Что следует знать о GDPR
25 мая 2018 года в Евросоюзе вступил в силу Общий регламент о защите данных — General Data Protection Regulation, GDPR. Это документ, с помощью которого ЕС усилил и привел к единому формату защиту персональных данных физических лиц. За несоблюдение GDPR компании могут быть оштрафованы на сумму от 10 до 20 миллионов евро. В том числе — и российские.
Что такое GDPR
GDPR — это свод правил по сбору персональных данных в интернете с резидентов Европейского союза. Его цель — защитить личные данные пользователей. Если компания запрашивает такую информацию или собирает ее самостоятельно, она должна соблюдать регламент. Вот общий список требований:
- собирать данные только с согласия пользователя;
- использовать их только по заявленному назначению;
- после работы с данными — удалять их;
- уничтожать данные по требованию владельца;
- хранить персональные данные в безопасности;
- не распространять данные без согласия пользователя.
Это основное. Оригинал документа можно прочитать на сайте Европарламента.
Какие данные считаются персональными
Персональные данные — любая информация, по которой можно идентифицировать человека. Это может быть имя, фотография, IP-адрес, геолокация, физические характеристики — все что угодно. Такие сведения пользователь может оставлять самостоятельно или компания собирает их сама. Чаще всего информация поступают сразу двумя способами: например, человек сам пишет имя и адрес электронной почты, а компания берет данные о его IP-адресе, версии браузера и операционной системе.
Форма регистрации электронной почты в Яндексе. Все данные, которые нужно указать — персональные. Ниже требуется обязательно дать согласие на их использование и обработку.
Нужно ли соблюдать GDPR в России
Формально, российские компании не обязаны соблюдать GDPR — для них действует Федеральный закон N 152-ФЗ «О персональных данных». Но
Общий регламент о защите данных действует не только на территории Евросоюза, а распространяется на всех его гражданах, где бы они не находились. Тут нужно учесть, что у россиян может быть второе гражданство одной из стран ЕС или — если компания собрала и обработала персональные данные резидента Евросоюза — она обязана была это сделать по нормативам GDPR. Например, если российская авиакомпания продала билет гражданину Франции, она должна была это сделать в соответствии с GDPR.
Что делать, чтобы соблюдать GDPR
Если у вас есть клиенты из Европейского союза или переживаете, что кто-нибудь из резидентов ЕС воспользуется вашими услугами, нужно проверить, как идет работа с персональными данными сейчас и изменить ее согласно GDPR. Для этого можно заказать внешний аудит или сделать все самому. Вот основные критерии для соблюдения GDPR:
- Получать согласие на обработку персональных данных. Обрабатывать данные можно только с согласия людей. Сюда входит сбор, хранение, распространение, изменение, уничтожение и обезличивание информации. При этом нужно четко обозначить пользователю, какие конкретно данные и зачем вы у него берете.
- Анонимизировать данные для защиты от распространения. В GDPR нет конкретных требований к защите — главное, чтобы данные хранились надежно, их нельзя было украсть и по ним идентифицировать человека. Например, можно пропустить базу данных через шифрование, а ключи от нее хранить отдельно.
- Хранить документы и перечни всех действий по GDPR. Нужно задокументировать весь перечень мер по защите персональных данных. Если случится утечка информации, компанию могут освободить от штрафов на основании этого документа.
- Назначить ответственного за защиту данных. Этот сотрудник будет контролировать соблюдение мер безопасности и контактировать с надзорными органами по соблюдению GDPR. Кстати, в Jivo резиденты ЕС могут анонимно написать нашему сотруднику по защите данных — он ответит на все вопросы по хранящейся о человеке информации. Его почта: info@quick-gdpr.co.uk
Что будет, если не соблюдать GDPR
Бизнес может понести существенное наказание.
Компаниям, которые собирают персональные данные, но не соблюдают GDPR, грозят штрафы: от 10 до 20 миллионов евро или 4% дохода за предыдущий финансовый год
За нарушение GDPR уже оштрафовано много компаний, в том числе и очень известные. Вот несколько ярких примеров:
Авиакомпания British Airways оштрафована на 204 110 000 €. Причина — у нее украли персональные данные примерно 500 000 клиентов. Это имена, номера банковских карт, секретные коды CVV и адреса электронной почты. Правила GDPR требуют, чтобы такая информация была защищена всеми возможными техническими и организационными методами. Пока что это самый крупный штраф за нарушение GDPR.
Компания Google LLC оштрафована на 50 000 000 €. Причина — отсутствие прозрачности и использование персональных данных в рекламных целях. Эксперты посчитали, что компания Google недостаточно проинформировала пользователей об использовании их данных.
Австрийская почтовая компания Österreichische Post AG оштрафована на 18 000 000 €. Причина — продажа профилей с персональными данными политическим партиям и другим компаниям.
Как Jivo собирает персональные данные
Компания работает с персональными данными пользователей строго по законодательству Российской Федерации и с учетом требований GDPR, когда речь идет о ее зарубежных клиентах. Пользовательское соглашение Jivo на английском языке для иностранцев.
Форма регистрации в Jivo. Для начала мы просим указать электронную почту и придумать пароль. Обо всех нюансах работы с персональными данными рассказываем по ссылке в согласии на обработку.
Основные цели сбора информации в Jivo — безопасное и гарантированное выполнение услуг, в также улучшение качества сервисов и продуктов. При регистрации на сайте мы собираем такие данные: имя, фирменное наименование компании, адрес сайта, адрес электронной почты, а также IP-адрес, домен, тип браузера. Мы используем предоставленную информацию для того, чтобы обеспечить вам обслуживание клиентов с помощью чата на сайте и других видов услуг. Компания также собирает данные об устройстве, с которого производится вход: тип операционной системы и версия приложения. Это делается для того, чтобы оптимизировать работу сервиса. Все данные, которые собирает Jivo, полностью анонимны.
Как Jivo помогает бизнесу соблюдать GDPR
Чат Jivo можно устанавливать на сайты по всему миру: компания работает в России и СНГ, Бразилии и Латинской Америке, Турции, США и Европе. Очевидно, что для многих наших пользователей соблюдение GDPR — необходимое условие для ведения бизнеса. В Jivo можно настроить чат таким образом, чтобы ваши клиенты давали согласие на обработку и сбор персональных данных — это одно из ключевых требований GDPR.
Настройка чата для соблюдения GDPR. Инструкция и подробности собраны на специальной странице.
Как владелец сайта, подпадающего под действие GDPR, вы должны сообщить своим клиентам, что будете собирать их персональные данные. Первое, что необходимо сделать — включить уведомление об обработке данных. Так клиенты гарантированно будут осведомлены и смогут дать свое согласие. Инструкцию по настройке чата для соблюдения GDPR мы собрали на отдельной странице.
GDPR — важный законодательный документ, который защищает личные данные в соответствии с правами человека. Его соблюдение — необходимое условие для сбора данных резидентов Евросоюза.
- Блог/