GDPR для data driven проектов: гайды и подводные камни

В мае 2018 года Европейский союз поднялся на новый уровень обработки персональных данных, приняв GDPR (Общий регламент по защите данных). Этот акт по итогу стал совсем недекларативным, так как штрафы за несоблюдение Регламента составляют до 20 миллионов евро или 4% от годового дохода компании.

За этот период органы ЕС более 3 тысяч раз выписывали компаниям штрафы, а рекордным стал 200-миллионный штраф, врученный British Airways. Причиной стали недостаточные меры безопасности, повлекшие утечку личных данных и кредитных карточек более полумиллиона пользователей. Поэтому не стоит пренебрегать GDPR: это важная штука для любого бизнеса, который является ориентированным на европейский рынок.

Как вы уже поняли, GDPR — это совсем не шутки, поэтому всем, кто работает с персональными данными в Европе, необходимо начать с основных понятий этого акта. Вам нужно разобраться с дефинициями, которые объясняют, что такое персональные данные, и кто их обрабатывает.

Персональные данные — это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу. (Простыми словами, это вся информация, с помощью которой вас можно идентифицировать: от имени и фамилии до IP-адреса и интернет-браузера, которым вы пользуетесь).

Контролер — это любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. (Грубо говоря, человек или компания, которая решает, кто и как будет обрабатывать ваши персональные данные)

Процессор — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролера. (Это уже тот самый человек или компания, которая хранит ваши данные и прилагает усилия, чтобы уберечь их от утери, уничтожения или раскрытия).

GDPR содержит еще десятки важных определений, которые определяют принципы ведения бизнеса в дата-проектах в Европе, но знание перечисленных выше терминов — маст-хэв.

GDPR — передовой акт о защите персональных данных, так как в нем прописан принцип экстерриториальности. Это значит, что в определенных случаях GDPR действует и за пределами ЕС: регламент применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

Допустим, у вас есть мобильная игра, оценивающая поведение игроков и определяющая тренды, из-за которых пользователи уделяют игры. Вы пользуетесь этим, стимулируете игроков в нужном направлении, зарабатываете деньги, но находитесь далеко за пределами ЕС. В большинстве случаев вам не нужен GDPR. Однако если ваши товары или услуги могут быть оплачены в виде местных валют стран ЕС, а описание товаров/услуг адаптировано на языки стран ЕС, это значит, что вы продаете товары/услуги гражданам и резидентам ЕС.

Ну а если ваш сайт имеет европейский домен (например, uk., nl., be., de.), это еще один яркий показатель, что вы работаете на европейском рынке. В таком случае ваш бизнес должен соответствовать положениям GDPR.

Возьмем другой пример. Ваш старт-ап — большой e-commerce проект, который, исходя из предыдущих покупок, предоставляет рекомендации своим клиентам, попутно, определив, что у конкретного клиента на 99% арахнофобия.

В таком случае ваша компания наверняка обрабатывает персональные данные. Для того чтобы понять, имеете ли вы какое-либо отношение к GDPR, вам следует обратиться к специалисту, который сможет провести GPDR Аудит. Желательно, чтобы это делал квалифицированный юрист.

GDPR Аудит поможет выяснить, обрабатываете ли вы персональные данные граждан и резидентов ЕС. Если вы получили положительный ответ, то такой аудит поможет ответить на вопросы, какие именно данные вы обрабатываете, каким образом, откуда вы берете эти данные, кто и как хранит данные, имеете ли вы дело с чувствительными персональными данными и другие вопросы. Если нет, то все равно будет полезно провести SEO-аудит сайта, можно начинать с аудита одной страницы.

GDPR Аудит поможет понять общую картину обработки персональных данных и заложит фундамент для дальнейших действий по достижению комплаенса с GDPR.

После проведения Аудита вам необходимо создать GDPR Road-map. Для этого вам следует составить ряд документов. Например, Gap Assessment поможет понять, что конкретно вашей компании нужно изменить для достижения комплаенса, а в Preparation Project Plan необходимо перечислить конкретные действия для реализации этой цели.

После этого начинайте приводить в порядок внутреннюю документацию. Для этого вам нужно принять Политику информационной безопасности и Handbook for Employee. Эти документы довольно объемны, но именно они закрепляют подходы к защите персональных данных, которые вы собираете.

Но это только базовые документы: желательно принять дополнительные политики, регулирующие правила поведения ваших работников, имеющих доступ к персональным данным. Вам могут пригодиться Bring Your Own Device Policy и Clear Desk and Clear Screen Policy.

С внутренними документами разобрались, теперь переходим к самому важному — коммуникация с пользователями. GDPR приветствует честность и открытость в политиках компаний. А за попытки сокрытия процессов обработки данных органы ЕС, как вы уже поняли, беспощадно штрафуют и наказывают нарушителей.

Data driven проекты склонны обрабатывать большие потоки информации. Например, у вас есть большой маркетплейс, обрабатывающий данные студентов и преподавателей. Не поленитесь описать в вашем главном документе Privacy Policy то, какие данные вы собираете, с какой целью (отдельно для каждого типа данных), что вы делаете с ними дальше, какие средства безопасности используете и с какими третьими сторонами сотрудничаете.

Причем не нужно нагружать ваши тексты лишними юридическими и техническими терминами: вы должны понятным языком объяснить пользователям правила игры. Перед публикацией покажите вашу Privacy Policy ребенку: если он поймет, что там написано, значит вы все сделали красиво.

Проделайте то же самое и с Cookie Policy. В этом случае опишите, какие кукисы вы используете для отслеживания действий пользователя, и зачем вам все это нужно. Только честно и открыто!

Истина из «Маленького принца» актуальна и в GDPR. Учитывая, что data driven проекты часто передают информацию третьим сторонам, вы всегда должны быть уверены в компаниях, с которыми сотрудничаете. Не поленитесь и почитайте политики ваших партнеров, чтобы проверить, соблюдает ли ваш партнер правила GDPR.

Помните, что вместе со своими партнерами вы несете коллективную ответственность за нарушения в обработке персональных данных, поэтому знать, что ваши партнеры действуют в соответствии с GDPR, — жизненно необходимо.

Privacy by design — принцип, при котором контроллер данных обязуется встроить систему защиты данных во все бизнес-процессы на этапе их проектирования и обязуется поддерживать такую систему непрерывно в дальнейшем. Нанимаете программиста для написания нового софта для вашего проекта? Попытайтесь предусмотреть, достаточно ли защищенным получится конечный продукт.

Например, ваше мобильное приложение оценивает привычки пользователя, а ИИ предоставляет автоматизированные советы по улучшению здоровья. В таком случае вы обрабатываете чувствительные данные, поэтому вам нужно заранее предотвратить даже теоретическую возможность утерять эти данные.

Privacy be default означает, что пользователю не нужно предпринимать никакие действия для защиты своей конфиденциальности. Это значит, что вам не нужно получать по умолчанию от ваших пользователей больше персональной информации, чем это нужно для осуществления основных задач вашего проекта.

Если коротко, то нет. Теперь вы должны быть готовы предоставить возможность субъектам данных реализовать свои права. Лица, персональные данные которых вы обрабатываете, имеет следующие права:

После того как вы подготовили всю документации и наладили процессы, начинается следующий этап. Теперь вы должны всегда быть готовы продемонстрировать свой GDPR комплаенс органам контроля, руководствуясь принципом подотчетности.

Если ваш data driven проект будет построен в соответствии с правилами и принципами GDPR, никаких штрафов бояться не стоит. Защищайте персональные данные, будьте открытыми и дружелюбными к пользователям. Это действительно важно.