Меню Закрыть

Чем грозит белорусским компаниям вступление в силу нового регламента по защите персональных данных (GDPR)

Защита персональных данных — это очень важная проблема, которой уделяется все больше внимания в мире.

С 25 мая 2018 года в странах Евросоюза и Швейцарии вступил в силу новый регламент по защите персональных данных — пресловутый GDPR. Стоит ли ли по этому поводу волноваться белорусским компаниям и что конкретно нужно предпринять прямо сейчас — читайте в этой статье.

Чем грозит белорусским компаниям вступление в силу нового регламента по защите персональных данных (GDPR)

Причем тут вообще мы, если регламент касается только стран членов ЕС?

Дело в том, что данный регламент является экстерриториальным. Т.е. соответствующая комиссия любой из стран, подпадающих под действие этого регламента, вправе проводить расследование и, в случае выявления нарушений, налагать штраф на любую компанию из любой страны мира, если эта компания получала персональные данные гражданина данной страны, или даже любого иностранного гражданина, находившегося на момент передачи своих персональных данных на территории этой страны.

А штрафы по новому положению предполагаются не маленькие — до 20 млн. евро!

Так что как видите повод для волнения есть и весьма весомый.

Конечно, существует ряд оговорок, которые могут точно вывести вас из под действия GDPR.

Например, если сбор персональных данных не связан с предложением товаров или услуг (даже бесплатных).

Существует еще понятие контекста, т.е. если из контекста вашего сайта будет однозначно вытекать, что вы не планировали получать персональные данные от граждан ЕС (сайт сделан только на русском или белорусском языке, все цены указаны только в белорусских рублях, доставка осуществляется только по Беларуси и т.д.), то вы скорее всего так же не подпадаете под действие GDPR.

Но, как говорится, береженого бог бережет. Поэтому я бы рекомендовал всем, по крайней мере, задуматься о приведении своего сайта и бизнеса в соответствие с этим регламентом.

GDPR photo

Чего же требует GDPR

Если очень коротко и упрощенно, то все положения нового регламента по защите информации можно свести к следующим 7 пунктам:

  1. Если хочешь получить чьи-то персональные данные, то попроси его об этом. Причем свой ответ пользователь должен выразить ясно, т.е. разместить на форме запрос на согласие с заранее отмеченным согласием не правильно.
  2. Нужно четко и ясно разъяснить пользователю зачем вы запрашиваете его данные и что с ними будет делать.
  3. Не использовать персональные данные пользователей каким-либо другим способом кроме оговоренного в предыдущем пункте.
  4. Заботиться о сохранности данных. Не передавать их третьим лицам, в том числе другим сервисам (например, сервису почтовых рассылок или сервису веб-аналитики), если на это не получено прямого согласия пользователя. Если произошла утечка данных вы обязаны в течение 72 часов уведомить об этом (а так же о принятых вами мерах) все заинтересованные стороны.
  5. Строго соблюдать оговоренный в политике приватности срок хранения данных.
  6. Предоставить пользователю возможность пожаловаться на использование его персональных данных. Для этого на странице с политикой приватности должны быть указаны реквизиты конкретного лица, которое отвечает в вашей компании за защиту персональных данных.
  7. У пользователя должно быть право на забвение. Т.е. у вас должен быть проработан и четко описан механизм удаления персональных данных пользователя по его требованию.

Конечно это далеко не исчерпывающий перечень требований GDPR. Но выполнение хотя бы этих основных мероприятий позволит вам существенно снизить риск того, что кто-то из пользователей останется недовольным.

Мероприятия по защите персональных данных photo

Что нужно сделать в первую очередь

  • Если у вас на сайте еще нет страницы с политикой приватности, обязательно создайте ее. Укажите в ней все данные о которых мы говорили выше.
  • Разместите на всех формах, где запрашиваются персональные данные, запрос на согласие со ссылкой на страницу политики приватности. Запрос должен подразумевать активное действие пользователя для подтверждения (так что отмеченный по умолчанию чек-бокс не вариант). Сделайте ответ на этот запрос обязательным полем.
  • Определите кто конкретно в вашей компании будет отвечать за защиту персональных данных.
  • Продумайте, а лучше четко пропишите для себя и своих сотрудников, все мероприятия, которые вы планируете проводить для обеспечения защиты персональных данных, предоставления права на забвение и т.д.
  • Определитесь с перечнем сервисов, которым будут передаваться персональные данные и проверьте, соответствует ли их политика приватности вышеописанным требованиям. Если вы не уверены в сервисе, возможно лучше поискать другой.
  • Определите механизм оповещения пользователей в случае утечки их персональных данных.

Вот в общем-то и все, что можно сделать на первом этапе.

Думаю, что это можно, и даже нужно, сделать любому владельцу интернет-ресурса, даже если вы точно уверены, что действие GDPR на вас не распространяется.

Если же вы работаете с западными партнерами и действительно находитесь в зоне риска, то вам скорее всего есть смысл обратиться за консультациями и помощью в настройке системы защиты персональных данных к соответствующим специалистам. Конечно их услуги обойдутся вам весьма не дешево, но по сравнению с 20 млн. евро штрафа, это все равно будут вполне вменяемые суммы.

Успехов вам!

И до встречи в следующих статьях.


Статья подготовлена по материалам конференции GDPR Day, прошедшей в Минске 25.05.2018

 

2 Comments

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.