Вот уже пару месяцев четыре страшные буквы GDPR настойчиво преследуют всех, кто связан с интернет-проектами. Если вы умудрились остаться в блаженном неведении, то GDPR расшифровывается как General Data Protection Regulation, Генеральный регламент о защите персональных данных. Это уже вступивший в силу нормативный акт Европейского союза, который (внезапно) может коснуться всех, кто имеет дело с клиентами из ЕС (в том числе с европейцами – посетителями сайта).
Злостным нарушителям GDPR грозит штрафом до 20 миллионов евро (а гигантским корпорациям – даже еще большим).
Внушительные цифры здорово подогрели интерес к теме, закон обсуждают на каждом углу. Разнообразные сервисы завалили почту уведомлениями о своей невероятной честности и полном соответствии GDPR. Появилась масса статей и докладов. Увы, яснее от них не становится – либо там пересказывают Википедию, либо уходят далеко от интернет-бизнеса, В общем, как всегда, нужно вылавливать информацию из разных мест по крупицам и разбираться самому.
Я решил написать такой материал, который мне самому хотелось бы прочитать, чтобы понять, что нужно и не нужно делать для обеспечения легальности сайтов, ориентированных в том числе на аудиторию из Европы. Важно: это именно формат заметок для себя. Никак не могу ручаться за правильность своего понимания, я SEO-специалист, а не законник. Буду рад комментариям и уточнениям! На этом с введением заканчиваю, поехали.
Где брать достоверную информацию про GDPR, если вы не юрист?
Я определил для себя следующие:
- Первоисточник – текст самого нормативного акта.
- Веб-сервисы, которые сильно затронуты GDPR – разнообразные онлайн-платформы, работающие с данными пользователей (смотрим как делают компании, у которых на зарплате армии юристов и мотаем на ус).
- Авторитетные блоги.
- Выступления экспертов.
Официальный текст GDPR
Примечательный факт: даже вполне серьезные издания, рассказывая о GDPR, ссылаются не на официальный ресурс Европейской Комиссии, а на сайты с копиями текста постановления. Например, один из самых популярных это gdpr-info.eu, который принадлежит компании, продающей консалтинг по теме GDPR. Не то чтобы я подозреваю их или кого-то еще в искажении текста, просто всегда стараюсь работать с первоисточником (и вам советую). Так вот, настоящий первоисточник это https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679 (обратите внимание, принадлежит домену evropa.eu, сайту ЕС).
Еще один первоисточник – это изложение норм GDPR более “человеческим” языком на https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en.
Полезные статьи от сервисов и платформ
Полезные статьи – в первую очередь не те, где автор пытается сорвать чуток трафика на громком хайпе, а те, где автор подстилает соломки, чтобы не нарваться на штраф. Вторая мотивация гораздо эффективнее заставляет копать тему и давать практические рекомендации для своих пользователей.
Вот хорошие примеры:
- Статьи в блоге сервиса рассылок Mailerlite, которым я пользуюсь для создания рассылки с блога: начало, продолжение, окончание.
- Обзорный материал и рекомендации по политике конфиденциальности от конструктора сайтов Wix.
- Статья от Яндекс.Метрики.
Другие статьи и выступления
Выжимка: что делать владельцу сайта в связи с GDPR
Во-первых, успокоиться
Самое важное – если вы небольшая компания или частный вебмастер, не нужно беспокоиться, что попадете в долговое рабство до десятого колена из-за выплаты штрафа в 20 миллионов евро. Цитата с europa.eu:
The authority must ensure that fines imposed in each individual case are effective, proportionate and dissuasive. It will take into account a number of factors such as the nature, gravity and duration of the infringement, its intentional or negligent character, any action taken to mitigate the damage suffered by individuals, the degree of cooperation of the organisation, etc.
Мой вольный перевод: Органы власти должны обеспечить эффективные, пропорциональные и сдерживающие штрафы в каждом конкретном случае. Должно учитываться большое число факторов, таких как характер, серьезность и продолжительность нарушения, его преднамеренный или случайный характер, наличие действий, предпринятых для смягчения ущерба, наносимого физическими лицамии так далее.
Вот более внятная цитата от Jacques Mattheij
Ну, GDPR действительно имеет потенциал эскалации до такого уровня, но в духе добродушных европейских правоприменителей из различных агентств сначала предупредить, что вы не соблюдаете закон, дать некоторый период времени на устранение недостатков, а если вы игнорируете их — оштрафовать. Этот штраф будет пропорционален преступлению. Конечно, вы можете проигнорировать штраф, и тогда последствия непредсказуемы, но если вы его заплатили и устранили недостатки, можете считать вопрос закрытым. Типичная практика ЕС в случае повторных нарушений по одному и тому же вопросу — увеличение штрафа. Он быстро может увеличиться, так что большинство компаний, как правило, оперативно исправляют проблему, как только их оштрафовали в первый раз. Я уверен, что всё будет происходить именно так, потому что так всё работало до сих пор. Каждое взаимодействие с агентствами по защите данных происходит по одинаковой схеме: предупреждение, штраф, увеличение штрафа. Неизвестно ни одного случая — я хотел бы удивиться, но не могу найти ни одного — когда на компанию накладывают огромный штраф, не предоставив возможность приведения бизнеса в соответствие с законом.
Кроме того, в случае типичного интернет-проекта (сайт с возможностью регистрации, куда пользователи самостоятельно заносят свои персональные данные), значительная часть требований изначально выполняется. Цитата из вебинара Алекся Парфентьева:
Обычно, для того чтобы обезопасить эту схему, все шаги у заказчиков уже предприняты. Я сейчас уже не встречал порталов, у которых нету какой-то авторизации, разграничения доступа, проверки введенных данных и так далее. В принудительном порядке используется шифрование, аудит, разграничение доступа уже в самих хранилищах данных.
Это не значит, что можно вообще забыть о GDPR до первого предупреждения. В этом случае у компетентных органов будет основание полагать, что нарушение преднамеренное (что увеличивает его тяжесть, см. выше).
Во-вторых, убедиться, что его проект соответствует конкретным требованиям
Право быть забытым. Пользователь имеет право обратиться к вам с требованием удалить свои персональные данные. Этот запрос нельзя игнорировать. Данные должны быть удалены. Таким образом: нужно обеспечить возможность пользователя подать такой запрос, и техническую возможность для удаления данных.
Ряд платформ и сервисов уже ввели такую опцию. Например, WordPress напоминает о ней прямо в админке:
По запросу данные должны быть удалены не только с вашего сайта, но и с других сайтов, если сбор осуществлялся от вашего имени. Типичный пример – сервисы рассылок. Так, Mailerlite, который я упоминал выше, тоже отрапортовался о наличии нужной функции:
Получение согласия на обработку данных. Тут все довольно очевидно. Чтобы записать любые данные пользователя к себе в базу, нужно получить его согласие в явной форме. Это может быть галочка в форме, нажатие кнопки “Согласен” и так далее. Согласие должно быть явным и активным: если галочка стоит по умолчанию, это слабо поможет. Для разных целей нужно получать отдельное согласие (нельзя подписать на рассылку со статьями а потом шарашить рекламными акциями).
Нюанс: вам нужно не только получать согласие пользователей, но и озаботиться наличием доказательств, что согласие было дано (на всякий случай!).
Еще раз процитирую Mailerlite, они подошли к делу основательно:
When you use MailerLite signup forms to acquire subscribers, we capture IP address, location, date, time, and the source of the consent form. This information will solidify your documentation of where, when and at what time your subscribers consented.
Когда вы используете формы MailerLite для получения согласия пользователей, мы сохраняем IP-адрес, дату, время и конкретную форму (источник получения согласия). Эта информация упрочит ваше описание (доказательство) получения согласия.
Политика конфиденциальности. Wix пишет:
Политика конфиденциальности – это заявление, в котором раскрываются некоторые или все способы, при помощи которых сайт собирает, использует и управляет данными своих посетителей и клиентов. Политика выполняет юридические требования по защите конфиденциальности посетителя или клиента.
Политика должна включать:
- типы собираемых данных;
- цели сбора и обработки;
- описание процесса сбора данных;
- описание процесса хранения, использования, передачи данных третьим лицам;
- описание, как личные данные используются для связи с пользователями;
- описание инструментов для отслеживания (файлы cookies, аналитические инструменты вроде Метрики и Google Analytics);
- способы отозвать согласие;
- уведомление о возможных изменениях политики;
- контактные данные для вопросов.
Соответствие других операторов персональных данных GDPR.
Важно, чтобы не только ваши действия (например, работа с БД пользователей сайта) соответствовали законам о конфиденциальности. Любой сайт обвешан кучей виджетов, счетчиков, пикселей рекламных сетей. Стоит позаботиться о том, чтобы все партнеры соответствовали требованиям закона. Большинство серьезных платформ поспешили что-то докрутить у себя, так что больших проблем тут не должно быть, разве что вы работаете с мелкими сервисами. Однако тут могут потребоваться действия со стороны пользователя этих платформ. Например, Adsense предлагает как один из вариантов вообще не показывать персонализированную рекламу посетителям из ЕС. В Analytics по умолчанию начали удаляться старые данные (обратите внимание, если они вам нужны!).
Документация. Имеет смысл не только выполнить все требования, но и издать у себя в компании внутренний документ, который описывает все принятые меры. Проставить дату и спрятать в папочку.
Что еще нужно учитывать, кроме GDPR
Принятие GDPR побудило меня интенсивнее покопать тему легальности сайтов в зарубежном Интернете. Нашел еще ряд требований к интернет-проектам. Вероятно, часть из них актуальна только для отдельных стран.
Закон о cookies
Вы наверняка встречали раздражающие окошки с уведомлением о cookies? Само собой, их никто бы не стал ставить, если бы это не было необходимо. У владельца сайта нет обязанности получать у посетителя согласие на использование кук, но должна быть упомянута возможность по удалению или блокировке cookies, вы должны дать четкую инструкцию. Требование также распространяется на пользователей из ЕС.
Для реализации окошка с уведомлением есть масса готовых решений, в том числе плагинов WP. Вот еще одно (есть бесплатная версия).
Информация о компании
Сайт должен содержать название компании, регистрационный номер, адрес. По-видимому, желательно указать все это на каждой странице (например, в подвале).
Доступность для людей с ограниченными возможностями
Должны выполняться минимальные требования к доступности контента по стандарту W3C (см. тут: https://www.w3.org/WAI/standards-guidelines/wcag/). См. также https://en.wikipedia.org/wiki/Web_accessibility. Многие из требований достаточно просты и вписываются в обычный хороший тон разработки (best practice). С удивлением узнал, что многие требования к дизайну сайтов, которые я описывал пару лет назад, опираясь чисто на свои представления о добре и зле, оказывается закреплены законодательно!
Соответствие правилам об электронной торговле
В основном требуется указать контактную информацию, данные о доставке, четкую цену для каждого товара. Подробнее тут (кстати, весь сайт довольно интересный).
Требования к сайту и серверу в плане приема платежей
Если принимаете платежи картами – они должны быть надежно защищены от мошенников (а вы думали всякие платежные гейты для вас так навязчиво рассказывают от том, какие они мега-защищенные? неа, для контролирующих органов). Детали тут: https://www.pcisecuritystandards.org/
Борьба со спамом
Собирая e-mail для рассылки:
- нужно четкое согласие пользователя на ее получение;
- возможность отписки в любой момент.
(Собственно, GDPR во многом дублирует эти требования, так как email – это тоже персональные данные).
В заключение
Еще раз напоминаю, что я не юрист и эта статья ни капли не претендует на полноту и достоверность. Если есть чем уточнить материал – пожалуйста, пишите в комментариях. Буду постепенно обновлять пост, собирая тут новую информацию и конкретные кейсы применения законов.
p.s. См. также похожий чек-лист для Рунета.
p.p.s. Репосты приветствуются! Чем больше людей это прочитает, тем выше шанс, что тут появятся толковые комментарии и полезные идеи.
Будем делать)) что еще остается
А кто-то разобрался с Адсенсом на «бурж»-сайтах. Правда, что персонализированную рекламу нельзя показывать до согласия пользователя на это. Или достаточно указать во всплывашке предупреждение про куки и ссылку на страницу где все описано и можно удалить данные о себе из гугла?
Спасибо что тратишь свое время на такие сложные докапывания:)
🙂