Олена Рязанова, директор компанії Security Trend і сервісу Quick GDPR

З 25 травня 2018 року Європа переключилася на оновлені правила обробки персональних даних, встановлені загальним регламентом щодо захисту даних ( регламент ЄС 2016/679 ) Від 27 квітня 2016 року, або GDPR - General Data Protection Regulation. Цей регламент, який має пряму дію в усіх 28 країнах ЄС, замінить Директиву про захист персональних даних 95/46 / ЄС від 24 жовтня 1995 року.

Не тільки в країнах ЄС

Регламент GDPR спрямований на уніфікацію і приведення до єдиного стандарту переміщення персональних даних між державами - членами ЄС, а також захисту основних прав і свобод фізичних осіб щодо обробки даних і забезпечення їх безпеки.

Онлайн-ідентифікація

Нюансом GDPR є те, що навіть компаніям, що знаходяться за межами ЄС, слід уважно поставитися до них, якщо послуги орієнтовані на європейський або міжнародний ринок. А також тепер онлайн-ідентифікатори, такі як IP адреса, email, ідентифікатор cookie, геолокація, біометричні параметри людини, також прирівнюються до персональних даних.

Пояснити і надати

Обробляти персональні дані тепер можна тільки на одному з шести дозволених законних підстав, і надавати повну інформацію про процес обробки людині в момент отримання його персональних даних. Крім того, фізичні особи наділяються цілим рядом прав щодо доступу, коригування, видалення та інших процедур щодо своїх персональних даних.

З особливою обережністю

Вводиться поняття «персональні дані особливої ​​категорії» - це дані про расову чи етнічну приналежність, політичні або релігійні переконання, членство в профспілках (Trade Union), генетична інформація, біометричні ідентифікатори, інформація про фізичну або ментальному стані і здоров'я, сексуального життя або орієнтації, до яких пред'являються підвищені вимоги обробки.

Крім цього, на території Великобританії продовжує діяти Регламент про конфіденційність електронних комунікацій ( PECR або Privacy and Electronic Communications (EC Directive) Regulations 2003 ), Який практично ніхто не виконував до недавнього часу, але саме за невиконання даного регламенту компанії можуть отримати штраф.

Фото: maxpixel.net

дії

Отже, що потрібно робити, якщо ви приватний підприємець, малий або середній бізнес або невелика некомерційна організація з числом співробітників менше 250.

1. Потрібно розуміти, що правилам GDPR і PECR зобов'язані підкорятися всі організації незалежно від їх розміру. Навіть якщо ви приватний підприємець, якщо ви зберігаєте дані, які дозволяють персонально ідентифікувати людину (ім'я, прізвище, адресу, дані соц. Страховки, вік, звички, потреби, фотографії, відео, скарги, номер телефону, email, IP адресу відвідувачів сайту і інше) - все це персональні дані людей.

2. Якщо у вас є сайт, вам як мінімум потрібно поставити в нижню частину сайту посилання на вашу політику конфіденційності (privacy policy). Цей текст хоч і не є юридичним документом, повинен містити певний набір інформації, а саме:

- Назва і контакти організації, якій належить сайт.
- Категорії одержуваних персональних даних.
- Джерело даних (якщо дані отримані не безпосередньо від суб'єкта).,
- Для чого збираються дані.
- Законні підстави для обробки даних (1 з 6 доступних).
- Одержувачі або категорії одержувачів персональних даних.
- Деталі передачі даних за межі ЄС.
- Тривалість зберігання персональних даних.
- Права суб'єктів по відношенню до обробки їх даних.
- Повідомити про право відкликати згоду (якщо є).
- Повідомити про право подати скаргу до регулюючого органу.
- Повідомити, чи зобов'язаний суб'єкт повідомити дані для виконання контрактних зобов'язань.
- Повідомити про наявність і деталях автоматизованого прийняття рішень або профайлінга.
- Деталі використовуваних на сайті cookie і повідомлення про cookie при першому відвідуванні користувачем сайту.

3. Якщо ваша діяльність пов'язана з наданням послуг і отриманням інформації про здоров'я (це може включати не тільки медичні послуги, але і альтернативну медицину, масажі, деякі естетичні процедури, диетологию) крім підстав для обробки вам буде потрібно додаткове згоду від людини на зберігання і обробку подібного роду інформації. Або, наприклад, якщо ви зберігаєте інформацію про лікарняних і діагнозах своїх співробітників.

4. Потрібно скласти міні-звіт по персональним даних співробітників (які дані зберігаються, як довго і де).

5. Всім, хто обробляє персональні дані, необхідно зареєструватися в наглядовому органі. У Великобританії - Information Commissioner's Office ( ico.org.uk ).

6. Пам'ятати про елементарні заходи безпеки на вашому сайті і комп'ютерних системах. Регулярно ставити поновлення, використовувати шифрування і контролювати несанкціонований доступ до персональних даних співробітників і клієнтів.

7. Якщо ваші послуги орієнтовані на дітей, потрібно пам'ятати, що вік самостійного згоди дитини на обробку його даних коливається від 13 до 16 років у країнах Європи, в Англії - 13 років. Також дитина, яка досягла віку згоди, може зажадати видалити його дані, які були зібрані без її усвідомленої згоди.

8. Потрібно з обережністю вибирати сервіси і підрядників, яким ви делегіруете обробку даних своїх клієнтів, наприклад, програми розсилок. Ви повинні бути впевнені в них, тому що в разі неправомірного використання ними даних ваших клієнтів ви також будете нести відповідальність. Регламент вимагає, щоб ваші підрядники діяли тільки відповідно до вашим письмовим контрактом.

9. Якщо ви не зберігайте дані після надання сервісу (наприклад, ви фотограф і видаляєте фотографії після їх оплати клієнтом), то вам достатньо поінформувати про це клієнта в момент отримання даних (створення фотографії).

10. Якщо число співробітників в компанії більше 250, вимоги до документації суворіші. Також в разі, якщо у вас стався витік даних і загублена інформація є чутливою, може загрожувати репетиційними фінансовими втратами або життя і свободам громадян, ви зобов'язані проінформувати клієнтів і наглядовий орган протягом 72 годин.

Фото: maxpixel.net

Маркетинг: що можна, а чого не можна?

Електронні розсилки для нових потенційних клієнтів. Ви можете робити розсилки на адреси типу [email protected] . На адреси виду [email protected] розсилок краще уникати.

Ви можете робити розсилки на іменні адреси, якщо попередньо у вас відбулося якесь бізнес спілкування, ви обмінялися візитними картками або це взаємодія від бізнесу до бізнесу.

Купуючи базу публічно доступних email-адрес, бажано підписати з продавцем документ про те, що всі контакти в наданому списку згодні на розсилку. У першому листі ви зобов'язані повідомити, як вам стали доступні контактні дані людини, і надати йому можливість відписатися (доступну) і посилання на вашу політику конфіденційності даних (privacy policy).

Якщо ви комусь продаєте або передаєте вашу власну клієнтську базу, у вас повинно бути на це згоду клієнта. Якщо той, кому ви передали контакти клієнта, почне посилати йому спам без його згоди, ви теж будете нести відповідальність.

Якщо потенційний клієнт цікавиться вашими послугами, це не означає, що ви за замовчуванням включаєте його в свою базу розсилки. Для отримання рекламної розсилки необхідна згода клієнта, яке він повинен сам активно вказати (наприклад, натиснути галочку, яка не може бути натиснута за нього автоматично - як це робили раніше).

Якщо ви отримуєте інформацію про відвідувача сайту або клієнта неявно (наприклад, через «Фейсбук» -піксель на вашому сайті), ви повинні проінформувати про це відвідувача і пояснити, як відмовитися від цього.

Розсилки для існуючих клієнтів

Ви можете робити розсилки своїм існуючим клієнтам, які у вас вже щось купили за схожими продуктів або послуг. Тим, хто у вас нічого не набував, але якимось чином опинився у вашій базі розсилки до 25 травня, бажано зробити розсилку з проханням підтвердити їх згоду на отримання ваших розсилок. І видалити тих, хто відмовився або ніколи не читає ваші розсилки.

Існуючому клієнту також необхідно надати можливість відмовитися від передплати та посилання на вашу політику конфіденційності даних (privacy policy). І це повинно бути легко: чи не дрібним шрифтом, ховаються. Якщо людина в будь-якій формі попросив вас більше не надсилати йому розсилки або відписався від них, ви зобов'язані його видалити.

Телефонний маркетинг і «холодні дзвінки»

Можна дзвонити особам і організаціям, які не зареєстровані в довіднику телефонних переваг ( Telephone Preference Service і Corporate TPS ), Або за згодою людей або після бізнес-спілкування, коли людина потенційно може очікувати вашого дзвінка.

Маркетинг через соціальні мережі

Оскільки користувач сам регулює налаштування свого профілю і контакти, то конфіденційність регулюється самим серсіс. Тому маркетинг в «Фейсбуці» не забороняється.

Як можуть карати за невиконання?

Покарання буде пропорційно доходу, і помилково вважати, що відразу будуть накладати штрафи. Спочатку зроблять попередження, але це несе певний ризик для репутації. Описи деяких вже виписаних покарань і штрафів можна почитати на сайті ico.org.uk/action-weve-taken/enforcement

Які переваги цей регламент дає людині?

Це потужний інструмент захисту своїх прав і впливу на будь-яку організацію без суду. За допомогою магічних слів «право доступу» (right of access) ви можете за email або поштою запросити у організації будь-яку інформацію, яка прямо або побічно має до вас ставлення, і вам її зобов'язані надати. Без адвокатів і судів.

6 підстав для обробки даних (lawful basis)

1. Згода (Consent). Згода на обробку персональних даних має бути конкретним, поінформованим і свідомим. Згода може бути відкликано користувачем в будь-який момент, тому не завжди є найкращим підставою.

2. Договір (Contract). Для укладення договору з ініціативи суб'єкта персональних даних або кроків, що передують укладанню контракту, за ініціативою суб'єкта. Якщо ініціатива виходить від бізнесу - це підстава не застосовується. У таких випадках згода суб'єкта не потрібно.

3. Законні вимоги (Legal obligation). Для випадків, коли організація за законом зобов'язана зберігати у себе персональні дані. Наприклад, дані клієнтів для податкової звітності, запитів з поліції, судових запитів.

4. Життєво важливі інтереси (Vital interests). Стосується тільки в разі, якщо необхідно для порятунку життя суб'єкта і суб'єкт не в змозі дати згоду.

5. Громадські інтереси (Public task). Стосується лише громадської або державної діяльності, наприклад, історичні, статистичні, медичні дослідження.

6. Законні інтереси (Legitimate interests). Саме гнучке підставу. Має на увазі інтереси організації, яка збирає дані. Можуть бути застосовні для комерційної, маркетингової діяльності, проте повинні бути збалансовані з інтересами людей, чиї дані вони збирають, і не є універсальною відмовкою для безконтрольного та необгрунтованого збору інформації.

Детальніше: quick-gdpr.co.uk