Что такое GDPR

GDPR (General Data Protection Regulation) — Общий регламент по защите данных — относительно новый закон Европейского союза по защите персональной информации в интернете. Вступил в силу в мае 2018 года и обязал компании, среди прочего, получать согласие пользователей на использование cookie-файлов и знакомить их с политикой конфиденциальности.

Цель регламента — повысить уровень информационной безопасности жителей ЕС.

Все 99 статей о безопасности персональных данных можно найти в самом регламенте GDPR. Документ содержит много аспектов, включая международные юридические и технические тонкости.

Мы рассмотрим GDPR с точки зрения маркетинга и работы с персональными данными, потому что эта тема является краеугольным камнем для любой компании.

Какие персональные данные защищает GDPR

Компаниям придётся соблюдать требования GDPR, если они:

  • предлагают товары и услуги через веб-ресурсы, то есть имеют свой сайт, онлайн-сервис или мобильное приложение с регистрацией на языке хотя бы одной из стран Европы.

Соцсетью ВКонтакте пользуются в Германии, Испании и Италии, поэтому ВК соблюдает регламент GDPR. Есть отдельная страница о защите данных

  • пользуются Гугл Аналитикой, Яндекс Метрикой, cookie-файлами и мониторингом IP-адресов и другими технологиями онлайн-трекинга для того, чтобы идентифицировать пользователей и анализировать их поведение, например:

Крупнейшая мировая компания по разработке игр Playrix честно информирует пользователей о каждом пункте использования их персональных данных

  • используют инструменты интернет-рекламы для продвижения своих продуктов или проектов. Например, чтобы отправлять рассылку с рекламным предложением, необходимо добавить в письмо галочку «отписаться» и сведения о целях использования данных.

Конструктор сайтов Тильда работает для европейцев и тоже соблюдает GDPR. В каждом письме компания объясняет, почему клиент получает рассылку

Компании должны соблюдать нормы GDPR, в том числе:

  • получать согласие на обработку персональных данных;
  • соблюдать право на доступ, изменение и удаление устаревших данных и не хранить данные без законных оснований;
  • нести обязательства по защите данных;
  • уведомлять о нарушениях в течение 72 часов после инцидента.

GDPR действуют на компании из абсолютно разных индустрий.

Дело в том, что GDPR обязательно нужно соблюдать тем, кто ведёт бизнес онлайн и собирает любую информацию о пользователях. Это связано с трансграничностью цифровых данных. Например, если вы владелец онлайн-магазина вин в Грузии, и у вас покупают только жители Грузии, никто не сможет дать вам гарантию, что в один прекрасный момент какой-нибудь европеец не захочет посмотреть каталог товаров и зарегистрироваться на вашем сайте, оставив свои имя и адрес.

Таким образом, для соблюдения правил GDPR требуется внедрять технические решения на сайте или в мобильном приложении для подтверждения согласия пользователей на обработку данных. Возможно, даже назначить специалиста по защите данных. В первую очередь это касается бизнеса, где утечка данных несёт серьезные риски — например, для банков, международных финансовых или медицинских компаний.

Сбербанк создал отдельный сайт Sberbank Privacy, чтобы соответствовать правилам GDPR

Важно! Если человек собирает контактную информацию о своих знакомых для личного использования, его деятельность не относится к GDPR.

В остальных случаях игнорирование GDPR может привести к серьёзным штрафам от двух до четырёх процентов глобальной выручки компании.

Основные цели GDPR

Конечно, главная цель GDPR заключается в защите интересов жителей Евросоюза, а не в процессе сбора штрафов с бизнеса. В целом, GDPR устанавливает адекватные требования. И цели законодательства весьма благородные.

Цели GDPR:

  1. Защитить права граждан Европейского союза.
  2. Автоматизировать обработку персональных данных в целях безопасности и сохранения конфиденциальности пользователей.
  3. Установить единые международные стандарты и средства для обработки персональных данных в ЕС.
  4. Наладить сотрудничество между органами надзора в вопросах защиты и контроля персональных данных.
  5. Стимулировать рост цифровой экономики.

Также отметим, что GDPR позволяет защищать права не только граждан ЕС, но и любых пользователей, которые находятся на территории Евросоюза в момент взаимодействия с компанией.

Участники обработки данных по GDPR

В статье 4 GDPR прописано, что в обработке данных участвуют:

  1. Контролёр, ответственный за обработку данных, — это компания, которая определяет способы и цели обработки данных.

Например, компания использует облачный сервис для хранения и анализа своих данных. Компания является контролёром, а поставщик облачных услуг — её оператором.

  1. Оператор (ещё одно определение — процессор), — это компания, которая обрабатывает персональные данные от имени и по поручению контролёра.

К примеру, читатели ежемесячного научного журнала получают печатные экземпляры на дом по подписке. Подпиской и рассылкой занимается отдельная компания по запросу издателя. Компания является оператором или процессором для издателя журнала.

  1. Субъекты данных — это физические лица, то есть люди, чьи персональные данные обрабатываются.

Дети также являются субъектами данных и имеют право на защиту, это прописано в статье 8 регламента GDPR. Стоит учитывать интересы и основные права ребёнка: для детей старше 13 лет, а в некоторых странах ЕС старше 16 лет, оповещения о соблюдении конфиденциальности должны соответствовать способностям к восприятию информации, чтобы им было проще понять суть пользовательского соглашения. За детей младше 13 лет согласие дают родители или те, кто их заменяет.

И последнее, что нужно добавить — ответственность за соблюдение GDPR лежит на контролёре, который обязан защищать персональные данные субъектов. Процессор также должен соблюдать все правила GDPR, так как он обрабатывает данные на основе действий контролёра.

Принципы обработки данных

В 5-ой статье GDPR предусмотрено 7 принципов, которые мы перевели с юридического на человеческий язык:

Регламент GDPR даёт пользователям, то есть субъектам данных, достаточно широкий набор прав. В частности 15, 16, 17, 18, 19, 20, 21, 22 статьи GDPR гарантируют:

Требования GDPR

Согласно регламенту GDPR требования по работе с персональными данными включают в себя:

  1. Согласие на обработку данных должно быть ясным и понятным для всех сторон.
  2. Обработка должна быть легальной, справедливой и прозрачной.
  3. Собранные данные должны быть ограничены конкретными и законными целями.
  4. Собранные данные должны быть точными, актуальными и своевременными.
  5. Время хранения данных должно быть ограничено.
  6. Данные могут быть переданы только в страны, где гарантируется их безопасность и конфиденциальность.
  7. Лица, чьи данные обрабатываются, имеют право на доступ, поправку и удаление личных данных.

Внедрение GDPR лучше всего начать с анализа данных пользователей, которые собирает компания. Для этого нужно:

  1. Определить четкие цели сбора персональных данных, и не использовать эти данные в других целях. Например, адрес электронной почты пользователей компания использует только для рассылки своих рекламных материалов, и никак иначе.
  2. Не собирать данные, которые не нужны для выполнения поставленных целей сбора данных. Очевидно, что для рассылки рекламных писем запрашивать данные о поле, возрасте и вероисповедании не обязательно.

Следует разместить ссылку на политику конфиденциальности на всех страницах вашего сайта, например, в футере, или под каждой формой на сайте, в форме заказа в интернет-магазине, и рядом с кнопкой «Подписаться».

У Марквиз есть клиенты по всему миру, поэтому мы тоже соблюдаем регламент GDPR

Кто обязан соблюдать GDPR

Соблюдать GDPR обязаны все компании и организации, которые могут заинтересовать граждан Евросоюза (ЕС):

  • продают товары или услуги в ЕС;
  • собирают информацию от посетителей своих веб-сайтов, среди которых могут быть жители Евросоюза;
  • нанимают сотрудников из ЕС.

Почему на компании из России тоже распространяются требования GDPR? Просто потому что интернет не имеет границ, и российскими сайтами, соцсетями и сервисами могут пользоваться люди из Евросоюза. Например, если ваш онлайн-сервис используют россияне, которые находятся на территории ЕС, их друзья-европейцы, значит они являются субъектами данных, и всю персональную информацию нужно хранить и защищать так, как требует европейский закон. И не важно, что офис компании находится далеко за пределами Евросоюза.

Какие российские компании обязаны соблюдать GDPR:

  • интернет-компании,
  • банки,
  • туристические компании,
  • транспортные компании,
  • компании игровой индустрии,
  • платёжные системы,
  • онлайн-сервисы (соцсети, интернет-магазины).

Для соблюдения GDPR нужна политика конфиденциальности, в которой будет прописано:

  1. Кто собирает и обрабатывает персональные данные.
  2. Какие именно персональные данные собирает компания и как их будет обрабатывать.
  3. Для каких целей нужны данные.
  4. Как долго компания будет хранить персональные данные.
  5. Кому компания может доверить передачу персональных данных.
  6. Контакты для связи и отправки запроса на получение данных в соответствии с интересами пользователя.

Штрафы за несоблюдение правил GDPR

Штрафы за нарушение GDPR могут быть значительными, в зависимости от нарушения и размера организации. Пока самый маленький штраф составил 4000 евро. Максимальный размер штрафа может составлять до 20 миллионов евро или от 2 до 4% глобального годового оборота организации. При назначении штрафа учитывается общий доход компании.

Органы по защите персональных данных могут принимать иные меры с учётом тяжести наружений:

  • приостановка обработки данных;
  • лишение лицензий;
  • компенсация ущерба пострадавшим субъектам.

Штрафам посвящена целая глава 8 регламента GDPR, статьи с 77 по 84. Штрафы больше стимулируют соблюдать GDPR и защищать права и свободы граждан Европы в отношении любых персональных данных.

Несколько крупных компаний уже получили штрафы за нарушения GDPR.

Вот некоторые из них:

😨 Marriott International — в июле 2018 года сеть отелей была оштрафована британскими властями на 24 млн долларов США за инцидент с утечкой данных клиентов.

😨 Google — в январе 2019 года французские власти оштрафовали компанию на 53 млн долларов США за использования персональных данных в рекламных целях без согласия пользователей.

😨 British Airways — в июле 2019 года компания получила штраф 230 млн долларов США за утечку персональных данных более 500 000 клиентов.

Отметим, что риск нарушения регламента GDPR не всегда возникает по вине самой компании. Могут случаться технические сбои и атаки хакеров. Тогда нарушения считаются непреднамеренными. По этой причине меры наказания могут быть более мягкими.

Безопасно ли использовать квизы

Квизы собирают персональные данные. Более того, мы постоянно работаем над тем, чтобы узнать максимум полезной информации от клиента.

Подпадает ли квиз под действие GDPR? Отвечаем честно — конечно, да.

Но мы знаем, как собирать данные законно. Рассказываем подробнее, как это сделать 🤗

1. Определите правила обработки персональных данных в соответствии с GDPR.

2. Оформите с Марквиз соглашение Data processing agreement. Для этого напишите нам в поддержку, нажмите на ладошку 👋 в правом нижнем углу экрана на сайте или в панели Марквиз.

3. Включите в квизе уведомление, что используете сookie.

4. Выполняйте требования GDPR: предупреждайте контролирующие органы об утечках и угрозах, отвечайте на запросы пользователей.

В GDPR нет готовых шаблонов политики конфиденциальности. Поэтому вам нужно самостоятельно определить:

  • какие персональные данные вы будете собирать в квизе;
  • как вы будете использовать эти данные.
💡 У нас есть статья на эту тему с контактами компетентных юристов

Из ближайших изменений в политике конфиденциальности ждём замену устаревших cookie на новые и классные в Google Analytics. Посмотрим, как руботают улучшенные варианты сбора информации о пользователях в Google Analytics 4.

Заключение: чек-лист информационной безопасности

Чтобы внедрить стандарты GDPR в свой бизнес, нужно:

  1. Объяснить пользователю законность и прозрачность обработки его персональных данных в пользовательском соглашении и политике конфиденциальности.
  2. Внедрить пользовательское соглашение или политику конфиденциальности в качестве основного документа GDPR и разработать правила работы с персональными данными для сотрудников.
  3. Указать в пользовательском соглашении полный и достоверный список данных, которые вы хотите собирать.
  4. Соблюдать принцип минимизации — собирать только ту информацию, которая поможет предлагать клиенту товары и услуги по его интересам и защитит от возможных информационных угроз.
  5. Создать условия для получения разрешения от пользователей. Для этого разместить соглашение на главной странице сайта, мобильного приложения или квиза и предложить его «подписать».
  6. Строго придерживаться ограничений по хранению данных и удалять их из базы в установленные сроки.
  7. Лучше всего назначить ответственного сотрудника по GDPR и составления отчётов об обработке всего объёма данных.
  8. Придерживаться принципа безопасности, целостности и конфиденциальности. Хранить информацию бережно и делать всё, чтобы данные не стали добычей мошенников.
  9. Предоставлять данные по первому требованию пользователя.

GDPR не мешает получать данные от клиентов, а только лишь следит за тем, чтобы они использовались по согласию пользователя.

Поэтому спокойно используйте квизы для опросов, мы всё по ним продумали.

❤️

Курс-знакомство с квизами

Узнайте, как создать свой первый квиз, зачем вам использовать квизы и как создавался Марквиз
до знакомства
Получаете низкую конверсию и используете сложные инструменты в маркетинге
Не знаете, как забота влияет на бизнес-показатели
после знакомства
Нашли способ применить квиз в своём деле
Знаете, как делать квизы с высокой конверсией и освоили новый инструмент

Блог

Кейсы, дайджесты и отборные рекомендации

Упс! Что-то пошло не так при отправке формы.