General Data Protection Regulation: просто о новых правилах обработки персональных данных

С 25 мая 2018 года вступают в силу новые правила обработки персональных данных граждан ЕС.

GDPR (General Data Protection Regulation, или Общие правила защиты данных) – это свод предписаний для компаний, которые собирают и обрабатывают данные пользователей Евросоюза в сети Интернет. Новый регламент нацелен на повышение уровня защиты и предоставление гражданам контроля над своими данными. Невыполнение правил компаниями ведет к наложению крупных штрафов (вплоть до 4% годового дохода бизнеса, или 20 млн. евро).

Требования акта касаются как организаций, зарегистрированных в ЕС, так и компаний, расположенных в других странах, при условии, что они предоставляют услуги гражданам Евросоюза, либо иным способом собирают данные таких пользователей.

Компания Gravitec.net подпадает под действие законов GDPR. Потому в этой статье мы разберемся со всеми нюансами новых правил обработки персональных данных. Подробно рассмотрим основные требования General Data Protection Regulation. Расскажем, что необходимо сделать, чтобы соответствовать нормам GDPR.

Содержание:

1. Что такое GDPR и персональные данные?
2. Подпадает ли организация под действие правил?
3. Основные принципы регламента GDPR
4. Обработка данных согласно General Data Protection Regulation
5. Как соответствовать нормам?

Персональные данные и GDPR: что это такое?

Персональные данные – это любая информация, касающаяся конкретного физического лица, с помощью которой можно его идентифицировать. В определении норм GDPR сюда относятся как сведения, которые пользователь самостоятельно предоставил для того или иного веб-ресурса (имя и фамилия, пол, email или номер телефона), так и данные, собранные автоматически. Например, это информация о местонахождении, об устройстве (в том числе IP-адрес), операционной системе и т.д.

Кроме того, персональными данными в интернете считают сведения о просмотренных страницах, поисковых запросах, постах в социальных сетях и всю ту информацию, на основе которой можно определить предпочтения и интересы пользователя, его социальный статус, религиозные убеждения, политические взгляды и т.п.

В отдельную группу можно выделить платежные данные, которые, безусловно, также относятся к персональным.

Всю эту информацию призваны защитить новые правила GDPR.

GDPR – это регламент (состоит из 99 статей), который регулирует отношения между теми, кто предоставляет свои личные данные (граждане ЕС) и теми, кто эти данные собирает, обрабатывает и использует в своей работе (интернет-сервисы, веб-ресурсы, коммерческие и некоммерческие компании, организации). Для получения более детальной информации можно ознакомиться с полным текстом регламента GDPR.

Новые термины: контроллер и процессор

Кто подпадает под действие правил GDPR?

Для начала разберемся с введенными в регламент терминами: контроллеры (data controller) и процессоры данных (data processor).

Контроллеры – это компании или организации, которые собирают данные пользователей. Процессоры – компании, которые их обрабатывают от имени контроллеров. Контроллеры несут большую часть ответственности и заключают с процессорами соглашения о соблюдении правил GDPR при обработке переданных контроллерами данных.

Так, для своих клиентов, как SaaS-сервис, компания Gravitec.net – это контроллер, а для подписчиков web push-уведомлений – процессор. То есть, на этапе, когда пользователь регистрируется в системе Gravitec.net для установки на своем сайте пуш-технологии, сервис сохраняет предоставленные им данные согласно норм GDPR, как контроллер. Когда же push-сервис установлен на сайте клиента, то именно он (клиент) несет ответственность перед своими подписчиками за сбор данных, как контроллер, а компания Gravitec.net от его имени обрабатывает данные подписчиков для корректной работы сервиса и выступает процессором в рамках правил GDPR.

Бесплатное подключение push-уведомлений к сайту

Стандарты General Data Protection Regulation распространяются на все компании, которые предоставляют услуги гражданам ЕС, даже если фактически не находятся на территории стран Евросоюза. Это организации, которые предлагают товары или услуги:

• в валютах стран ЕС с возможностью оплаты;
• на языках стран ЕС;
• на доменах зоны ЕС (например, с расширениями .de, .fr, .cz и т.д.).

Также ответственность, согласно GDPR, несут организации, которые проводят мониторинг или анализ поведения граждан ЕС в сети.

Если контроллер из зоны ЕС передает для обработки данные своих пользователей процессору не из стран Евросоюза, он обязан заключить договор, в котором будут регламентироваться правила обработки персональных данных согласно норм GDPR. Соответственно, такой процессор также будет обязан выполнять правила акта.

Пример Gravitec.net

Компания Gravitec.net должна соблюдать правила GDPR, поскольку:

• обслуживает клиентов из стран Европейского Союза;
• предлагает свои услуги для граждан ЕС на разных языках (английский, немецкий, польский).

Персональные данные, которые собирает сервис Gravitec.net (контроллер):

1. Данные аккаунта — email (обязательно), имя, номер телефона, Skype (дополнительно);
2. Онлайн-идентификаторы веб-сеанса – браузер, геолокация, вид устройства, операционная система, IP-адрес, cookies.

Кроме того, сервис обрабатывает данные подписчиков клиента (как процессор):

1. Уникальный идентификатор (RegID);
2. Информацию веб-сеанса, в которую включены данные о браузере, IP-адресе, геолокации, cookies, виде устройства, операционной системе.

Принципы и требования GDPR

Подход к защите персональных данных в GDPR основан на восьми принципах, которые были задокументированы еще в 1980 году (в «Руководстве о защите частной жизни и трансграничных потоков персональных данных») и одобрены как ЕС, так и США. В GDPR они отображены в семи пунктах:

1. Принцип законности, справедливости и прозрачности. Персональные данные должны быть получены законными и справедливыми средствами с согласия субъекта данных.
2. Ограничение цели. Цель сбора данных должна быть указана во время сбора, и данные не должны использоваться ни для чего иного, кроме первоначального намерения.
3. Минимизация данных. Собранные данные должны соответствовать заданной изначально цели. Запрещается собирать данные в большем объеме, чем это требуется для достижения цели.
4. Точность. Персональная информация должна быть точной, полной и актуальной, насколько это необходимо для заданных целей. Если такие данные будут считаться неточными, они должны быть стерты или исправлены (по запросу пользователя).
5. Ограничение хранения. Данные хранятся в форме, которая позволяет идентифицировать пользователя не дольше, чем это необходимо для выполнения целей обработки информации.
6. Целостность и конфиденциальность. Личные данные должны быть защищены гарантиями безопасности от таких рисков, как потеря или несанкционированный доступ, уничтожение, использование, модификация или раскрытие данных.
7. Подотчетность. Контролер несет ответственность и должен быть готов продемонстрировать соблюдение мер, указанных выше.

Таким образом, контроллер обязан в простой и доступной форме изложить пользователям цели сбора персональных данных. Кроме того, они должны иметь легкий доступ к информации о своих уже собранных данных. Сведения должны быть точными, защищенными, храниться ограниченное время. Также контроллер обязуется не собирать лишнюю информацию о пользователе, а только ту, которая нужна, к примеру, для качественного предоставления услуг.

Что получает пользователь?

В соответствии с GDPR, граждане ЕС имеют право соглашаться со сбором данных, или его отклонять, удалять и контролировать личную информацию, которую собирают компании в бизнес-целях. В целом, регламент предоставляет пользователям больше свободы и контроля над информацией, которой они делятся с компаниями.

Обозначим права, которые получают пользователи:

• право знать, кто и зачем обрабатывает их личные данные;
• право доступа к своей персональной информации;
• право на исправление персональных данных;
• право на очищение данных, или «право быть забытым»;
• право на ограничение или блокировку обработки данных;
• право переноса персональных данных из одного сервиса в другой;
• право возражать против обработки данных;
• право лично влиять на автоматизированные системы сбора и профилирования.

К тому же, к форме для подтверждения согласия на сбор персональных данных в GDPR устанавливаются особые требования. Для того чтобы форма соответствовала нормам, пользователь должен активно проявить свое волеизъявление. То есть, формы, где уже «проставлены галочки», не подойдут. Кроме того, у пользователя должен быть простой доступ к инструкции по отзыву согласия на обработку данных.

Как соответствовать нормам GDPR: на примере Gravitec.net

Каждая компания, которая сотрудничает с европейскими клиентами, собирает или обрабатывает персональные данные пользователей из ЕС, обязательно должна скорректировать свои методы обработки информации согласно нормам GDPR. Также потребуется обратить внимание на политику конфиденциальности и прописанные условия использования ресурса. Кроме того, необходимо обеспечить механизмы обработки возможных запросов пользователей, согласно обозначенным выше правам (например, перенос данных из одного сервиса в другой).

Как компания Gravitec.net подготовилась к введению новых правил?

1. Сбор данных происходит по персональному согласию физического лица с условиями использования веб-ресурса (Terms of Use) во время регистрации в сервисе Gravitec.net. При внесении изменений в условия, компания сообщает пользователям о них и актуализирует информацию на сайте с указанием даты последнего обновления.
2. Компания собирает персональные данные исключительно в целях обеспечения бесперебойной работы сервиса, для коммуникации с клиентом и предоставления заявленных услуг. Сервис Gravitec.net не собирает данные, которые не используются в работе. Перечень персональных данных был приведен выше.
3. Вся полученная системой личная информация пользователя содержится в его аккаунте, и у него есть постоянный доступ к своим данным в личном кабинете («Настройки аккаунта»). Тут он может просмотреть, исправить или удалить персональные данные.
4. Пользовательская информация и личные данные подписчиков клиента сохраняются по принципу «throughout the lifetime» — на протяжении всего периода использования сервиса клиентом. Изменение или удаление данных возможно по личному запросу клиента (контроллера).
5. Платежные данные клиента зашифрованы платежным сервисом, у которого есть сертификат безопасности PCI DSS. Подробнее об этом см. Privacy Policy.

Таким образом, компания Gravitec.net соблюдает принципы прозрачности, точности, конфиденциальности и прочие нормы GDPR.

Быстрая регистрация в сервисе

Новый регламент устанавливает четкие правила взаимодействия между пользователями и компаниями в сфере предоставления персональных данных. Это серьезный шаг в защиту личной информации в сети Интернет, инструмент для борьбы с манипуляциями и неправомерным использованием персональных сведений.