GDPR Compliance
В условиях глобализации вопросам защиты личных данных пользователей различных онлайн-платформ, приложений и игр придается повышенное значение как государственными структурами, так и самими пользователями. Нарушение порядка обработки персональных данных может повлечь за собой серьезные штрафы, запрет или блокировку деятельности компании в юрисдикции, законодательство которой было нарушено.
С вступлением в силу 25 мая 2018 года Общего регламента по защите данных (General Data Protection Regulation, GDPR) в Европейском Союзе требования к обработке персональных данных значительно ужесточились. GDPR заменил устаревшие нормы, закрепил уже существующие положения и ввел новые, повышенные стандарты для обработчиков данных. Правила применяются повсеместно, что подразумевает их обязательность для международных компаний, онлайн-платформ и сервисов, которые занимаются обработкой персональных данных пользователей из ЕС.
Санкции за несоблюдение GDPR включают штрафы до 20 млн евро или 4 % от годового оборота компании. На практике применяются значительные штрафные санкции: в 2019 году Google оштрафовали на 50 млн. евро за недостаточное информирование пользователей об обработке их данных. В последующем крупные штрафы были применены к таким компаниям, как Amazon, Facebook, TikTok и другим за нарушение правил прозрачности, получения согласий и обработки личных данных.
Возможные нарушения
Практика показывает, что наиболее частыми нарушениями являются:
- Отсутствие прозрачности в обработке данных и информирования пользователей;
- Неправильный процесс получения согласия на обработку персональных данных;
- Несоблюдение прав субъектов данных (право на удаление, перенос данных, доступ и исправление);
- Ненадлежащая защита данных и утечки информации.
Соблюдение законодательства в области защиты персональных данных требует глубокой проработки механизмов взаимодействия с данными. Если ваша компания работает с данными пользователей из Европейского Союза или предлагает там свои услуги, важно внедрить меры, чтобы соответствовать требованиям GDPR.
Процесс приведения бизнеса в соответствие GDPR
-
Первым этапом приведения бизнеса в соответствие с GDPR является аудитВо время комплексной проверки специалисты анализируют:
- Категории собираемых персональных данных;
- Методы защиты информации;
- Механизмы работы с персональными данными и передачу третьим лицам.
Если компания ранее соблюдала законодательство о защите данных, действовавшее до GDPR, это значительно упрощает процесс адаптации к новым требованиям. -
Приведение в соответствие требованиям GDPRПосле проведения аудита ведущие юристы разрабатывают индивидуальный план по приведению бизнеса в соответствие с GDPR. Он включает:
- Объяснение команде требования по проекту;
- Настройку бизнес-процессов с учетом прав пользователей и ключевых положений GDPR;
- Внедрение процедур документирования обработки данных. -
Тренинг команды по GDPRПосле того, как все правила внедрены, необходимо обучить персонал как с этими новыми правилами работать.
Прочие аспекты
Документальное закрепление правил обработки данных
Одним из ключевых элементов соответствия требованиям GDPR является наличие юридически корректных документов:
- Политика конфиденциальности (Privacy Policy);
- Политика использования файлов cookie (Cookie Policy);
- Условия использования (Terms of Use).
Получение согласия на обработку персональных данных
Согласие на обработку персональных данных должно соответствовать ряду требований GDPR:
- Быть свободно выраженным, конкретным, информированным и недвусмысленным;
- Запрашиваться отдельно для каждой цели обработки данных;
- Документально подтверждаться.
Практика показывает, что компании часто допускают ошибки в процессе получения согласия, используя предварительно отмеченные чекбоксы или размытые формулировки, что может привести к штрафам.
Внедрение cookie-баннера
Для корректного уведомления пользователей о сборе данных посредством cookie-файлов необходимо внедрение понятного и доступного cookie-баннера. Ошибочное мнение, что небольшого уведомления в углу экрана достаточно, уже приводило к штрафам и судебным разбирательствам. Ключевое требование – дать пользователям реальный выбор и возможность управлять своими данными.
Назначение специалиста по защите персональных данных (DPO)
В некоторых случаях GDPR требует наличия инспектора по защите данных (Data Protection Officer, DPO), особенно если обработка данных носит систематический характер или связана с большими объемами персональных данных. Наличие DPO позволяет своевременно реагировать на изменения законодательства и снижать риски нарушений.
Доступ к персональным данным несовершеннолетних
Для обработки данных лиц младше 16 лет требуется согласие их родителей или законных представителей. Однако на практике компании сталкиваются с проблемами подтверждения родительского согласия. Решение – разработка юридически корректных процедур и технологий верификации согласия.
Соответствие местным требованиям
Помимо GDPR, в разных странах действуют собственные законы о защите данных (например, CCPA в США, LGPD в Бразилии, ПДЗ в России и Китае). Важно учитывать национальные особенности регулирования, а также обеспечивать прозрачность процессов обработки данных.
Соблюдение требований законодательства не только защищает бизнес от штрафов и санкций, но и формирует доверие пользователей, повышая конкурентоспособность компании на рынке.