Правила GDPR: чек-лист для самопроверки

25 мая 2020 года вступили в силу новые правила Общего регламента обработки персональных данных на территории Европы (GDPR).

Это документ, который регулирует и унифицирует правила защиты данных и действует во всех 28 странах Европы. Более того, следовать нормам GDPR должны также компании, зарегистрированные в других государствах, но ведущие свою деятельность на рынках ЕС.

Новый Регламент Европейского Союза (GDPR), который напрямую регулирует отношения между компаниями и их клиентами по обработке персональных данных физических лиц, вступает в силу 25 мая 2018 года. Регламент — нормативный акт Европейского союза. Однако он применяется не только к компаниям, зарегистрированным на территории ЕС, но и к иным юридическим лицам, которые:

1. Предлагают услуги или товары лицам, находящимся на территории ЕС
   Например, предоставляют доступ к своим играм европейским гражданам, переводят их на один из языков ЕС.
2. Проводят мониторинг активности лиц, находящихся на территории ЕС
   Например, собирают и используют онлайн-идентификаторы посетителей сайта — европейских граждан (IP-адрес, информация об устройстве и так далее).

Важно отметить: даже если компания не имеет каких-либо корпоративных структур в Европе, она всё равно может попасть под действие GDPR, предлагая свою продукцию лицам, находящимся в Европейском Союзе. Причем это очень широкое требование. Например, если кто-либо из пользователей игр отправляется в отпуск в одно из государств ЕС, на компанию автоматически распространяются требования новых правил.

За несоблюдение требований GDPR с компании может быть взыскан штраф: 4% от годового оборота или 20 миллионов евро в зависимости от того, какая сумма будет больше. Для того, чтобы понять, распространяются ли требования GDPR на конкретную компанию, которая обрабатывает персональные данные физических лиц, надо ответить на несколько вопросов:

• Есть ли у вас филиал, представительство, дочерняя компания на территории ЕС?
• Предлагаете ли вы товары, услуги, работы лицам, находящимся на территории ЕС (в том числе в цифровом виде)?
• Проводите ли вы мониторинг активности лиц, находящихся на территории ЕС?

Требования GDPR распространяются на вашу компанию, если вы ответили «да» на любой из указанных вопросов. Чтобы избежать штрафа, компания должна провести ряд мероприятий для соблюдения требований GDPR. Мы подготовили для вас краткий чек-лист и предлагаем вам проверить, всё ли вы успели сделать, чтобы подготовиться к вступлению GDPR в силу.

Что надо сделать, чтобы не бояться новых правил GDPR?

1. Провести проверку процессов обработки персональных данных в компании. Необходимо выяснить ответы на следующие вопросы:
   
   • Какие категории данных вы собираете?
   • Каким образом вы получаете данные пользователей (пользователи сами предоставляют, либо вы самостоятельно собираете)?
   • Зачем вы собираете их?
   • Каким лицам и для каких целей вы передаёте собранные данные?
   • Как долго вы их храните; в каких случаях вы их удаляете со своих серверов?
   • Передаёте ли вы персональные данные в третьи страны?
2. Обновить «Политику конфиденциальности». В неё необходимо внести следующую информацию:
   
   • Наименование и контактные данные (адрес, e-mail) юридического лица, которое решает, зачем и каким образом обрабатываются данные.
   • Контактные данные инспектора по защите данных (если вам необходимо его назначить).
   • Категории обрабатываемых данных.
   • Цели их обработки.
   • Наименования или категории получателей персональных данных. Их получателями являются все компании, которым вы их передаёте, либо которые получают доступ к данным через ваш сервисы (игры). К ним относятся сервис-провайдеры (облачные вычисления, хостинг), рекламные сервисы (в том числе интеграции в приложения).
   • Период, в течение которого данные пользователей обрабатываются вами. Либо можно указать критерии, на основании которых вы определяете, когда информацию нужно удалить. Например, когда пользователь удалил аккаунт
     
     Чтобы минимизировать риски претензий со стороны надзорных органов, лучше такого инспектора назначить. Сама процедура назначения инспектора не должна быть затруднительна для компании, поскольку инспектор может быть её штатным сотрудником.
3. Внести изменения в текст согласия на обработку персональных данных. Если компания обрабатывает их без согласия, необходимо его разработать. Текст должен быть:
   
   • Явным и прямым: пользователь должен выразить свою желание на обработку.
   • Информативным. У пользователя должна быть возможность узнать, какие данные обрабатываются, кем и для каких целей.
   • Полученным путём активных действий. Распространенная формулировка «Если вы продолжаете пользоваться сервисами, то даёте свое согласие на обработку персональных данных» не является согласием пользователя и не даёт компании право обрабатывать его данные. Необходимо, чтобы пользователь дал согласие своими активными действиями, например, поставил галочку.
   • Свободным. У пользователя должна быть возможность использовать сервисы без предоставления согласия, если для оказания услуг не требуются данные пользователя. Либо если запрашиваемых персональных данных больше, чем необходимо для предоставления услуг.
     
     Указанные выше меры необходимо было принять до вступления GDPR в силу. Если вы их не приняли, то нужно как можно скорее этим заняться.
4. Провести проверку процессов обработки персональных данных в компании. Необходимо выяснить ответы на следующие вопросы.
5. Организовать учёт деятельности по обработке персональных данных. Он предполагает запись различной информации о процессах их обработки.
6. Провести оценку воздействия на защиту данных. Это необходимо, когда проводится систематический мониторинг активности пользователей, составляются профили, обрабатывается большой объём персональных данных, проводится обширная оценка особенностей пользователей.
7. Предусмотреть основания для передачи персональных данных в третьи страны. Их передача за пределы ЕС без наличия определённых условий запрещена. Данные могут быть переданы в те страны, которые признаны Европейской Комиссией «адекватной» юрисдикцией. На данный момент Россия не признана «адекватной» юрисдикцией.

Если страна, в которую передаются данные, не относится к адекватной юрисдикции, можно передать информацию на основе согласия пользователя на передачу. Такое согласие у пользователя нужно предварительно запросить.

Указанные выше меры можно принимать уже сейчас. Чем раньше вы это сделаете, тем меньше риск штрафа.