Войти Регистрация

Serpstat использует файлы cookie для обеспечения работоспособности сервиса, улучшения навигации, предоставления возможности связаться с командой поддержки, а также маркетинговых активностей Serpstat.

Нажав кнопку "Принять и продолжить", вы соглашаетесь с Политикой конфиденциальности

Сообщить об ошибке

Отменить
337
Маркетинг Читать 10 минут 18 августа 2020

GDPR для data driven проектов: гайды и подводные камни

GDPR для data driven проектов: гайды и подводные камни
Игорь Котков
Игорь Котков
ІТ-юрист в
Legal IT Group
Гигиена бизнеса и защита личных данных пользователей — одна из важнейших задач бизнеса. Особенно важно знать, как GDPR регулирует data driven проекты, которые опираются в своей работе на обработку персональных данных. Что же такого написано в этом GDPR, как себя обезопасить, а на что обратить особое внимание? Читайте в нашей статье.
В мае 2018 года Европейский союз поднялся на новый уровень обработки персональных данных, приняв GDPR (Общий регламент по защите данных). Этот акт по итогу стал совсем недекларативным, так как штрафы за несоблюдение Регламента составляют до 20 миллионов евро или 4% от годового дохода компании.

За этот период органы ЕС более 3 тысяч раз выписывали компаниям штрафы, а рекордным стал 200-миллионный штраф, врученный British Airways. Причиной стали недостаточные меры безопасности, повлекшие утечку личных данных и кредитных карточек более полумиллиона пользователей. Поэтому не стоит пренебрегать GDPR: это важная штука для любого бизнеса, который является ориентированным на европейский рынок.

GDPR — что это?
Как вы уже поняли, GDPR — это совсем не шутки, поэтому всем, кто работает с персональными данными в Европе, необходимо начать с основных понятий этого акта. Вам нужно разобраться с дефинициями, которые объясняют, что такое персональные данные, и кто их обрабатывает.

Персональные данные — это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу. (Простыми словами, это вся информация, с помощью которой вас можно идентифицировать: от имени и фамилии до IP-адреса и интернет-браузера, которым вы пользуетесь).

Контролер — это любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. (Грубо говоря, человек или компания, которая решает, кто и как будет обрабатывать ваши персональные данные)

Процессор — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролера. (Это уже тот самый человек или компания, которая хранит ваши данные и прилагает усилия, чтобы уберечь их от утери, уничтожения или раскрытия).

GDPR содержит еще десятки важных определений, которые определяют принципы ведения бизнеса в дата-проектах в Европе, но знание перечисленных выше терминов — маст-хэв.

Почему GDPR важен для компаний-нерезидентов ЕС?
GDPR — передовой акт о защите персональных данных, так как в нем прописан принцип экстерриториальности. Это значит, что в определенных случаях GDPR действует и за пределами ЕС: регламент применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

Допустим, у вас есть мобильная игра, оценивающая поведение игроков и определяющая тренды, из-за которых пользователи уделяют игры. Вы пользуетесь этим, стимулируете игроков в нужном направлении, зарабатываете деньги, но находитесь далеко за пределами ЕС. В большинстве случаев вам не нужен GDPR. Однако если ваши товары или услуги могут быть оплачены в виде местных валют стран ЕС, а описание товаров/услуг адаптировано на языки стран ЕС, это значит, что вы продаете товары/услуги гражданам и резидентам ЕС.

Ну а если ваш сайт имеет европейский домен (например, uk., nl., be., de.), это еще один яркий показатель, что вы работаете на европейском рынке. В таком случае ваш бизнес должен соответствовать положениям GDPR.
Карты, деньги и крипта: все, что вы хотели знать о доменных зонах

Как понять, нужно ли мне обращать внимание на GDPR?
Возьмем другой пример. Ваш старт-ап — большой e-commerce проект, который, исходя из предыдущих покупок, предоставляет рекомендации своим клиентам, попутно, определив, что у конкретного клиента на 99% арахнофобия.

В таком случае ваша компания наверняка обрабатывает персональные данные. Для того чтобы понять, имеете ли вы какое-либо отношение к GDPR, вам следует обратиться к специалисту, который сможет провести GPDR Аудит. Желательно, чтобы это делал квалифицированный юрист.

GDPR Аудит поможет выяснить, обрабатываете ли вы персональные данные граждан и резидентов ЕС. Если вы получили положительный ответ, то такой аудит поможет ответить на вопросы, какие именно данные вы обрабатываете, каким образом, откуда вы берете эти данные, кто и как хранит данные, имеете ли вы дело с чувствительными персональными данными и другие вопросы.

GDPR Аудит поможет понять общую картину обработки персональных данных и заложит фундамент для дальнейших действий по достижению комплаенса с GDPR.

Окей, мы обрабатываем персональные данные в рамках GDPR, что делать дальше?
После проведения Аудита вам необходимо создать GDPR Road-map. Для этого вам следует составить ряд документов. Например, Gap Assessment поможет понять, что конкретно вашей компании нужно изменить для достижения комплаенса, а в Preparation Project Plan необходимо перечислить конкретные действия для реализации этой цели.

После этого начинайте приводить в порядок внутреннюю документацию. Для этого вам нужно принять Политику информационной безопасности и Handbook for Employee. Эти документы довольно объемны, но именно они закрепляют подходы к защите персональных данных, которые вы собираете.

Но это только базовые документы: желательно принять дополнительные политики, регулирующие правила поведения ваших работников, имеющих доступ к персональным данным. Вам могут пригодиться Bring Your Own Device Policy и Clear Desk and Clear Screen Policy.

Как нужно создавать политики для пользователей?
С внутренними документами разобрались, теперь переходим к самому важному — коммуникация с пользователями. GDPR приветствует честность и открытость в политиках компаний. А за попытки сокрытия процессов обработки данных органы ЕС, как вы уже поняли, беспощадно штрафуют и наказывают нарушителей.

Data driven проекты склонны обрабатывать большие потоки информации. Например, у вас есть большой маркетплейс, обрабатывающий данные студентов и преподавателей. Не поленитесь описать в вашем главном документе Privacy Policy то, какие данные вы собираете, с какой целью (отдельно для каждого типа данных), что вы делаете с ними дальше, какие средства безопасности используете и с какими третьими сторонами сотрудничаете.

Причем не нужно нагружать ваши тексты лишними юридическими и техническими терминами: вы должны понятным языком объяснить пользователям правила игры. Перед публикацией покажите вашу Privacy Policy ребенку: если он поймет, что там написано, значит вы все сделали красиво.

Проделайте то же самое и с Cookie Policy. В этом случае опишите, какие кукисы вы используете для отслеживания действий пользователя, и зачем вам все это нужно. Только честно и открыто!

Мы в ответе за тех, кого приручили
Истина из «Маленького принца» актуальна и в GDPR. Учитывая, что data driven проекты часто передают информацию третьим сторонам, вы всегда должны быть уверены в компаниях, с которыми сотрудничаете. Не поленитесь и почитайте политики ваших партнеров, чтобы проверить, соблюдает ли ваш партнер правила GDPR.

Помните, что вместе со своими партнерами вы несете коллективную ответственность за нарушения в обработке персональных данных, поэтому знать, что ваши партнеры действуют в соответствии с GDPR, — жизненно необходимо.

Я привел всю документацию в соответствии с GDPR, все круги ада закончились?
Privacy by design — принцип, при котором контроллер данных обязуется встроить систему защиты данных во все бизнес-процессы на этапе их проектирования и обязуется поддерживать такую систему непрерывно в дальнейшем. Нанимаете программиста для написания нового софта для вашего проекта? Попытайтесь предусмотреть, достаточно ли защищенным получится конечный продукт.

Например, ваше мобильное приложение оценивает привычки пользователя, а ИИ предоставляет автоматизированные советы по улучшению здоровья. В таком случае вы обрабатываете чувствительные данные, поэтому вам нужно заранее предотвратить даже теоретическую возможность утерять эти данные.

Privacy be default означает, что пользователю не нужно предпринимать никакие действия для защиты своей конфиденциальности. Это значит, что вам не нужно получать по умолчанию от ваших пользователей больше персональной информации, чем это нужно для осуществления основных задач вашего проекта.

Я привел всю документацию в соответствии с GDPR, все круги ада закончились?
Если коротко, то нет. Теперь вы должны быть готовы предоставить возможность субъектам данных реализовать свои права. Лица, персональные данные которых вы обрабатываете, имеет следующие права:
право быть информированным об обработке данных;
право доступа к данным;
право на исправление данных;
право на удаление данных;
право на ограничение обработки данных;
право на переносимость;
право на возражение;
другие права, связанные автоматическим принятием решений и профилированием.
После того как вы подготовили всю документации и наладили процессы, начинается следующий этап. Теперь вы должны всегда быть готовы продемонстрировать свой GDPR комплаенс органам контроля, руководствуясь принципом подотчетности.

Если ваш data driven проект будет построен в соответствии с правилами и принципами GDPR, никаких штрафов бояться не стоит. Защищайте персональные данные, будьте открытыми и дружелюбными к пользователям. Это действительно важно.
Чтобы быть в курсе всех новостей блога Serpstat, подписывайтесь рассылку. А также вступайте в чат любителей Серпстатить и подписывайтесь на наш канал в Telegram.

Сэкономьте время на изучении Serpstat

Хотите получить персональную демонстрацию сервиса, тестовый период или эффективные кейсы использования Serpstat?

Оставьте заявку и мы свяжемся с вами ;)

Оцените статью по 5-бальной шкале

3.67 из 5 на основе 3 оценок
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.

Поделитесь статьей с вашими друзьями

Войти Регистрация

Вы исчерпали лимит запросов.

Или email
Забыли пароль?
Или email
Optional
Back To Login

Не волнуйтесь! Напишите свой электронный адрес и мы пришлем вам новый пароль.

Вы уверены?

Awesome!

To complete your registration you need to enter your phone number

Назад

Мы отправили код подтверждения на ваш номер телефона

Your phone Resend code Осталось запросов

Что-то пошло не так.

Свяжитесь с нашей службой поддержки
Или подтвердите регистрацию с помощью Телеграм бота Перейдите по этой ссылке
Выберите один из проектов

Знакомство с сервисом

Ознакомьтесь с основными возможностями Serpstat удобным способом!

Отправьте заявку для ознакомления с сервисом и мы свяжемся с вами в кратчайшие сроки. Наш специалист предложит подходящий вариант, который может включать персональную демонстрацию, пробный период, материалы для обучения и повышения экспертизы, личную консультацию, а также комфортные условия для начала работы с Serpstat.

Имя

Email

Телефон

Будем рады вашему комментарию
Увеличить лимиты

Улучшить тариф

Экспорт недоступен для вашего тарифного плана. Вам необходимо улучшить свой тариф до Lite или выше, чтобы получить доступ к инструменту Подробнее

Зарегистрироваться

Спасибо, мы с вами свяжемся в ближайшее время

Пригласить
Просмотр Редактирование

E-mail
Сообщение
необязательно
E-mail
Сообщение
необязательно

У вас закончились лимиты

Вы достигли лимита на количество созданных проектов и больше не можете создавать новые проекты. Увеличьте лимиты или удалите существующие проекты.

Я хочу больше лимитов