Гайд по GDPR: что это такое и как подготовиться, чтобы не нарушать требования
30.06.2023
GDPR, или Общий регламент ЕС по защите данных, существенно изменил подход к использованию и обработке конфиденциальных данных. Регламент вступил в силу 25 мая 2018, однако регуляторы предоставили организациям двухлетний льготный период для перехода и адаптации.
Несмотря на то, что GDPR внедрен на территории ЕС, регламент касается и компаний, находящихся вне ЕС. Даже если ваша компания не работает в ЕС, но имеет клиентов оттуда, она должна соблюдать требования GDPR. Кроме этого, компании, обрабатывающие данные ответственно, имеют весомое конкурентное преимущество перед теми, кто этого не делает.
Именно поэтому это так важно для украинского бизнеса: советуем к прочтению статью, чтобы не упустить ни одного важного момента. Сегодня мы расскажем об основных требованиях GDPR и о том, как подготовить свою компанию к новым реалиям. Кроме того, вы узнаете о штрафах, предусмотренных за несоблюдение требований регламента.
Что такое GDPR: требования, принципы и особенности
Цель GDPR — обеспечить лиц, то есть «субъектов данных», защитой конфиденциальных данных. Компании, соблюдающие поставленные требования, обеспечат доверие и лояльность среди клиентов. Нарушители, в свою очередь, понесут финансовый и репутационный ущерб.
По регламенту GDPR, персональные данные — это любая информация, которая может прямо или косвенно идентифицировать личность, то есть субъекта данных (имя, электронная почта, этническая принадлежность, почтовый индекс, месторасположение, пол, банковские реквизиты, IP-адреса, биометрические данные, религиозные и политические убеждения, файлы cookie и даже публикации в социальных сетях). Под обработкой данных подразумевается любое действие, выполняемое с данными, включая ручные и автоматические методы.
Согласно регламенту GDPR, у субъектов данных есть ряд прав, позволяющих контролировать способ использования своих персональных данных компаниями и организациями. Среди них такие:
- Право на получение информации о том, какие данные собирает организация и как она их использует. Если вы самостоятельно получили данные от субъекта, вы должны уведомить субъекта данных об этом во время сбора.
- Право на доступ к персональным данным и способ их обработки. Субъект данных может запросить копию всех данных, обрабатываемых компанией. Это называется запрос на доступ субъекта данных (DSAR).
- Право на устранение неточных или неполных персональных данных. Если лицо требует исправления данных (устно или в письменном виде), то у вас есть один месяц, чтобы выполнить запрос.
- Право на удаление данных. Согласно этому правилу, субъект данных вправе потребовать удаления его персональных данных в течение 30 дней. Однако это возможно только в определенных случаях: данные более не актуальны, начальная цель сбора достигнута или если субъект данных отзывает согласие. Если присутствует любой из этих критериев, вы должны прекратить обработку данных и их дальнейшее распространение.
- Право на ограничение обработки персональных данных. Если субъект данных просит прекратить обработку данных, вы должны это сделать, но хранить данные разрешается.
- Право на перенос данных. Субъектам данных разрешено переносить свои данные с одной платформы на другую легким и понятным способом.
- Право на возражение. Субъекты данных могут возражать против характера использования их информации.
- Автоматизированное принятие решений и профилирование. Субъекты данных имеют право отказаться от автоматизированных решений, принимаемых в отношении их данных, если эти решения оказывают юридическое или подобное значительное влияние. Например, веб-сайт, который автоматически одобряет или отказывает людям в займах или принимает решения по найму, будет оказывать значительное влияние на жизнь человека. Субъекты данных могут отказаться от этих практик.
Если вы обрабатываете данные от имени компании граждан ЕС, вы должны соблюдать GDPR. Чтобы законно обрабатывать данные, вы должны соблюдать одну из шести правовых основ GDPR. Согласие субъекта данных является одним из важнейших требований. Организации должны не только получить согласие, но и спрашивать об этом понятно и доступно.
Что произойдет в случае нарушения требований GDPR?
Стоимость ошибки по несоответствию требований GDPR может стоить вам очень дорого. Согласно регламенту, могут быть применены два уровня штрафов:
- Первый уровень штрафов составляет до 10 миллионов евро или 2% мирового годового дохода компании за предыдущий финансовый год (в зависимости от того, какая сумма больше).
- Второй уровень штрафов составляет до 20 миллионов евро или 4% мирового годового дохода компании за предыдущий финансовый год (в зависимости от того, какая сумма больше).
При определении окончательной суммы наложения штрафа учитывается ряд критериев, например характер, тяжесть и продолжительность нарушения; характер нарушения – умышленное или случайное; влияние нарушения на субъектов данных; история предварительных нарушений и т.д.
Нарушение регламента карается не только наложением штрафов. Так, контролирующие органы имеют право вынести предупреждение или выговор, наложить запрет (временный или постоянный) на обработку данных, приостановить передачу данных в третьи страны и т.д. Нельзя забывать и о репутационном ущербе: даже самые известные мировые бренды уже успели проглотить горькую пилюлю штрафов за нарушение GDPR. Некоторые из наболее значительных штрафов включают в себя:
- В 2023 году был наложен самый большой в истории штраф на Facebook Meta. Нарушение заключалось в передаче данных пользователей из ЕС в США.
- Второй по величине штраф GDPR был наложен на Instagram за нарушение правил обработки данных детей без правовых оснований.
- В 2016 году был оштрафован Uber за «утечку» конфиденциальных данных. Так, в Италии от этого пострадали 52 000 водителей и 243 000 пассажиров.
Чтобы избежать таких неприятностей, советуем заранее подготовить свою компанию к внедрению новых правил. Как это сделать максимально быстро и эффективно, рассказываем ниже.
Как подготовить свою компанию к GDPR?
Анастасия Байдаченко, CEO IAB Ukraine, утверждает, что в случае с GDPR самым главным приоритетом должно быть соблюдение буквы закона и избегание огромных штрафов. К сожалению, в таком случае любые общие рекомендации всегда рискованны. Поэтому советуем заранее подготовиться: прежде всего, вы должны ознакомиться с требованиями и принципами GDPR, о которых мы уже рассказывали выше. Отметим, что ваша организация должна придерживаться следующих основных принципов:
- Законность, честность и прозрачность: обработка данных должна быть законной и прозрачной.
- Ограничение целей обработки: компании должны обрабатывать данные только для законных целей, указанных для каждого субъекта данных перед тем, как их собирать.
- Минимизация обработки данных: обработчики данных должны собирать и использовать только те данные, которые необходимы для развития бизнеса.
- Точность: организации должны постоянно поддерживать актуальность своих данных.
- Ограничения хранения данных: организации должны хранить персональные данные только столько времени, сколько это необходимо для запланированных целей. Организации должны удалить данные, когда цель будет достигнута.
- Целостность и конфиденциальность: организации должны обрабатывать данные и обеспечивать их безопасность, целостность и конфиденциальность.
- Подотчетность: организации должны документально отчитываться о процессе сбора, использования и хранения конфиденциальных данных.
Обращая внимание на все детали, вы можете растеряться или забеспокоиться. Однако волнение не поможет вам ускорить адаптацию своего бизнеса к новым требованиям. В то же время, советуем сделать еще несколько последних шагов навстречу GDPR. Итак, подготовиться к новым требованиям можно с помощью:
- аудита персональных данных: убедитесь, что все процессы сбора, обработки и хранения персональных данных соответствуют требованиям GDPR;
- обновления политики конфиденциальности: укажите, как вы собираете, храните и используете данные, а также сообщите субъектам данных об их правах;
- наличия согласия на обработку данных: убедитесь, что вы предоставляете пользователям возможность согласиться с обработкой и использованием их персональных данных;
- наличия безопасности данных: позаботьтесь о шифровании данных, чтобы предотвратить несанкционированное распространение и использование персональных данных;
- проверки своих действий на соответствие новым требованиям: регулярно обновляйте политику конфиденциальности, согласие на обработку персональных данных и убедитесь, что все процедуры и процессы отвечают законным требованиям.
Выводы
Маркетинг – это сфера, в которой на продажи влияет уровень знаний о клиенте. Определение интересов и предпочтений потребителей помогает создавать релевантные объявления и персонализированные предложения. Однако, это может поставить маркетинговую тактику в конфликт в разрезе с правилами GDPR. Именно поэтому важно проверить свою деятельность на соответствие вышеуказанным требованиям регламента. Уверенность в законности своей деятельности по сбору данных убережет от штрафов, репутационных убытков и потери лояльных клиентов.
Юрий Копишинский, СЕО Webpromo, утверждает, что украинский бизнес должен адаптироваться к новым реалиям заранее Тот, кто начнет подготовку раньше, будет иметь больше возможностей и преимуществ. Изучайте регламент, внедряйте новые правила в свою повседневную деятельность и продолжайте радовать клиентов своей преданностью, честностью и прозрачностью.