GDPR. Регламент по защите данных в интернете.

С активным перемещением реальной жизни в виртуальную среду возникла необходимость пересмотреть и правила, по которым производится обработка персональных данных. 25 мая 2018 года в силу вступили обновленные требования для всех участников онлайн процесса, которые для своей деятельности собирают личные сведения пользователей. Они являются обязательными для выполнения всеми резидентами Европейского Союза, а за невыполнение предусмотрены довольно жесткие меры. GDPR распространяются на компании сферы торговли или предоставления услуг независимо от размеров и сферы. Если бизнес работает со сбором данных резидентов ЕС, их соблюдение обязательно, не зависимо от того, где территориально находится сама компания.

Что такое GDPR

В связи с высокой активностью пользователей в интернет сети возникла серьезная необходимость защиты их персональных параметров от использования, сбора и передачи третьим лицам без согласия самого человека. Для этого Европейским Союзом были разработаны требования, которые регламентируют процесс сбора данных и обеспечивают приватность при использовании интернет ресурсов.

GDPR – аббревиатура от английского General Data Protection Regulation, обозначающая Общий регламент по защите данных, который распространяется на все 28 стран Европейского Союза. Соблюдение их обязательно, а штрафы за невыполнение колоссальны – до 20 млн. евро или до 4% от общего дохода компании за год. Такое наказание стоит того, чтобы разобраться во всех предписаниях регламента и не нарушать его. Текст содержит детальное описание процесса сбора и обработки сведений, а также – предписания для компаний о действиях, которые необходимо предпринять при работе с личной информацией посетителей сайта и клиентов.

Действие документа распространяется на товары или услуги, которые:

• адаптированы на местные языки стран ЕС;
• предоставляются на национальных доменах верхнего уровня стран ЕС
• оплачиваются в местной валюте

Также необходимо учесть, что под действие регламента попадает не только обработка данных, но и мониторинг поведения субъектов, который включает:

• отслеживание поведенческих факторов пользователя в интернет среде
• применение различных способов сбора информации о поведении или отношении посетителей сайта к чему-либо (к примеру, анализ предпочтений).

Европейский документ различает и такие понятия, как:

• data controller - контроллер данных, который решает, что происходит с данными и несет за это серьезную юридическую ответственность;
• data processor – процессор данных, является «исполнителем» для контроллера.

Подобные нюансы прописаны в регламенте и дают развернутое объяснение к каждому понятию. Для компаний с представительством в онлайн среде и обработкой данных резидентов ЕС изучение и соблюдение правил – обязательное условие ведения бизнеса.

Сохранность данных в интернете

Прежде, чем говорить о личной информации, необходимо понимать, о чем конкретно идет речь.

Персональные данные – любая информация о пользователе, которая оставлена субъектов и интернет сети. К таковой относится:

• имя
• месторасположение
• IP адрес
• гендерная принадлежность
• возраст

Сюда же входят параметры о физической, умственной, культурной, социальной идентичности, то есть, все то, что может составить портрет личности.

Существует и такой разряд личных данных, как повышенно конфиденциальные. Они раскрывают расовые, политические, религиозные, философские убеждения. Сюда же относятся биометрические составляющие, информация о здоровье, сексуальной ориентации.

Получение таких сведений отслеживается и контролируется с особой тщательностью.

Сохранность данных регулируется при помощи 5 основных принципов документа:

1. Минимизация данных

Собирать только то, что необходимо для целей компании

2. Законность и прозрачность

Пользователь должен знать о том, что сведения о нем собираются, а также – для каких целей это совершается. Сбор должен производиться в рамках закона.

3. Точность

В случае если информация не соответствует реальности, она должна быть своевременно исправлена, а пользователю всегда открыт доступ для внесения изменений.

4. Хранение

Сберегать их необходимо в строгой конфиденциальности и сроках, не превышающих необходимые для достижения целей

5. Целостность

Объект, который осуществляет сбор, обязан обеспечить им высокий уровень защиты от взломов, повреждений и передачи третьим лицам.

Эти принципы являются основой для работы компаний и должны выполняться без исключений.

Требования приватности с сохранности данных GDPR

Если говорить о конкретных пунктах документа, то следует обязательно обратить внимание на главные моменты:

1. Установлено четкое описание, что именно относится к персональным данным. Теперь в них входит не только информация по идентифицированному физическому лицу, но и параметры, которые можно выделить по косвенным признакам. Другими, словами, перечень персональной информации дополнился такими показателями, как Client ID и User ID, месторасположение и прочими параметрами, которые косвенно могут описать личность клиента.
2. Прописаны моменты, которые регулируют сбор информации только в объемах, необходимых для достижения конкретных целей компании. Вопросы должны быть корректными, а сроки хранения сведены к минимуму.
3. Прописаны права субъекта данных, в которых они имеют право запрашивать подтверждение факта сбора о них сведений и цель, а также требовать их исправление.
4. Детские сведения – особая категория защиты. Согласие на их сбор должно быть авторизовано родителями, а возрастной порог – от 13 до 16 лет, в зависимости от конкретной страны.
5. Назначена ответственность за нарушение регламента, которая сулит компаниям серьезные штрафные санкции.

Что конкретно изменилось при вступлении регламента в действие:

• возросла ответственность компаний за сбор, хранение и обработку персональной информации пользователей;
• разработка проекта начинается с проработки того, какие нужны сведения и оформления соответствующего раздела и функционала будущего сайта с учетом требований;
•  сбор данных теперь не значит «чем больше, тем лучше», бизнес сдержанно относится к вопросу, не усердствуя с полями данных пользователей, если в них нет особой необходимости;
• сотрудники компании осведомлены о наказании за несоблюдение конфиденциальности и относятся к ним с осознанной ответственностью;
• сбор информации выведен на высокий уровень с учетом современных тенденций развития технологий.

GDPR по праву можно считать первым серьезным документом такого масштаба, принятым для регулирования обмена данными в интернет среде.

GDPR в Украине

Чтобы понять, как документ повлияет на внутренний бизнес, следует помнить, что регламент не привязан к месторасположению самой компании. Он регламентирует обработку персональных данных резидентов Европейского Союза. Если организация локальная, и на сайт не зайдет ни один гражданин ЕС, теоретически, можно не волноваться о соблюдении предписаний. Но таких на нашем рынке не так и много. Для полноценного ведения бизнеса позаботиться о правильном внедрении GDPR все же стоит.

Это значит, что:

• компания ценит своих клиентов и беспокоится о защите их данных
• запрашивает разрешение на обработку
• беспокоится о хранении
• не запрашивает лишние сведения
• размещает на своем сайте всю необходимую информацию о процедуре и пользователь в любое время может с ней ознакомиться

Бизнес, который серьезно относится к этому вопросу, как правило, получает не только данные, но еще и лояльность, поскольку клиент видит отношение к его персональным сведениям как важным. Это еще один повод повысить уровень безопасности информации, как на уровне определенного бизнеса, так и отношения к данному вопросу страны в целом.

Чтобы внедрить все требования GDPR на свой сайт, необходимо проработать, как технические нюансы, так и текст самого соглашения для конкретного вида бизнеса.

Веб-студия «Kebeta.Agency» предлагает услуги по созданию и продвижению сайтов, в том числе – и проработка всех необходимых предписаний данного регламента. GDPR – не просто сборник правил, но и показатель европейского отношения и уважения к персональным данным пользователей. Обращайтесь, мы знаем все нюансы и поможем с реализацией требований документа на вашем ресурсе.