделать политику конфиденциальности нужно обязательно.
Также под действие закона попадают компании, которые отслеживают действия пользователей, производящиеся на территории ЕС, например это аналитика данных для целей рекламы.
Если же где-то в Ижевске у вас есть маленькая компания и веб-страница для работы с гражданами РФ, то для вас новый закон не страшен. Для вас главное соблюдать ФЗ «О защите персональных данных». Почитайте о нём тут.
А разовая сессия вас ни к чему не обязывает. Тут совершенно неважно, кто посетил ваш сайт: реальный европеец или Михаил из Санкт-Петербурга через французский IP.

Как соблюдать GDPR

?
  1. Разместите на сайте Согласие на обработку персональных данных для пользователей на английском языке. Доходчиво распишите, какие пользовательские данные собираете. И на каких условиях это делаете.
  2. Сообщайте пользователям о том, что собираете их персональные данные. На сайте должно быть настроено уведомление о сборе cookies.
  3. Спрашивайте у пользователей согласие на хранение и обработку персональных данных. Для этого нужно добавить галочку «Я согласен на обработку своих персональных данных». Но пользователь должен нажать её самостоятельно.
  4. Запретить обработку данных для пользователя должно быть так же легко, как разрешить. В GDPR предусмотрено право на забвение, которое дает пользователю возможность запросить удаление его личных данных.
  5. Назначьте ответственного представителя на территории Евросоюза.
    Любая компания, попадающая под действие GDPR, должна иметь офис или письменно назначенного представителя в ЕС. Реквизиты офиса или представителя указываются в Согласии на обработку персональных данных. И именно на эти адреса должны направляться документы от пользователей и извещения от регуляторов (жалобы, уведомления о проверках и прочее).
    Список национальных регуляторов по всем странам Евросоюза можно посмотреть тут.
  6. Сообщайте о потери данных в течение 72 часов. Вы несёте за это ответственность.
Что будет, если не соблюдать требования GDPR?
Вашей компании грозит штраф до 20 млн € или 4% от годового оборота компании.
Что вам нужно знать о GDPR
Что ещё почитать по теме?
  • Официальный текст закона вы найдёте по этой ссылке.
  • Краткая русскоязычная презентация про GDPR от PwC доступна здесь.
Подытожим
  • определите,

    попадает ли ваша компания под действие GDPR

    ;
  • если да, то примите

    меры по соблюдению требований GDPR

    ;
  • сделать это можно самостоятельно или же привлеките внешних консультантов.

Надеемся, что теперь

суть GDPR

стала вам понятнее. А правильно обрабатывать персональные данные пользователей нужно вне зависимости от принятых законов. Ведь иначе вы рискуете нанести серьёзный репутационный ущерб своей компании. Люди просто перестанут доверять вам любую личную информацию. В итоге вы потеряете клиентов и партнёров. А это хуже, чем любой штраф.
Следите за нами в социальных сетях
Сайт использует файлы cookies и сервис сбора технических и гео данных его посетителей.
Продолжая использовать данный ресурс, вы автоматически соглашаетесь с использованием данных технологий.
ООО "АйТиБрик", © 2010-2018

Разработка программ по всей России

Политика обработки персональных данных
г. Казань, ул. Каюма Насыри 25, офис 410
Пн-Пт: 09.00 - 18.00, Сб и Вс - выходной
info@itbrick.ru

Оставить заявку

Ваше имя:
Телефон:
E-mail:
Ваша идея:
Прикрепить файл

Спасибо за обращение!

Наш специалист свяжется с вами в течении рабочего дня.