Если планируется работа с клиентами и партнерами в любой из стран Евросоюза, нужно заранее подготовиться к соблюдению GDPR. Какие правила обработки персональных данных необходимо выполнять и что для этого требуется сделать, расскажем в статье.
Кто должен соблюдать?
Если у компании есть представительство в ЕС или планируется его открывать, все ясно: GDPR нужно соблюдать. Но это не все, кто обязан работать с ПДн по европейским правилам. Регламент надо выполнять:
- при обслуживании клиентов, находящихся на территории ЕС (например, доставка товаров);
- при наличии версии сайта на одном из европейских языков;
- при ведении рекламных кампаний в ЕС;
- при мониторинге поведения пользователей из стран Евросоюза;
- при сотрудничестве с партнерами из ЕС.
Проще говоря, если компания хочет обслуживать клиентов из Европы, даже русскоговорящих эмигрантов, надо выполнять GDPR. Это не касается редких разовых случаев и оказания услуг иностранцам на территории РФ. Но если планируется выход за границы, необходимо изучить требования по работе с ПДн и подготовиться к их выполнению. Также о GDPR следует помнить тем, чьими приложениями могут пользоваться во всем мире.
Главные отличия от ФЗ-152
Российский закон о защите персональных данных тоже регулирует сбор, хранение, обработку и использование, содержит требования о получении согласия пользователей на эти действия и предписывает удалять данные по запросу их владельцев.
Но в GDPR есть дополнительные требования, и их необходимо выполнять:
- компании должны подробно и понятно (!) сообщать пользователям обо всех действиях с их персональными данными;
- нужно получать согласие на все действия с ПДн;
- владелец данных имеет право не только на удаление сведений о себе, но и на их перенос в другую компанию или сервис;
- при утечке данных компания обязана сообщить о проблеме в течение 72 часов;
- файлы cookie тоже приравниваются к ПДн, и просто сообщать об их сборе недостаточно, нужно получить согласие на обработку.
Подробно мы разбирали положения GDPR в этой статье: https://m.promoteh.ru/articles/glavnoe-o-gdpr/ Здесь же вкратце напомним, что у пользователей должна быть возможность в любое время получить доступ к своим данным и управлять ими по своему желанию.
Не «для галочки»!
Приводя сайты в соответствии с ФЗ-152 многие ограничились чек-боксами и размещением на сайте шаблонной «Политики конфиденциальности». Но чтобы соответствовать GDPR, этого, как мы видим, мало. Потому что на запросы пользователей действительно придется реагировать, а европейские партнеры проверят, готовы ли вы к работе по регламенту.
Как минимум, понадобится подготовить и разместить на сайте:
- «политику конфиденциальности» с общими правилами работы с ПДн;
- документ с перечнем собираемых данных, целях их получения, способах использования (в том числе, кому они передаются) и прав пользователей на отзыв, изменение и перенос ПДн (можно объединить с «политикой»);
- сообщение о сборе cookie и его целях с кнопкой или чек-боксом для выражения согласия на эти действия.
Также понадобятся договоры на обработку данных, если они передаются другими компаниям или если вы получаете информацию от европейских партнеров. И, конечно, необходимо подготовить формы для получения согласия на все действия с данными и для запрета на их использование (например, по электронной почте).
Особенности подготовки и исполнения
Важно отметить, выполнение GDPR подразумевает, что компания изначально готова к соблюдению прав пользователей. То есть для перехода на такую работу с персональными данными нужно:
- Разработать все регламенты обработки обращений. То есть подготовиться к тому, что пользователи могут запросить данные, которые у вас хранятся, и потребовать прекратить их использование. В компании должен быть четкий план действий по реагированию на такие запросы. Важны и скорость реакции, и то, в каком виде пользователи получают данные (в понятном!).
- Проверить техническую оснащенность. Обеспечивать безопасность нужно не на словах, а на деле. Компания в реальности должна защищать данные и сотрудничать только с теми, кто тоже занимается шифрованием, ограничением доступа и т. д. И, конечно, выгрузка данных по запросу их владельца должна осуществляться в положенный срок без лишних проблем.
- Отказаться от избыточных данных. Поскольку необходимость каждого типа данных нужно объяснить пользователям, вероятно, лишнее отпадет в процессе подготовки «Политики конфиденциальности». Тем не менее, лучше еще раз проверить, нет ли сбора сведений, которые не нужны.
Также в каждой отрасли могут быть свои нюансы и требования партнеров. Поэтому, прежде чем выходить на европейский рынок, следует учесть все детали.
В заключение
Расширение на рынок ЕС и партнерство с европейскими компаниями — важная задача. И чтобы не возникло проблем с данными, которые так или иначе используются всеми и всегда, нужно заранее предусмотреть соблюдение требований GDPR. И только после этого обращаться к целевой аудитории из ЕС.
