t. +7 (495) 620-58-99
+7 (495) 620-58-99Оставить заявку
/
/
Что такое GDPR? Настройка Google Analytics в связи с новым регламентом
Блог
2035
29.05.2018
SEO

Что такое GDPR? Настройка Google Analytics в связи с новым регламентом

25 мая 2018 года вступили в силу новые правила обработки персональных данных. Граждане и жители Евросоюза получили контроль над персональными данными с введением общего регламента по защите данных — General Data Protection Regulation (GDPR).

Новый регламент заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Главным отличием нового документа является экстерриториальность. Теперь действие правил распространяется не только на страны ЕС, но и на все компании и организации, обрабатывающие данные граждан Европейского Союза. Российским компаниям также следует обратить внимание на новые требования, если услуги оказываются на европейском или международном рынке.

Что такое GDPR

GDPR — это документ, где перечислены нормативы по работе и защите персональных данных граждан Евросоюза.

К персональным относятся любые данные человека, по которым можно узнать этого гражданина (прямо или косвенно): имя, данные о местоположении, личный ID человека и определённые онлайн-идентификаторы. По факту, онлайн-идентификаторы — это данные, которые остаются после посещения пользователем интернет-ресурса, включая cookie, IP и т.д.

Отдельным пунктом идет группа особых или конфиденциальных персональных данных: информация о состоянии здоровья, генетические и биометрические данные, информация о расовом и этническом происхождении, сексуальных предпочтениях, политические, религиозные, философские взгляды и т.д.

Controller
Физическое или юридическое лицо, государственная власть, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
Processor
Физическое или юридическое лицо, государственный орган или другой орган, который обрабатывает личные данные от имени контроллера.
Third party
«Третье лицо», физическое или юридическое лицо, государственная власть или органы, иные, чем субъект данных, контролер, процессор и лица, которые под непосредственным руководством контроллера или процессора имеют право обрабатывать персональные данные.
Сonsent
«Согласие» субъекта данных означает любое свободно заданное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством заявления или четким утвердительным действием дает согласие на обработку своих персональных данных.

Что изменилось

В новом регламенте значительно расширены права граждан, например:

  1. «Право доступа субъекта данных».
    Регламентирует право пользователя получить (запросить) информацию о том, какие персональные данные о нем хранятся, цель обработки данных, период хранения данных, кто из получателей имеет доступ к данным (третьи стороны), получение копии персональных данных, которые обрабатываются. Подробнее.
  2. «Право на забвение»
    Вводится право, которое дает право пользователю потребовать удаления своих персональных данных, если это не противоречит общественным интересам, свободе слова, защиты юридических требований. Подробнее.
  3. «Право на переносимость данных»
    Пользователь вправе потребовать передать свои данные третьей стороне, при условии, что это отрицательно не скажется на правах и свободах других лиц. Подробнее.
  • «Законность, справедливость и прозрачность» (‘lawfulness, fairness and transparency’): пользователь должен понимать цели, методы и объёмы обработки персональных данных.
  • «Ограничение цели» (‘purpose limitation’): данные должны собираться только для явных и законных целей компании. И не собирать те данные, которые не соответствуют целям.
  • «Минимизация данных» (‘data minimisation’): должны собираться только те данные, которые требуются для конкретной цели. Например, для заказа обратного звонка не обязательно знать место рождения пользователя или семейное положение.
  • «Точность» (‘accuracy’): данные о пользователе должны быть точными и при необходимости обновленными, с целью удаления некорректных данных.
  • «Ограничение хранения» (‘storage limitation’): пользовательские данные должны храниться не более, чем того требует цель сбора данных. Исключением является хранение данных в общественных интересах, научных или исторических целях исследования или статистических целях.
  • «Целостность и конфиденциальность» (‘integrity and confidentiality’): компании должны обеспечить защиту от несанкционированного или незаконного доступа, случайной потери или повреждения данных пользователя.
Отдельным пунктом в регламенте GDPR описаны условия согласия пользователя на обработку персональных данных: если у пользователя не было выбора, автоматически проставленные галочки в чекбоксах согласия на обработку или бездействие не являются действительными. Если же целей обработки данных несколько, для каждой цели должно быть предоставлено отдельное согласие.

Дети заслуживают особой защиты в отношении своих личных данных, поскольку они могут быть менее осведомлены о рисках, последствиях, гарантиях и их правах в отношении обработки персональных данных. Такая конкретная защита должна, в частности, применяться к использованию персональных данных детей в целях маркетинга или создания персональных данных или профилей пользователей и сбора персональных данных в отношении детей при использовании услуг, предоставляемых непосредственно ребенку.

Детям до 16 лет (в отдельных странах до 13 лет) согласие на обработку должны давать родители.

В случае нарушения личных данных контроллер не позднее чем через 72 часа должен уведомить компетентный надзорный орган о нарушении или утечке данных.

Кто попадает под действие GDPR

Территориальный охват GDPR распространяется на субъекты, деятельность которых связана с гражданами Европейского Союза, вне зависимости от того, где осуществляется обработка данных (в ЕС или за его пределами).

Иными словами, если вы владелец интернет-магазина и продаете товары (услуги) гражданам ЕС, оказываете доставку, к оплате принимается местная валюта, сайт располагается на локальных доменах (Германия - .de, Литва - .lt и т.д.), а язык сайта местный – то следует изменить политику обработки персональных данных согласно новым правилам.

Что делать

Компаниям, которые подпадают под нововведения, следует:

  • Провести оценку своих методов сбора и обработки данных пользователей.
  • Обеспечить защиту персональных данных клиентов.
  • Внести корректировки в политику конфиденциальности и положение об обработке персональных данных в пользовательских соглашениях своих сервисов для граждан ЕС.
  • Назначить сотрудника DPO (ответственного за защищенность и законность обработки данных). Это лицо может быть привлечено к ответственности за нарушения контролирующего лица.
  • Провести обучение персонала согласно новым правилам, связанных с обработкой и мониторингом персональных данных.
  • Уведомить своих клиентов о новых стандартах GDPR.

Чем грозит нарушение директивы

В случае несоблюдения правил директивы предусмотрены штрафы от 10 до 20 млн. евро (или от 2 до 4% от глобального дохода компании) в зависимости от вида нарушения. Также предусмотрен выговор, если надзорный орган посчитает, что нарушения незначительны.

Далее мы дадим несколько рекомендаций для сайта, связанных с нововведениями.

Настройка Google Analytics в связи с GDPR

C принятием GDPR Google будет удалять данные, старше 26 месяцев. Чтобы этого избежать, нужно произвести несколько простых действий.

Изменение периода хранения данных в Google Analytics.

1. В панели администратора выбираем ресурс:

выбор ресурса

2. Переходим в пункт «Хранение данных»:

выбор "Хранение данных"

3. Указываем период хранения данных. При выборе «Без срока действия» переключатель сброса можно оставить выключенным.

выбрать "Без срока хранения"

Включить функцию «Сброс при новом действии» нужно для того, чтобы сбрасывать срок хранения данных при каждом новом событии, связанном с определенным идентификатором пользователя. При этом срок окончания действия будет отсчитываться от текущей даты.

Если вы не хотите, чтобы при новых действиях отсчет начинался с нуля, отключите эту функцию. Тогда данные, связанные с идентификатором пользователя, будут автоматически удалены по истечении срока хранения.

4. Принять новые условия GDPR.

В панели администратора нужно зайти в настройки аккаунта.

настройки аккаунта GA

Выбираем пункт «Просмотреть соглашение». Читаем, принимаем и сохраняем настройки.

выбрать "Просмотреть соглашение"
Важно! При использовании других сервисов Google принять Поправку в отношении обработки данных нужно на страницах настроек аккаунта в каждом из сервисов в составе Google Analytics 360 Suite.

5. Заполнение контактных данных (если это еще не сделано).

В настройках аккаунта (предыдущий шаг) нажимаем на пункт «Изменить сведения DPA»:

изменить сведения DPA

После чего необходимо заполнить контактную информацию:

«Субъект права» - указываем официально зарегистрированное название вашей компании.

субъект права

В разделе «Контакты» вносим все необходимые контактные данные.

контакты

Теперь Google Analytics готов к правилам GDPR.