GDPR и 152-ФЗ – сходства и различия защиты персональных данных

До недавнего времени владельцам веб-сайтов приходилось иметь дело с статьями 152-ФЗ О о персональных данных, и уже появился новый регламент.

 

25 мая 2018 г. вступил в силу Регламент (GDPR) более строгий, с огромными штрафами 20 миллионов евро или 4% годового дохода компании, в зависимости от того, что больше.

Цель закона вполне ясна усиленная защита интересов простых людей и права на неприкосновенность частной жизни. Этому способствует рост хищений баз данных и их незаконное использование. Включая недавнюю утечку из Facebook. <Но сам документ оставляет много вопросов, формулировки расплывчаты и двусмысленны, а совершение ошибок строго запрещено. Суммы пугающие, поэтому мы советуем вам внимательно и серьезно отнестись к соображениям безопасности. Закон есть закон, и незнание или непонимание не снимут с вас ответственности. Давайте выясним, какие шаги вам следует предпринять и стоит ли их вообще делать.

Неприятие и обратное: правила GDPR и 152-FZ

152-ФЗ предназначен для пользователей в Российской Федерации. Но если у вас есть хотя бы один резидент ЕС тогда вы автоматически подпадаете под действие GDPR. Единственная проблема заключается в том, что иногда таких пользователей невозможно отследить, а в документе нет четких инструкций, как распознать иностранных клиентов.

Известно, что регуляторы будут смотреть по следующим критериям: язык, валюта, целевая аудитория.

Если на вашем веб-сайте есть раздел, который рассчитывает, например, доставку в страны ЕС, на вас будут распространяться правила. Если ваше портфолио содержит материалы, касающиеся европейских клиентов to , вы подпадаете под действие этого правила. Если в разделе Контакты написано, что вы работаете со всем миром, вы должны соблюдать правила. Если вы запускаете рекламную кампанию с географическими настройками в странах ЕС, то она у вас есть.

Как правило, любой тег, который означает, что вы работаете / планируете работать с клиентами из ЕС, что вы собираете и обрабатываете их личные данные, подпадает под действие GDPR.

 

Если вы можете с уверенностью сказать, что работаете только с гражданами России, то можете закрыть эту статью и помочь вам:

 

Если у вас есть граждане и жители России, вы собираете их данные (важно) , вся следующая информация для вас.

Давайте подробнее рассмотрим, что такое GDPR и как избежать штрафных санкций.

Краткое изложение основных положений регламента и наших рекомендаций:

Чтобы соответствовать требованиям европейских норм, разработайте следующие пункты:

 

Политика конфиденциальности

Разработайте и опубликуйте на своем веб-сайте отдельную Политику конфиденциальности Полный список того, что должно быть, есть в оригинале. Короче по русски =) вы рекомендуете следующее:

Объяснение того, кто является контроллер, процессор и субъект * У кого какие обязанности, обязанности и права.

 

* Это новые условия. Сущность тот, чьи данные обрабатываются (например, ваши потенциальные клиенты), Обработчик тот, который собирает и обрабатывает данные (например, сервис генерации лидов на основе данных). владелец сайта), администратор кто решает, какие данные собирать и использовать(например, владелец веб-сайта, которому нужны лиды и пользовательские данные). В 152-ФЗ мы используем термины оператор ПД; и entity PD и понятие оператор PD включает функции контроллера и процессора.

Кто вы / ваша организация (контролер или процессор, а может быть и то, и другое в одном лице). Ваши контактные данные, включая местонахождение, имя и должность лица, ответственного за PD * (если есть представитель в ЕС, его / имя и контактные данные).

* Ответственное лицо обязательно должно быть назначено, если вы обрабатываете конфиденциальные данные, такие как религиозные убеждения, сексуальная ориентация, данные о конфиденциальности. Вы будете нести ответственность за мониторинг безопасности данных, связываться с организациями в случае удаления данных и т. Д. Если вы ведете дела только с UE, нет необходимости указывать этот элемент. Вы можете просто назначить одного из ваших нынешних сотрудников ответственным за управление данными

  1. и уведомить консультанта о вопросах или запросах.

    Какие личные данные вы собираете.

    Почему они собраны, как вы собираетесь их использовать.

    Как пользователь может отзывать, изменять или пересылать свои личные данные.

    Куда обратиться, если у пользователя есть жалоба в какой орган по защите данных *

    * В настоящее время в каждой стране Европейского Союза есть органы по защите данных (DPA). Это организации, которые следят за соблюдением GDPR на всей территории ЕС. Любой пользователь может подать им жалобу, и DPA должно проверить, соблюдает ли ваша компания GDPR. Сам Закон о защите личных данных регулируется положениями

    Как долго хранятся данные?

    Как вы обеспечиваете хранение, обработку и передачу ваших данных.

    Каким (субпроцессорам) * компаниям вы можете предоставлять данные и для каких целей.

    * Если вам необходимо предоставить данные третьим лицам (например, курьерской компании), вы должны указать в своей политике, кто эти люди и почему вы передаете им данные. Вы также должны убедиться, что субпроцессоры соответствуют GDPR (по крайней мере, убедитесь, что у них реализована политика конфиденциальности). В идеале вам следует заключить соглашение с субподрядчиками о раскрытии информации и защите предоставленных личных данных.

    Возрастное ограничение 16+ (если ваш сайт направлен на nagents и содержит контент, предназначенный для детей, для обработки персональных данных требуется согласие родителей, если эти данные собираются).

    Описывает, как работают файлы cookie (как они собираются, почему, как их отключить).

    Сама политика должна быть написана ясным, недвусмысленным языком и обязательно (!!!) на языке клиента. Итак, если потенциальный клиент немец, мы представляем информацию на немецком языке. Вы работаете с Италия пишите по-итальянски. Если ваш веб-сайт многоязычный, имеет смысл перевести политику конфиденциальности на каждый язык.

    Рассмотрим, как политика конфиденциальности для граждан ЕС реализуется на (соответствует обоим GDPR i 152-FZ):

    как реализуется Политика конфиденциальности для граждан ЕС, в в соответствии с регламентом GDPR

    Формы для сбора ПД

    Объем данных и количество полей в формах

    Директивы о том, сколько можно добавить в граммах, нет, но действует ограничение:вы не можете собирать данные, которые не требуются для ваших целей. Это означает, что поля Место жительства; или Адрес не могут быть включены в формы для сбора данных на веб-сайте с целью покупки продукта через Интернет. Учитывайте только необходимый минимум! Кстати, для удобства использования это тоже хорошо.

    Обратите внимание, что в нашем примере нет дополнительных полей данных при бронировании авиабилетов.

    Поля личных данных Синдбада

    < img src=~images\gdpr-i-152-fz-shodstva-i-razlichija-zashhity_2.png alt = Поля личных данных Синдбада>

     

    Согласие на обработку персональных данных

    В отличие от 152-ФЗ, здесь прямо указано, что не может быть согласия по умолчанию (нет предварительно отмеченных полей).

    Только активные действия пользователя (например, флажки флажок перед отправкой данных). Это означает, что пользователь должен принять согласие.

    Мы сделали это так:

     

    как на сайте реализованы флажки для обработки данных

    Автоматическая подписка на информационный бюллетень

    Все данные будут собираться и использоваться только для целей, указанных в policy. Например, если вы собираете эти данные для обработки своего заказа, вы не можете использовать их для отправки рекламных сообщений без уведомления В идеале (чтобы не растягиваться) должен быть отдельный флажок и отдельное согласие на отправку писем. Никто никого не подписывает автоматически:

     

    как флажки реализованы в Sinbad

    Но вполне допустимо, что вы можете запросить другое использование данных. В этом случае вы можете сделать одну рассылку, в которой будет:

    укажите, где и при каких обстоятельствах вы получили адрес; Опишите, что вы хотите использовать этот адрес для других целей (например, для отправки электронных писем); спросите у пользователя разрешение на использование адреса.

    Если пользователь говорит да, он может добавить его в базу данных. Важно, чтобы вы продемонстрировали все преимущества своего предложения в этом первом (и, возможно, единственном) опросе, чтобы получить как можно больше подписок.

    Управление данными

    Новые правила GDPR требуют, чтобы вы разрешили пользователям управлять своими данными: просматривать, редактировать и удалять. А также отправка их в форматах XML, JSON, CSV, чего раньше не было.

    Со временем на сайте должен быть личный аккаунт с возможностью управления PD.

    Вы также должны иметь возможность восстанавливать или передавать свои данные другому оператору. И когда пользователь, например, идет на соревнование, вам нужно отправить эти данные вам. Это поможет снизить потребность клиентов вводить одну и ту же информацию несколько раз. Как это будет работать на практике, пока неясно. Но крупные компании в ЕС уже включили положения о конфиденциальности в свои политики. Например, вот что сделала Bucing:

    Как текст политики booking.com описывает управление личные данные

     

    Положение о передаче: В некоторых случаях по вашему запросу мы можем передать вашу личную информацию, которую вы нам предоставили, третьему лицу.

     

    Мы полагаем, что это изменение коснется в первую очередь медицинских учреждений. Например, если вы меняете клинику, вы можете потребовать, чтобы все ваши предыдущие медицинские записи были перенесены в новое учреждение. И, по сути, это правильно и правильно.

    Хранение и защита личных данных

    Срок хранения

    Теперь обязательно указывать время хранения данных в политике конфиденциальности. Вы должны строго соблюдать эти правила. Персональные данные не будут храниться дольше этого времени и не будут уничтожены / удалены до этого времени в соответствии с политикой (если пользователь не запросит).

    Исключение исследования в общественных интересах: наука, архивы, социальная статистика, история. Их можно хранить в обезличенном виде или с большей безопасностью.

    И Google также обезопасил себя от GDPR: он удалит все данные старше 26 месяцев. Чтобы вести статистику в Google Analytics, измените настройки в Data storage до правильного периода: 14, 26, 38, 50 месяцев или без срока действия. Если вы этого не сделаете, через 26 месяцев вся собранная статистика исчезнет. Если вы не знаете, как это сделать, напишите в комментариях мы добавим инструкцию.

    Защита данных

    152-ФЗ также требует достаточных ресурсов для защиты пользовательских данных от несанкционированной или незаконной обработки, уничтожения и повреждения. Это означает, что все данные должны быть надежно зашифрованы, и только уполномоченные лица должны иметь к ним доступ.

    Как будет проверяться эта достоверность? Это тоже пока под вопросом.

     

    Нововведения в этого пункта nbsпредполагают, что вы уведомляете полицию и пользователей, данные которых были раскрыты в течение 72 часов. Если вы это сделаете, это ваша проблема.

    Файлы cookie

    Заявление об отказе от ответственности

    При первом посещении веб-сайта пользователям необходимо сообщить, что вы используете файлы cookie. Вы можете предоставить статическое уведомление или установить всплывающее окно (нижний колонтитул). Он должен содержать ссылку на Политику конфиденциальности в отношении сбора и обработки файлов cookie, а также возможность активного согласия на сбор этой информации.

    Например, одна из пластиковых клиник в Бельгии сообщает о файлах cookie:

    Заявление об отказе от ответственности в отношении файлов cookie бельгийской клиники Отказ от ответственности в отношении файлов cookie бельгийской клиники

    Текст в отказе от ответственности: Wellness Clinic использует файлы cookie, чтобы улучшить ваше взаимодействие с веб-сайтом. Узнать больше

    Политика в отношении файлов cookie

    Мы подумали, что информация о том, как вы используете файлы cookie, может быть включена в общую политику конфиденциальности (см. раздел 1 этой статьи).

    Но многие европейские компании размещают свою политику в отношении файлов cookie на отдельной странице. Это могло быть лучше для пользователей.

    Политика файлов cookie должна содержать:

    Четкое, нетехническое объяснение того, что такое файл cookie; Объяснение того, как вы используете файлы cookie и с какой целью; Информация о том, как предотвратить сбор данных с помощью файлов cookie (например, вы можете сделать ссылку на публичную политику).

    Пример: информация о файлах cookie на сайте booking.com:

    О файлах cookie на сайте booking.com

    Документированиепроцессы

    Чтобы избежать вопросов и гарантировать, что вас не будут проверять (если вас проверят), мы рекомендуем вам убедиться, что вы можете предоставить доказательства соответствия GDPR. Для этого в компании должны быть следующие документы:

    На сайте: Политика соблюдения GDPR (что в нее входит, мы перечислили выше). Внутренние политики и процедуры обработки персональных данных (подписаны всеми сотрудниками, имеющими доступ к персональным данным). Регистры персональных данных. Запись обработки персональных данных. Приказ о назначении одного ответственного лица для наблюдения за выполнением политики и правил конфиденциальности.

    Это были основные отличия 152-ФЗ (которые, надеюсь, вы уже получили) от европейского аналога GDPR.

    Чтобы помочь вам составить документы по информационной безопасности на вашем сайте, воспользуйтесь нашей сводной таблицей. Вы можете визуализировать сходства и различия между 152-ФЗ и GDPR; посмотрите, какие элементы в каком документе являются обязательными и как обеспечить соблюдение обоих нормативных требований:

    Вы сможете использовать эту таблицу, чтобы помочь вам

152-ФЗ GDPR Обрабатываются данные граждан РФ ЕС Штрафы за несоблюдение 75 000 руб. 20 млн. евро Текст Политики конфиденциальности на какие данные, как используются, как хрантоятся. На русском языке На языке клиентов из ЕС Технические меры по защите Шифрование данных Шифрование данных, криптошифрование Контролирующий орган

Необходимо зарегистрироваться как оператор ПД

и Возможность управления данными Корректировка, удаление Корректировка, удаление, выгрузка и передача третьим лицам по запросу Информация о сборе куки-файлов уведомление и политика на сайте

Наличие рекомендовано
+
Политика на сайте

Наличие уведомления обязательно
+
Политика на сайте

Согласие на услугах данных на сайте при сборе данных Возможно по умолчанию, главное, исправить и дать ссылку на полtd> Только активным клиентом (должен сам проставить галочку) Согласие на отправку сообщений Возможно по умолчанию; если прописано в политикеtd> Только активным клиентом (должен сам проставить галочку) Ответственное лицо для работы с ПД + +
Представитель на территории ЕС желателен Указание на возрастное ограничение 16+ + Помощь специалистов 1PS в реализации

Тарифы от 2800 руб.

Подробнее

Индивидуальный расчет

Запросить

Будьте внимательны при составлении документов и подготовке сайта. Не забывайте следить за обновлениями в законодательстве. Пишите свои вопросы в комментариях, а если будут сложности обращайтесь, обезопасим вас от штрафов по 152-ФЗ как минимум. Соблюдение же регламента GDPR требует более глубокой проработки и глобальных изменений внутренних процессов компании, поэтому тарифов под не разработали все очень индивидуально. Но если у вас естьтакая потребность, велком, посмотрим, что можно сделать.

Оцените статью