Ваша компания подпадает под действие GDPR независимо от её местоположения, если ваш сайт:

• переведён на языки, используемые в ЕС
• содержит возможность оплатить какие-либо услуги или товары в валюте, используемой в ЕС
• упоминает клиентов или пользователей из ЕС
• рекламируется на территории ЕС

1. Внедрите privacy нотификацию

Это требование вытекает из основного принципа GDPR – честность и прозрачность в обработке персональных данных. Из него следует, что если на вашем сайте пользователи:

• регистрируются, создают пользовательские аккаунты,
• вводят контактную информацию для обратной связи или получения рассылок,
• вводят любую другую персональную информацию,

то вы должны своевременно информировать их о следующем:

• кто будет обрабатывать их персональные данные
• как именно персональные данные будут использоваться, в течение какого срока и в каких целях
• составляются ли профили пользователей
• будут ли персональные данные передаваться третьим лицам
• какими правами обладают пользователи в отношении своих персональных данных
• с кем они могут связаться по вопросам обработки их персональных данных

Самый популярный способ реализации этих требований – публикация на сайте Privacy Policy. Однако этого не всегда достаточно, даже если privacy policy составлена максимально полно и понятно. Ключевое в этом требовании – пользователи должны получить всю необходимую информацию непосредственно в момент сбора персональных данных и максимально удобным для них способом. Если же Privacy Policy публикуется по ссылке в самом низу сайта и пользователь, вводя свои данные, не имеет возможности ознакомиться с самой важной информацией в краткой и понятной для него форме, данное требование не соблюдено.

Вот возможные варианты, как можно реализовать privacy нотификацию:

• информация выводится в виде справочных окошек рядом с полями для ввода персональных данных
• краткая privacy notice выводится на экран при нажатии пользователем кнопки «зарегистрироваться», «отправить» или совершения аналогичного действия
• любой другой способ, который позволяет своевременно проинформировать пользователя

Privacy Policy с более подробным описанием процесса обработки персональных данных также должна быть опубликована на сайте.

Одной только Privacy Policy будет достаточно, если на вашем сайте пользователи самостоятельно не вводят свои данные, но, тем не менее, автоматическая обработка пользовательского поведения происходит.

Помимо Privacy Policy, многие публикуют Cookie Policy и другие документы в отношении определенных видов персональных данных. Делать это необязательно; основное, чем нужно руководствоваться при внедрении privacy нотификации, – простота и доступность для конечных пользователей.

2. Обоснуйте правомерность обработки персональных данных

Это строго обязательно – без легитимного основания вы не имеете права на обработку персональных данных. При работе через сайт, как правило, есть два основания:

1. Исполнение обязательств по договору с пользователем

На сайте таким договором является публичная оферта (Terms of Use или любое другое название), в соответствии с которой пользователям реализуются товары или услуги. Чтобы не запрашивать у пользователя отдельное согласие, вы должны собирать минимальный набор информации, который объективно необходим для того, чтобы исполнить ваши обязательства по договору. Для интернет-магазина таким минимальным набором может быть: фамилия, имя, адрес и платежные реквизиты покупателя.

2. Явно выраженное согласие пользователя на обработку персональных данных в других целях, кроме исполнения договора

Сейчас большинство компаний используют свои сайты не только для непосредственной реализации товаров/услуг, но и в целях маркетинга. Например, анализируют пользовательское поведение и получают контактную информацию для направления рекламных рассылок. Чтобы не нарушать GDPR, для этого нужно получать отдельное согласие.

Важно помнить, что даже если персональные данные, обрабатываемые в целях исполнения договора, совпадают с данными, обрабатываемые в маркетинговых и иных целях, - отдельное согласие пользователя на такую обработку все равно должно быть.

Как можно запрашивать согласие:

• предлагать поставить галочку напротив формы согласия – главное, чтобы эта галочка не была проставлена заранее
• выводить всплывающие окна с запросом на получение такого согласия (такой способ часто используется в отношении обработки cookies)
• запрашивать согласие на отдельной странице, которая должна открываться до момента получения от пользователя его персональных данных

Помимо получения отдельного согласия на обработку персональных данных, важно получить согласие пользователя с Privacy Policy, которое может быть запрошено аналогичными способами.

Важный момент – пользователь должен иметь возможность отозвать свое согласие таким же простым способом, каким оно было получено.

3. Не обрабатывайте лишние персональные данные

Пример – когда пользователя просят заполнить слишком большое количество полей. Если интернет-магазин запрашивает у пользователей, пусть и факультативно, информацию о днях рождения родственников, такой сбор представляется излишним и нарушает требования GDPR.

Однако требования нарушены не будут, если в публичной оферте сайта (Terms of Use или другой документ) будет обоснована действительная необходимость в получении такой информации.

4. Встройте privacy by default

Если пользователи могут создавать на сайте свои аккаунты, в них должны быть по умолчанию настроены максимальные функции приватности. Только сам пользователь, путем своих активных действий, может снизить изначально установленный уровень приватности.

5. Проверьте сторонние сервисы, используемые на сайте

Большинство сайтов используют их для мониторинга пользовательского поведения, обработки платежей, показов контекстной рекламы и др. Все эти сервисы обрабатывают персональные данные ваших пользователей, и именно ваша компания должна  гарантировать соответствие их деятельности требованиям GDPR.

Для того, чтобы убедиться в GDPR-compliance сервисов:

• ознакомьтесь с их Privacy Policy и Terms of Use – если у вас возникнут сомнения, соответствуют ли они требованиям GDPR, обратитесь в их поддержку и проясните все необходимые вопросы
• проверьте настройки аккаунта вашей компании на сервисе: насколько ограничен перечень предоставляемых персональных данных, включена ли IP-анонимизация и в каких целях вы разрешили им обрабатывать информацию

Это основные и наиболее заметные с первого взгляда индикаторы, свидетельствующие о соответствии вашего сайта требованиям GDPR.

Кроме них, важно помнить о фактическом соблюдении требований регламента:

• внедрить принцип privacy by design – приватность должна быть фактически встроена в ПО, используемое на сайте, и в сам сайт
• предоставить пользователям реальную возможность реализовывать свои права по GDPR – в частности, удалять и исправлять свои персональные данные, направлять обращения по ограничению их обработки и другим вопросам
• хранить персональные данные в течение объективно необходимого срока, соответствующего целям их обработки

Читайте также: Юридический язык — это не C++. Как белорусские компании подготовились к GDPR