Новый регламент заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.
Главным отличием нового документа является экстерриториальность. Теперь действие правил распространяется не только на страны ЕС, но и на все компании и организации, обрабатывающие данные граждан Европейского Союза. Российским компаниям также следует обратить внимание на новые требования, если услуги оказываются на европейском или международном рынке.
Что такое GDPR
GDPR — это документ, где перечислены нормативы по работе и защите персональных данных граждан Евросоюза.
К персональным относятся любые данные человека, по которым можно узнать этого гражданина (прямо или косвенно): имя, данные о местоположении, личный ID человека и определённые онлайн-идентификаторы. По факту, онлайн-идентификаторы — это данные, которые остаются после посещения пользователем интернет-ресурса, включая cookie, IP и т.д.
Отдельным пунктом идет группа особых или конфиденциальных персональных данных: информация о состоянии здоровья, генетические и биометрические данные, информация о расовом и этническом происхождении, сексуальных предпочтениях, политические, религиозные, философские взгляды и т.д.
Что изменилось
В новом регламенте значительно расширены права граждан, например:
- «Право доступа субъекта данных».Регламентирует право пользователя получить (запросить) информацию о том, какие персональные данные о нем хранятся, цель обработки данных, период хранения данных, кто из получателей имеет доступ к данным (третьи стороны), получение копии персональных данных, которые обрабатываются. Подробнее.
- «Право на забвение»Вводится право, которое дает право пользователю потребовать удаления своих персональных данных, если это не противоречит общественным интересам, свободе слова, защиты юридических требований. Подробнее.
- «Право на переносимость данных»Пользователь вправе потребовать передать свои данные третьей стороне, при условии, что это отрицательно не скажется на правах и свободах других лиц. Подробнее.
- «Законность, справедливость и прозрачность» (‘lawfulness, fairness and transparency’): пользователь должен понимать цели, методы и объёмы обработки персональных данных.
- «Ограничение цели» (‘purpose limitation’): данные должны собираться только для явных и законных целей компании. И не собирать те данные, которые не соответствуют целям.
- «Минимизация данных» (‘data minimisation’): должны собираться только те данные, которые требуются для конкретной цели. Например, для заказа обратного звонка не обязательно знать место рождения пользователя или семейное положение.
- «Точность» (‘accuracy’): данные о пользователе должны быть точными и при необходимости обновленными, с целью удаления некорректных данных.
- «Ограничение хранения» (‘storage limitation’): пользовательские данные должны храниться не более, чем того требует цель сбора данных. Исключением является хранение данных в общественных интересах, научных или исторических целях исследования или статистических целях.
- «Целостность и конфиденциальность» (‘integrity and confidentiality’): компании должны обеспечить защиту от несанкционированного или незаконного доступа, случайной потери или повреждения данных пользователя.
Дети заслуживают особой защиты в отношении своих личных данных, поскольку они могут быть менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Такая конкретная защита должна, в частности, применяться к использованию персональных данных детей в целях маркетинга или создания персональных данных или профилей пользователей и сбора персональных данных в отношении детей при использовании услуг, предоставляемых непосредственно ребенку.
В случае нарушения личных данных контроллер не позднее чем через 72 часа должен уведомить компетентный надзорный орган о нарушении или утечке данных.
Кто попадает под действие GDPR
Территориальный охват GDPR распространяется на субъекты, деятельность которых связана с гражданами Европейского Союза, вне зависимости от того, где осуществляется обработка данных (в ЕС или за его пределами).
Иными словами, если вы владелец интернет-магазина и продаете товары (услуги) гражданам ЕС, оказываете доставку, к оплате принимается местная валюта, сайт располагается на локальных доменах (Германия - .de, Литва - .lt и т.д.), а язык сайта местный – то следует изменить политику обработки персональных данных согласно новым правилам.
Что делать
Компаниям, которые подпадают под нововведения, следует:
- Провести оценку своих методов сбора и обработки данных пользователей.
- Обеспечить защиту персональных данных клиентов.
- Внести корректировки в политику конфиденциальности и положение об обработке персональных данных в пользовательских соглашениях своих сервисов для граждан ЕС.
- Назначить сотрудника DPO (ответственного за защищенность и законность обработки данных). Это лицо может быть привлечено к ответственности за нарушения контролирующего лица.
- Провести обучение персонала согласно новым правилам, связанных с обработкой и мониторингом персональных данных.
- Уведомить своих клиентов о новых стандартах GDPR.
Чем грозит нарушение директивы
В случае несоблюдения правил директивы предусмотрены штрафы от 10 до 20 млн. евро (или от 2 до 4% от глобального дохода компании) в зависимости от вида нарушения. Также предусмотрен выговор, если надзорный орган посчитает, что нарушения незначительны.
Далее мы дадим несколько рекомендаций для сайта, связанных с нововведениями.
Настройка Google Analytics в связи с GDPR
C принятием GDPR Google будет удалять данные, старше 26 месяцев. Чтобы этого избежать, нужно произвести несколько простых действий.
1. В панели администратора выбираем ресурс:
2. Переходим в пункт «Хранение данных»:
3. Указываем период хранения данных. При выборе «Без срока действия» переключатель сброса можно оставить выключенным.
Включить функцию «Сброс при новом действии» нужно для того, чтобы сбрасывать срок хранения данных при каждом новом событии, связанном с определенным идентификатором пользователя. При этом срок окончания действия будет отсчитываться от текущей даты.
Если вы не хотите, чтобы при новых действиях отсчет начинался с нуля, отключите эту функцию. Тогда данные, связанные с идентификатором пользователя, будут автоматически удалены по истечении срока хранения.
4. Принять новые условия GDPR.
В панели администратора нужно зайти в настройки аккаунта.
Выбираем пункт «Просмотреть соглашение». Читаем, принимаем и сохраняем настройки.
5. Заполнение контактных данных (если это еще не сделано).
В настройках аккаунта (предыдущий шаг) нажимаем на пункт «Изменить сведения DPA»:
После чего необходимо заполнить контактную информацию:
«Субъект права» - указываем официально зарегистрированное название вашей компании.
В разделе «Контакты» вносим все необходимые контактные данные.
Теперь Google Analytics готов к правилам GDPR.