GDPR: 5 вопросов, на которые необходимо ответить до мая, чтобы не получить миллионные штрафы от ЕС
Дело в том, что 25 мая вступит в силу новый документ Европейского союза — Общий регламент по защите данных (GDPR). Он установит новый стандарт прав потребителей в отношении их данных. Компании, в свою очередь, должны привести свои системы сбора данных и процессы в соответствие с этими требованиями.
За несоответствие новому регламенту предусмотрены серьёзные штрафы — до 20 миллионов евро или 4% годового глобального дохода компании.
Действие GDPR распространяется на все компании, обрабатывающие данные граждан ЕС, даже если она находится не в стране ЕС. В том числе новые правила коснутся украинских SaaS-компаний.
Чтобы быть уверенными в том, что ваша компания соответствует требованиям GDPR, стоит ответить на следующие 5 вопросов.
1. Проводили ли вы аудит данных?
Изучите все информационные потоки: откуда вы получаете, где храните личную информацию пользователей и кому передаёте. Это кажется простым и очевидным, но на деле в процесс могут быть вовлечены сторонние сервисы, унаследованные системы или плагины.
Полученные точки сбора изобразите на блок-схеме — так проще будет ориентироваться и отмечать слабые секторы вашей обороны. И не забудьте об IP-адресе — информацию о нём тоже можно идентифицировать.
После такого аудита компания должна выбрать, какие операции по обработке данных намеревается выполнять, и какую правовую основу будет использовать для их обоснования: согласие на обработку или законные интересы. В зависимости от того, что вы выберете, вам необходимо задокументировать и быть в состоянии обосновать механизмы обработки.
Выбор правовой основы очень важен — вы не сможете без последствий изменить его в дальнейшем.
Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучать персонал, проводить проверки деятельности по обработке данных, вести документацию по процессам обработки.
2. Согласие — это верный курс?
Любые формы, документы и разделы вашего сайта, которые требуют данных пользователя, должны так или иначе содержать подтверждение согласия на обработку данных. Согласие должно конкретным и недвусмысленным. Человек должен понимать, на что дает согласие, а не просто отмахиваться от назойливого всплывающего окна.
Если ваш ресурс соответствует данным правилам, вам не нужно заново просить согласия у ваших клиентов — данное условие будет актуальным только при обновлении правил и политики сбора информации.
3. Каковы ваши "законные интересы"?
Согласие не всегда может быть лучшей правовой основой для обработки данных. Джон Митчисон, глава отдела стратегии в DMA, считает, что "вашим первым выбором должны быть законные интересы". Только при невозможности принятия данной правовой основы компании стоит внедрять политику согласия.
Вкратце суть такой политики выглядит так: вы должны сообщить своим пользователям, какие данные и для чего обрабатываете, и позволить им отказаться, если они против.
Такой подход выглядит простым и удобным, но и в нём не обходится без нюансов.
1) Ваша компания не должна собирать данные, которые вам не нужны. Ещё раз проверьте цели компании и убедитесь, что вы не выходите за их рамки;
2) Право на забвение: по первой же просьбе пользователя из ЕС компания обязана удалить все данные о нём в системе, если это не противоречит интересам общества.
Со сроками для удаления данных все тоже очень интересно. В GDPR написано, что компания сама должна их установить. Но сейчас нет механизма, который бы позволил компании удостовериться, что запрос на удаление можно удовлетворить, потому что человека, например, не ищут правоохранительные органы.
4. Готовы ли вы к форс-мажору?
GDPR не только оговаривает правила обработки данных. Для ЕС важно также и то, как вы реагируете на чрезвычайные ситуации. В течение 72 часов после обнаружения утечки, хакерской атаки или любого нарушения вы обязаны уведомить регулирующие органы.
У вас должен быть план быстрого реагирования — список действий, которые вы предпримете при чрезвычайной ситуации. Более того, это защитит вас от санкций — со своей стороны вы сделали всё верно, остальное — тот самый форс-мажор, когда от вас ничего не зависело. И если против вашей компании будет расследование, европейские чиновники будут изучать, предприняли ли вы все достаточные меры для того, чтобы защитить собранные данные.
Какие меры достаточные — тоже не указано.
Ярким примером, как делать не стоит, служат две новости — о хакерской атаке на Uber и сливе базы клиентов "Новой Почты". И в том, и в том случае никаких действий предпринято не было. Кар-сервис и вовсе сообщил о ЧП через год. После 25 мая такой подход сулит вашей компании большие неприятности.
5. Ваша мама понимает политику конфиденциальности вашей компании?
В создании шаблонов и алгоритмов важно руководствоваться правилом "а поймёт ли это обычный пользователь". Вы должны рассказать всё своим клиентам и сделать это так, чтобы они сами смогли во всем разобраться.
После введения GDPR изменится принципиальный подход к политике конфиденциальности: теперь она направлена не на защиту бизнеса, а на информирование потребителя.
Конечно, это означает, что вы должны придерживаться совершенно иной позиции. Даже язык ваших документов, которые прочтут пользователи, должен быть для людей, а не для юристов.
Чтобы соответствовать новым правилам, придётся поработать: пересмотреть и проанализировать всю систему сбора, обработки и хранения данных, разработать политики и инструкции.
Однако внедрение GDPR, несмотря на строгие требования и серьёзные штрафы, несёт и положительные изменения: компании гораздо проще подстроиться под единый регламент, чем учитывать нюансы в каждой стране Евросоюза.