С чего начать подготовку к GDPR: инструкция
12.06.2023
Редакция: Дарья Картавченко. Автор: Дария Картавченко
Защита персональных данных стала одной из важнейших тем современной Интернет культуры. Существенный сдвиг в этой сфере должен совершить Общий регламент о защите персональных данных (GDPR), принятый в 2018 году. Пока он оказывает значительное влияние на компании в Европейском Союзе, однако диджитал индустрия других регионов также должна постепенно переходить к работе в соответствии с новыми требованиями обработки и хранения персональных данных граждан. Пока новые правила касаются только данных граждан ЕС, независимо от того, где они находятся. Однако казахскому бизнесу следует делать первые шаги подготовки собственных сайтов к требованиям GDPR. С чего начать?
Ознакомьтесь с требованиями GDPR:
Прежде всего, тщательно ознакомьтесь с основными требованиями и принципами GDPR, о которых мы писали раньше. Поймите, какие права имеют граждане ЕС по своим персональным данным, какие виды данных считаются персональными и какие ограничения существуют по обработке этих данных. Здесь также важно быть уверенным, что вся команда понимает требования GDPR и свои обязанности по защите персональных данных.
Как подготовиться к GDPR – мнение эксперта
Анастасия Байдаченко, CEO IAB Ukraine
«Вопрос соответствия сайта требованиям GDPR – это вопрос, прежде всего, юридический. Общаясь с издателями, мы часто слышим замечание, что GDPR может привести или не привести к уменьшению монетизации, но вопросом первого приоритета в случае с GDPR является соблюдение буквы закона и избегание огромных штрафов. Следовательно, любые общие рекомендации всегда являются рискованными. Три комитета IAB объединились для подготовки первичного гайда из GDPR, и это будет документ минимум на 130-140 страниц, ведь сокращения и обобщения здесь неуместны, даже вредны. Так что на сегодняшний день я могу дать следующую последовательность действий:
- дождаться публикации гайда IAB и прослушать все сопроводительные вебинары и эфиры;
- ознакомить с материалами юридический отдел и всех, кто работает с цифровой рекламой;
- найти контакт юриста, имеющего опыт работы с GDPR на европейском рынке, ибо скорее всего вы будете нуждаться в дополнительных консультациях именно под ваш случай”.
Что нужно знать кроме общих принципов GDPR?
Если вы планируете начать подготовку уже сейчас, тогда донесите до своих сотрудников информацию еще по следующим темам:
Обязанности:
Расскажите коллегам об их новых обязанностях по защите персональных данных. В частности, обеспечение конфиденциальности данных, применение соответствующих мер безопасности, сбор согласия от пользователей перед обработкой их данных и сообщения о нарушении безопасности данных.
Принципы обработки персональных данных:
Подробно разберите процедуры обработки персональных данных в компании. Объясните, какие виды данных собираются, как они используются, как долго сохраняются и какие основания для их обработки. Подчеркните важность ограничения доступа к данным и недопущения незаконной обработки.
Согласие, согласие и еще раз согласие:
Отдельно остановитесь на вопросе необходимости получения согласия от пользователей перед обработкой их персональных данных. Еще раз проговорите условия сбора информации, сделайте акцент на необходимости информировать пользователей, как именно могут быть использованы данные.
Права пользователей:
Да, теперь пользователи более защищены, ведь имеют четко прописанные права. Расскажите, какие именно. Например, право на доступ, исправление, удаление и перенос данных. Также остановитесь на том, как реагировать ваша компания на соответствующие запросы граждан.
Конечно, это лишь основные вопросы, которые следует изучить в первую очередь, однако мы все же поддерживаем мнение Анастасии Байдаченко и считаем, что сокращать не следует. Ознакомьтесь с регламентом GDPR вдоль и поперек. Привлеките специалистов и продолжайте учиться и обучать команду до тех пор, пока полностью не поймете новые требования. И только потом переходите к введению изменений в работе вашего сайта.
Несколько советов, с чего начать:
Проведите аудит персональных данных:
Определите, какие персональные данные вы собираете, храните и обрабатываете на своем веб-сайте. Создайте полный список всех видов данных, включая имена, адреса электронной почты, IP-адреса, cookie и другие идентификаторы. Сопоставьте, все ли действия разрешены регламентом.
Обновите политику конфиденциальности:
Создайте или обновите политику конфиденциальности вашего сайта, чтобы она отвечала требованиям GDPR. Обязательно укажите, какие данные вы собираете, как их используете, как долго сохраняете и какие права имеют пользователи относительно своих данных. Обеспечьте доступность политики конфиденциальности каждому пользователю вашего сайта.
Кроме политики конфиденциальности, позаботьтесь о согласии на обработку данных:
Убедитесь, что перед тем, как собирать данные, вы запрашиваете согласие пользователей на обработку их персональных данных. Для этого, например, используйте попап-окна или проще – флажки с подтверждением согласия.
Позаботьтесь о безопасности данных:
Пользователи позволили вам собирать и обрабатывать их данные – позаботьтесь об их безопасности. Используйте защищенный протокол передачи данных (например, HTTPS), шифрование данных и другие меры для предотвращения несанкционированного доступа к данным.
Регулярно проверяйте соответствие:
Пока вы только начинаете работу с GDPR, осуществляйте регулярную проверку соответствия ваших действий новому регламенту. В частности, убедитесь, что политика конфиденциальности при необходимости обновляется, сбор данных соответствует согласиям пользователей, все процедуры обработки данных осуществляются в соответствии с требованиями GDPR.
Это лишь общие шаги по подготовке вашего сайта к GDPR, база, с которой можно начать. План действий может зависеть от конкретных обстоятельств компании. Не торопитесь, возьмите себе время на тщательное изучение регламента. В случае необходимости обратитесь к юристам или консультантам по вопросам защиты данных для получения индивидуальных советов.