ЧТО ТАКОЕ GDPR И КАК ПРАВИЛЬНО СОБИРАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

25 мая 2018 года начали действовать правила обработки личных данных GDPR (General Data Protection Regulation). Требования, вступившие в силу, дают возможность резидентам ЕС быть уверенными в сохранности персональных данных, а также в том, что их не используют в каких-либо противозаконных целях. Также они упрощают процессы, происходящие в экономической сфере при взаимодействии партнеров или клиентов из разных стран.

Если вы собираетесь работать с резидентами Евросоюза или уже работаете с ними, вы должны знать все об этом законе: что такое GDPR, какие данные являются персональными, как соблюдать требования, чтобы не попасть под санкции и не выплачивать штраф — именно об этом мы и расскажем в нашей статье.

Наверное, каждый пользователь интернета и современных гаджетов хоть раз в жизни задумался, где хранятся отпечатки его пальцев и фотография, необходимая для разблокировки телефона. Или зачем при покупке товара в интернет-магазине иногда нужно прописывать в анкете дату своего рождения. Зачем и кому нужна эта информация? Может ли кто-нибудь воспользоваться ей ради своих целей? Как компания находит вашу почту, чтобы выслать заманчивое предложение о грядущих скидках и акциях?

Очень часто мы передаем свои персональные данные и в реальной жизни. К примеру, во время знакомства с новым человеком, при записи на прием к врачу, чтобы получить консультацию и соответствующее лечение, во время приема на работу, а также при ее поиске. Мало кто беспокоится о судьбе своих данных. На самом же деле, получая комфорт, безопасность в обмен на конфиденциальную информацию, вы очень рискуете, ведь недобросовестные компании могут использовать персональные данные против вас.

В Европе решили сократить количество случаев и жалоб, когда пользователи страдали из-за некорректного к ним отношения со стороны продавцов, медицинских работников, сотрудников из сферы услуг. В итоге 27 апреля 2016 года приняли Общий Регламент защиты данных, или GDPR. Использоваться новый закон начал после двухлетнего перерыва, чтобы люди, имеющие отношение к бизнесу, смогли настроиться на нововведения и подготовиться к ним. Правила GDPR дополнили существующие нормы касательно защиты личных данных во всех европейских странах.

В вопросах, которые относятся к действию Регламента, немаловажную роль играет само определение, что представляют собой персональные данные. Ведь нормы GDPR направлены именно на защиту личной информации каждого пользователя сети.

Персональные данные согласно GDPR ― важная информация, включающая имя, фамилию, номер телефона, налоговый номер, ник в социальной сети. Кроме этого к персональным данным относится:

• номер паспорта;
• адрес проживания;
• адрес электронной почты;
• логин на определенном сайте, указанный при регистрации;
• IP-адрес;
• номер банковской карты;
• номер личного транспорта.

Почерк человека, а также его фотографии, видеозаписи, сделанные на телефон или камеру считаются индивидуальными данными, так как они относятся к той или иной личности, идентифицируют ее. Важно помнить, что отдельные данные о болезнях человека, о поисковых запросах, семейном статусе, проведенных транзакциях в электронном кошельке ― просто информация и ничего более. Ее вполне можно считать анонимной до того момента, пока не будет определен идентификатор ― сама личность, к которой она относится.

К примеру, личными данными можно считать то, что описывает субъекта: Ивану Иванову 40 лет, он работает графическим дизайнером. В указанном случае персональная информация ― не только инициалы, но также род деятельности, возраст. Если же вам известно только то, что человека зовут Иваном и ему 40 лет, эта информация перестает быть личной, так как таких людей в городе могут быть десятки, а то и сотни.

Чтобы соблюдать правила GDPR, необходимо придерживаться следующего:

• Разместить на своем сайте или в интернет-магазине информацию о сборе чужих данных. Пользователь обязан знать о том, что ваша компания может использовать его личную информацию (в том числе и cookies), после чего согласиться на условия или отказаться от посещения сайта. Рассказать об этом можно при помощи всплывающего окна или бампера, на котором можно прописать нюансы политики конфиденциальности вашей компании.

• Спросить у пользователей, согласны ли они на то, чтобы ваша компания собирала их данные с последующей обработкой. Посетитель должен подтвердить свое согласие, поставив галочку в определенном поле. Галочку никто не сможет нажать, кроме самого клиента. Для этого используется пользовательское соглашение.

• Ввести double opt-in. В законе GDPR нет ничего о том, что вы обязаны вводить на сайте подтверждение подписки, однако лучше все же сделать это. Скорее всего, вы не раз получали письма на электронную почту, позволяющие подтвердить свою регистрацию на том или ином сайте. Подобный прием позволяет избежать жалоб со стороны клиентов и иметь только осознанных подписчиков.

• Предоставлять данные пользователя и удалять их, как только он того захочет. Если посетитель захотел увидеть личные данные, которые вы собрали о нем, вы обязаны их ему показать ― например, переслать на почту. Если же пользователь просит, чтобы вы удалили его данные, вы обязаны это сделать.

Продажа товаров за границу вынуждает каждого владельца бизнеса задуматься о соответствии GDPR, ведь если вы принимаете международные платежи, то так или иначе связаны со странами Евросоюза, а они находятся под Регламентом.

Если говорить о формальностях, то компании России не обязаны строго соблюдать правила GDPR, так как у отечественных предпринимателей есть свой закон ― N 152-ФЗ «О персональных данных». Но следует помнить о том, что общепринятый регламент, направленный на защиту личных данных, действует не только исключительно внутри стран ЕС. Он распространяется на всех их резидентов, в какой точке мира они бы ни находились. Россияне могут иметь второе гражданство в той или иной стране Евросоюза ― и в таком случае владельцы компаний должны соблюдать GDPR.

То же касается и ситуаций, когда компания ищет клиентов за пределами своей страны и собирает данные резидентов Евросоюза — она обязана делать это согласно требованиям GDPR. К примеру, если российская транспортная компания продает билет клиенту, живущему в Германии, она должна позаботиться о сохранности его данных.

Как продавать товары за границу и не попасть под санкции? Если не соблюдать GDPR, продажа за рубеж через интернет превратится в гонки с препятствиями или хождение по острому лезвию. Компании, которые не прибегают к правилам и нормативам GDPR, рано или поздно заплатят штраф, достигающий 20 млн евро. Сумма штрафа будет составлять 4% от годового оборота фирмы.

Степень наказания может варьироваться, так как она зависит от количества пострадавших пользователей, от величины ущерба, который был им нанесен. Также учитывается то, умышленно или нечаянно было совершено преступление.

Как бы там ни было, увеличение конверсии, рост продаж, появление новых клиентов ― все это станет для компании недостижимой мечтой, так как ее репутация обрушится. Люди перестанут ей доверять, будут опасаться передавать личные данные. При несоблюдении GDPR вы рискуете потерять клиентов и надежных партнеров навсегда.

И это не просто слова — за несоблюдение GDPR были оштрафованы многие крупные компании. Вот несколько реальных примеров совершенных ошибок:

• Авиакомпанию British Airways оштрафовали на 204 110 000 €, потому, что ее взломали и украли личные данные 500 тысяч клиентов. В украденную информацию входили адреса электронной почты и даже номера банковских карт, индивидуальные коды CVV. Это один из крупнейших штрафов, назначенных за несоблюдение Регламента.

• Компанию Google LLC оштрафовали на 50 000 000 €, так как она использовали личные данные клиентов в целях рекламы. Специалисты решили, что компания недостаточно рассказала посетителям о том, как и в каких целях будет использоваться их персональная информация.

• Австрийскую почтовую компанию Österreichische Post AG оштрафовали на 18 000 000 €. Она занималась незаконной продажей личной информации ― передавала конфиденциальные данные третьим лицам, что делать запрещено.

GDPR содержит правила и законы касательно сбора, обработки и хранения данных, распространяемые и на резидентов России, если они осуществляют продажу товаров в интернет-магазине не только в пределах своей страны, но и в страны ЕС. Российским бизнесменам нужно строго соблюдать GDPR в следующих случаях:

• вы продвигаете свой товар на территории стран ЕС, в связи с чем обрабатываете персональные данные зарубежных граждан;

• вы обрабатываете личные данные по поручению другого оператора из ЕС, но живете в РФ;

• вы представляете компанию, которая предлагает купить товары или воспользоваться услугами через Интернет с помощью заполнения анкет, получения cookie-файлов.

При несоблюдении GDPR компании грозит штраф, поэтому будьте максимально внимательны и аккуратны при работе с личными данными.

Заходите в наш Telegram-канал @ecomtoday, в котором мы каждый день делимся полезными статьями и новостями сферы eCommerce как в России, так и за рубежом.