Почти два года назад, в конце мая 2018 года, в силу вступил GDPR – General Data Protection Regulation (общий регламент защиты данных). Этот документ регулирует все процессы по работе с персональными данными пользователей в интернете для резидентов ЕС. Но до сих пор у многих возникают различные вопросы относительно нормативной базы в рамках данного регламента. Попробуем разобраться в самых часто встречающихся из них.
Что собой представляют персональные данные?
Вкратце, если не вдаваться в подробности и юридические термины, персональные данные – это любая информация, которая позволяет однозначно идентифицировать пользователя. Она может существовать как в текстовом, так и в визуальном формате. Ведь опознать человека мы можем не только по его ФИО, электронной почте или номеру телефона, но также и по фотографии. Ссылки на профайлы в социальных сетях и сайты с личной информацией также являются персональными данными. Более того, под эту правовую трактовку также могут попадать cookie, данные об IP-адресе и местоположении человека, которые собираются в автоматическом режиме, а не заполняются самим пользователем.
Сбор, хранение, обработка персональных данных – есть ли разница?
На самом деле даже если на вашем сайте персональные данные пользователя будут удалены через несколько минут после того, как вы их запросили и получили, то это все равно будет считаться обработкой. Поэтому крайне важно знать и понимать, что любые действия с данными пользователей, будь то сбор, систематизация, уточнение и уж конечно же использование – все эти манипуляции должны проводиться только после того, как будет получено согласие на обработку персональных данных. Как правило, это происходит путем уведомления пользователя через специальную форму с текстом или с ссылкой на пользовательское соглашение. Если ваш сайт собирает метаданные, то пользователь также должен быть уведомлен об этом.
Кого касается и чем чревато неисполнение регламента?
На территории РФ практика взыскания с компаний штрафов со стороны ЕС развита слабо, но подобное заявление о нарушении принципов GDPR может стать основанием для проведения федеральной проверки. И тут уж владельцы сайтов должны знать о том, что нарушение Закона о персональных данных влечет за собой наложение штрафов со стороны Роскомнадзора, причем немалых – от 10 000 р для юрлиц и до почти трех сотен тысяч рублей суммарно для крупных компаний. Чтобы этого не случилось необходимо соблюдать нормативные предписания в соответствии с действующей правовой документацией, в том числе и регламентом GDPR, который диктует прозрачность и законность использования данных, безопасность и ограниченный срок их хранения, а также управление ими.
Что еще нужно сделать, чтобы не попасть под санкции GDPR?
Кроме размещения полей с галочкой «я согласен на обработку персональных данных», что, мы надеемся, уже есть на сайтах всех добросовестных компаний, следует также предоставить пользователям информацию о том, какие именно данные собираются, для каких целей и какие манипуляции будут с ней проводиться. Все это должно быть прописано в пользовательском соглашении, где также будут указаны контактные данные оператора, собирающего данные, а также срок действия соглашения. Этот документ должен быть размещен в публичном доступе так, чтобы пользователь в любой момент мог быть с ним ознакомлен. Также ваша организация должна быть внесена в реестр Роскомнадзора, где значатся все операторы персональных данных в России. Сделать это можно онлайн – просто подав заявление через сайт, подтверждение не требуется, только уведомление.