GDPR: новые правила обработки персональных данных

С 25 мая 2018 года Европа переключилась на обновленные правила обработки персональных данных, установленные общим регламентом по защите данных (регламент ЕС 2016/679) от 27 апреля 2016 года, или GDPR — General Data Protection Regulation. Этот регламент, имеющий прямое действие во всех 28 странах ЕС, заменит Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

Не только в странах ЕС

Регламент GDPR направлен на унификацию и приведение к единому стандарту перемещения персональных данных между государствами — членами ЕС, а также защиты основных прав и свобод физических лиц в отношении обработки данных и обеспечения их безопасности.

Онлайн-идентификация

Нюансом GDPR является то, что даже компаниям, находящимся за пределами ЕС, следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок. А также теперь онлайн-идентификаторы, такие как IP адрес, email, идентификатор cookie, геолокация, биометрические параметры человека, также приравниваются к персональным данным.

Объяснить и предоставить

Обрабатывать персональные данные теперь можно только на одном из шести разрешенных законных оснований, и предоставлять полную информацию о процессе обработки человеку в момент получения его персональных данных. Кроме того, физические лица наделяются целым рядом прав в отношении доступа, корректировки, удаления и прочих процедур в отношении своих персональных данных.

С особой осторожностью

Вводится понятие «персональные данные особой категории» — это данные о расовой или этнической принадлежности, политических или религиозных убеждениях, членство в профсоюзах (Trade Union), генетическая информация, биометрические идентификаторы, информация о физическом или ментальном состоянии и здоровье, сексуальной жизни или ориентации, к которым предъявляются повышенные требования обработки.

Помимо этого, на территории Великобритании продолжает действовать Регламент о конфиденциальности электронных коммуникаций (PECR или Privacy and Electronic Communications (EC Directive) Regulations 2003), который практически никто не исполнял до недавнего времени, но именно за неисполнение данного регламента компании могут получить штраф.

Действия

Итак, что нужно делать, если вы частный предприниматель, малый или средний бизнес или небольшая некоммерческая организация с числом сотрудников менее 250.

1. Нужно понимать, что правилам GDPR и PECR обязаны подчиняться все организации независимо от их размера. Даже если вы частный предприниматель, если вы храните данные, которые позволяют персонально идентифицировать человека (имя, фамилия, адрес, данные соц. страховки, возраст, привычки, потребности, фотографии, видео, жалобы, номер телефона, email, IP адрес посетителей сайта и прочее) — все это персональные данные людей.

2. Если у вас есть сайт, вам как минимум нужно поставить в нижнюю часть сайта ссылку на вашу политику конфиденциальности (privacy policy). Этот текст хоть и не является юридическим документом, должен содержать определенный набор информации, а именно:

— Название и контакты организации, которой принадлежит сайт.
— Категории получаемых персональных данных.
— Источник данных (если данные получены не напрямую от субъекта).,
— Для чего собираются данные.
— Законные основания для обработки данных (1 из 6 доступных).
— Получатели или категории получателей персональных данных.
— Детали передачи данных за пределы ЕС.
— Длительность хранения персональных данных.
— Права субъектов по отношению к обработке их данных.
— Сообщить о праве отозвать согласие (если применимо).
— Сообщить о праве подать жалобу в регулирующий орган.
— Сообщить, обязан ли субъект сообщить данные для выполнения контрактных обязательств.
— Сообщить о наличии и деталях автоматизированного принятия решений или профайлинга.
— Детали используемых на сайте cookie и уведомление о cookie при первом посещении пользователем сайта.

3. Если ваша деятельность связана с предоставлением услуг и получением информации о здоровье (это может включать не только медицинские услуги, но и альтернативную медицину, массажи, некоторые эстетические процедуры, диетологию) помимо оснований для обработки вам потребуется дополнительное согласие от человека на хранение и обработку подобного рода информации. Или, например, если вы храните информацию об больничных и диагнозах своих сотрудников.

4. Нужно составить мини-отчет по персональным данных сотрудников (какие данные хранятся, как долго и где).

5. Всем, кто обрабатывает персональные данные, необходимо зарегистрироваться в надзорном органе. В Великобритании — Information Commissioner’s Office (ico.org.uk).

6. Помнить об элементарных мерах безопасности на вашем сайте и компьютерных системах. Регулярно ставить обновления, использовать шифрование и контролировать несанкционированный доступ к персональным данным сотрудников и клиентов.

7. Если ваши услуги ориентированы на детей, нужно помнить, что возраст самостоятельного согласия ребенка на обработку его данных колеблется от 13 до 16 лет по странам Европы, в Англии — 13 лет. Также ребенок, достигший возраста согласия, может потребовать удалить его данные, которые были собраны без его осознанного согласия.

8. Нужно с осторожностью выбирать сервисы и подрядчиков, которым вы делегируете обработку данных своих клиентов, например, программы рассылок. Вы должны быть уверены в них, т. к. в случае неправомерного использования ими данных ваших клиентов вы также будете нести ответственность. Регламент требует, чтобы ваши подрядчики действовали только в соответствии с вашим письменным контрактом.

9. Если вы не храните данные после предоставления сервиса (например, вы фотограф и удаляете фотографии после их оплаты клиентом), то вам достаточно проинформировать об этом клиента в момент получения данных (создания фотографии).

10. Если число сотрудников в компании более 250, требования к документации более строгие. Также в случае, если у вас произошла утечка данных и утерянная информация является чувствительной, может угрожать репетиционными финансовыми потерями или жизни и свободам граждан, вы обязаны проинформировать клиентов и надзорный орган в течение 72 часов.

Маркетинг: что можно, а чего нельзя?

Электронные рассылки для новых потенциальных клиентов. Вы можете делать рассылки на адреса типа info@company.com. На адреса вида name.surname@company.com рассылок лучше избегать.

Вы можете делать рассылки на именные адреса, если предварительно у вас состоялось какое-то бизнес- общение, вы обменялись визитными карточками или это взаимодействие от бизнеса к бизнесу.

Приобретая базу публично доступных email-адресов, желательно подписать с продавцом документ о том, что все контакты в предоставленном списке согласны на рассылку. В первом письме вы обязаны уведомить, как вам стали доступны контактные данные человека, и предоставить ему возможность отписаться (легкодоступную) и ссылку на вашу политику конфиденциальности данных (privacy policy).

Если вы кому-то продаете или передаете вашу собственную клиентскую базу, у вас должно быть на это согласие клиента. Если тот, кому вы передали контакты клиента, начнет отсылать ему спам без его согласия, вы тоже будете нести ответственность.

Если потенциальный клиент интересуется вашими услугами, это не означает, что вы по умолчанию включаете его в свою базу рассылки. Для получения рекламной рассылки необходимо согласие клиента, которое он должен сам активно указать (например, нажать галочку, которая не может быть нажата за него автоматически — как это делали раньше).

Если вы получаете информацию о посетителе сайта или клиенте неявно (например, через «Фейсбук»-пиксель на вашем сайте), вы должны проинформировать об этом посетителя и объяснить, как отказаться от этого.

Рассылки для существующих клиентов

Вы можете делать рассылки своим существующим клиентам, которые у вас уже что-то купили по схожим продуктам или услугам. Тем, кто у вас ничего не приобретал, но каким-то образом оказался в вашей базе рассылки до 25 мая, желательно сделать рассылку с просьбой подтвердить их согласие на получение ваших рассылок. И удалить тех, кто отказался или никогда не читает ваши рассылки.

Существующему клиенту также необходимо предоставить возможность отписаться и ссылку на вашу политику конфиденциальности данных (privacy policy). И это должно быть легко: не мелким шрифтом, не спрятано. Если человек в любой форме попросил вас больше не присылать ему рассылки или отписался от них, вы обязаны его удалить.

Телефонный маркетинг и «холодные звонки»

Можно звонить лицам и организациям, которые не зарегистрированы в справочнике телефонных предпочтений (Telephone Preference Service и Corporate TPS), либо с согласия людей или после бизнес-общения, когда человек потенциально может ожидать вашего звонка.

Маркетинг через социальные сети

Поскольку пользователь сам регулирует настройки своего профиля и контакты, то конфиденциальность регулируется самим серсисом. Поэтому маркетинг в «Фейсбуке» не возбраняется.

Как могут наказывать за неисполнение?

Наказание будет пропорционально доходу, и ошибочно полагать, что сразу будут накладывать штрафы. Сначала сделают предупреждение, но это несет определенный риск для репутации. Описания некоторых уже выписанных наказаний и штрафов можно почитать на сайте ico.org.uk/action-weve-taken/enforcement

Какие преимущества этот регламент дает человеку?

Это мощный инструмент защиты своих прав и воздействия на любую организацию без суда. С помощью магических слов «право доступа» (right of access) вы можете по email или по почте запросить у организации любую информацию, которая прямо или косвенно имеет к вам отношение, и вам ее обязаны предоставить. Без адвокатов и судов.

6 оснований для обработки данных (lawful basis)

1. Согласие (Consent). Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие может быть отозвано пользователем в любой момент, поэтому не всегда является наилучшим основанием.

2. Договор (Contract). Для заключения договора по инициативе субъекта персональных данных или шагов, предшествующих заключению контракта, по инициативе субъекта. Если инициатива исходит от бизнеса — данное основание неприменимо. В таких случаях согласие субъекта не требуется.

3. Законные требования (Legal obligation). Для случаев, когда организация по закону обязана хранить у себя персональные данные. Например, данные клиентов для налоговой отчетности, запросов из полиции, судебных запросов.

4. Жизненно важные интересы (Vital interests). Применимо только в случае, если необходимо для спасения жизни субъекта и субъект не в состоянии дать согласие.

5. Общественные интересы (Public task). Применимо только к общественной или государственной деятельности, например, исторические, статистические, медицинские исследования.

6. Законные интересы (Legitimate interests). Самое гибкое основание. Подразумевает интересы организации, которая собирает данные. Могут быть применимы для коммерческой, маркетинговой деятельности, однако должны быть сбалансированы с интересами людей, чьи данные они собирают, и не являются универсальной отговоркой для бесконтрольного и необоснованного сбора информации.

Подробнее: quick-gdpr.co.uk