Як зробити вебсайт GDPR compliant?

GDPR як регламент захисту персональних даних: загальна інформація

1.1. Що таке GDPR та на які персональні дані він поширюється

General Data Protection Regulation, або GDPR, — це новий європейський регламент захисту персональних даних, який встановлює принципи їх обробки та вимоги до неї. Він поширюється на будь-яку інформацію, яка ідентифікує або може ідентифікувати фізичних осіб у межах Європейського союзу: починаючи від імен та прізвищ й закінчуючи файлами cookies або IP.

GDPR прийнятий у 2016 році і після дворічного перехідного періоду вступив у повну силу в 2018-му. Сьогодні GDPR містить одні з найсуворіших у світі вимог щодо охорони приватності фізичних осіб.

1.2. Які вебсайти мають відповідати вимогам GDPR

Інколи вважається, що GDPR поширюється виключно у межах Європейського союзу. Такі думки, однак, є хибними, оскільки регламент застосовується у всіх випадках, коли опрацювання за межами ЄС пов’язане з:
платним або безоплатним постачанням товарів чи наданням послуг у Європейському союзі;
моніторингом поведінки фізичних осіб у межах ЄС.

Іншими словами, це означає, що GDPR застосовується до всіх вебсайтів за межами ЄС, які підпадають під один з передбачених випадків.

При цьому преамбула 23 GDPR вказує, що для встановлення наміру постачання товарів чи послуг у межах Європейського союзу недостатньо, щоб вебсайт або контактна інформація просто були доступними у тій чи іншій країні; необхідно встановити дійсний намір обробляти дані саме резидентів ЄС.

Про нього може свідчити, наприклад, вживання загальноприйнятої валюти чи мови країни ЄС, якою можна замовити товари/послуги, або згадування споживачів чи користувачів, котрі перебувають на території Союзу.

Своєю чергою для того, щоб встановити, чи здійснює вебсайт моніторинг, необхідно з’ясувати, чи може використовуватися отримана інформація для аналізу та передбачення поведінки або уподобань окремої особи (ремаркетинг є одним із прикладів).

1.3. Наслідки невідповідності вебсайтів вимогам GDPR

Кожна країна Європейського союзу має щонайменше один наглядовий орган (також відомий як DPA, або Data Protection Authority), який може здійснювати виправні повноваження або накладати адміністративні штрафи за порушення вимог GDPR. Федерації зазвичай мають кілька локальних DPA та один федеральний.

Виправні повноваження наглядових органів різноманітні. Вони, наприклад, можуть охоплювати винесення доган, встановлення тимчасових чи постійних обмежень, розробку наказів щодо виправлення або стирання персональних даних.

Разом з такими повноваженнями або замість них наглядові органи також можуть накладати адміністративні штрафи, стежачи, щоб вони у кожному конкретному випадку були дієвими, пропорційними та враховували усі обставини порушення.

Штрафи за порушення вимог GDPR можуть становити 4% загального глобального річного обігу сайту за попередній фінансовий рік, але не більше 20 млн євро. Однак здебільшого вони, звичайно, є менш суворими.

Орієнтовний трекер штрафів за GDPR можна знайти, наприклад, на сайті https://www.enforcementtracker.com. Він містить інформацію щодо порушника, норм GDPR, які не були дотримані, розміру штрафу, країни тощо.

2. GDPR compliant вебсайт: основні аспекти

Текст GDPR є складним для розуміння. З першого погляду з нього може бути важко виділити законодавчі вимоги, яких необхідно дотримуватися при розробці вебсайту. Однак у цілому необхідно приділити основну увагу політиці приватності та використання cookies, cookie банерам, особливостям отримання згоди на обробку персональних даних й використання сторонніх сервісів і плагінів, а також дотриманню прав фізичних осіб.

2.1. Політика приватності (privacy policy)

Політика приватності є обов’язковою складовою будь-якого вебсайту. Надає інформацію про те, яка персональна інформація обробляється на ресурсі, якими способами та у якій мірі. Не кожна політика приватності відповідає GDPR, адже регламент містить вимоги як до її змісту, так і до форми викладення.

Так, вимоги до змісту політики приватності встановлені переважно статтями 13–14 GDPR. Відповідно до них текст політики повинен визначати:

• Особу та контактну інформацію контролера даних і, за необхідності, його представника.

Контролер даних — це та фізична або юридична особа, яка встановлює цілі та засоби опрацювання персональних даних. У більшості випадків контролером є власник вебсайту.
Представником є особа (компанія чи людина), яка знаходиться на території Союзу й уповноважена представляти компанію, якщо вона зареєстрована і працює за межами ЄС.

• Контактні дані співробітника з питань захисту даних (у разі його наявності).

Співробітник із питань захисту даних (Data Protection Officer, або DPO) — це особа, яка відповідає за консультації, інформування керівництва та співробітників щодо дотримання норм GDPR. Вона залучається до всіх питань, що стосуються захисту персональних даних. У окремих випадках за GDPR або законом країни-учасниці ЄС призначення DPO є обов’язковим.

• Цілі опрацювання персональних даних, а також законодавчу базу для опрацювання.

• У разі, якщо опрацювання персональних даних здійснюється на основі законного інтересу контролера або третьої сторони, — опис такого інтересу.

• Інформацію про третіх сторін, яким передаються персональні дані.

• Інформацію про передачу персональних даних у треті країни (за межі Європейського союзу чи Європейської економічної зони).

• Період зберігання персональних даних або, якщо це неможливо, — критерії визначення такого періоду.

• Інформацію про право на запит. Згідно з цим правом фізична особа може вимагати від контролера:

1. доступ до персональних даних;
2. їх виправлення;
3. видалення;
4. обмеження обробки персональних даних;
5. висловлення заперечення проти такої обробки, а також права на мобільність даних;
6. відкликання згоди щодо обробки персональних даних;
7. подання скарги до наглядового органу.

• Інформацію, чи є надання персональних даних статутною, договірною вимогою або вимогою, необхідною для укладення контракту.
• Інформацію про те, чи зобов’язаний суб’єкт даних надати персональні відомості та які можливі наслідки їх ненадання.
• Інформацію щодо наявності автоматизованих систем прийняття рішень, у тому числі профайлінгу.

Лише за наявності усієї вищевказаної інформації політика приватності буде відповідати вимогам GDPR.

Окрім того, за регламентом текст політики приватності повинен бути поданий у простій та зрозумілій користувачам формі.

На практиці це може означати, наприклад, її викладення у формі питань і відповідей або наявність великої кількості заголовків з короткими абзацами тексту, які просто та легко читати. Політика приватності не може викладатись у занадто великій кількості складних термінів або речень. За можливістю вона також повинна містити візуалізації або схеми.

Зокрема, однією із GDPR transparency compliant політик приватності можна назвати політику Audi https://www.audi.com/en/privacy-policy.html. Вона подає інформацію у формі питань і відповідей, містить зручний для орієнтації та розуміння структурований текст, а також таблицю з відомостями, з якою метою та на якій правовій основі опрацьовуються персональні дані.

Читайте корисну статтю: DMCA: як видаляти з інтернету контент, який у вас вкрали

2.2. Cookie банер та політика використання cookies (cookie banner та cookie policy)

Cookies — це невеликі текстові файли, які використовуються для покращення роботи вебсайту. З їх допомогою, наприклад, зберігається зміст кошику покупок або запам’ятовується обрана користувачем на сайті мова.

Умовно файли cookies поділяються на обов’язкові та необов’язкові. Перші потрібні для коректної роботи вебсайту, а другі використовуються, наприклад, для аналізу користувачів або створення таргетованої реклами.

Для необов’язкових файлів cookie вебсайт має отримувати згоду на їх використання відповідно до вимог GDPR. Така згода одержується через cookie банер, що має бути представлений користувачеві під час першого відвідування сайту.

Для того, щоб cookie банер відповідав GDPR, він повинний надавати можливість не тільки погодитись на використання cookies, але й відмовитися від нього. Окрім того, cookie банер не може містити наперед проставлені галочки або взагалі забороняти доступ до сайту, якщо користувач не погоджується на використання файлів cookies (так звані cookie walls).

Основні вимоги до cookie банерів простіше показати на прикладі.

Зокрема, не є GDPR compliant вже зазначені cookie walls, які не дозволяють переходити сайт без згоди на використання cookies.

Своєю чергою cookie банер, що відповідає вимогам GDPR (з сайту https://ico.org.uk), надає право як погодитися із їх використанням, так і відмовитися, містить додаткову інформацію для користувачів про те, що таке cookies, а також посилання на політику їх використання.

Окрім cookie банера вебсайти також повинні містити політику використання cookies. Вона має розкривати цілі використання cookies, види файлів cookies, що застосовуються, інформацію про дані, які cookies допомагають отримувати від користувачів, термін їх зберігання тощо.

При розробці політики використання cookies також необхідно пам’ятати про ePrivacy Directive, що, як і GDPR, регулює перелічені питання, та враховувати національне законодавство (наприклад, про телекомунікації та/або рекламу).

2.3. Отримання згоди на обробку персональних даних. Форми на вебсайтах

Як правило, вебсайти, окрім отримання згоди на використання cookies, також можуть вимагати згоду на обробку персональних даних користувачів. Наприклад, під час реєстрації.

До такої згоди GDPR встановлює ряд вимог. Зокрема, вона має бути вільно наданою, конкретною, проінформованою, однозначною та здійсненою шляхом чітких ствердних дій. На практиці це означає, що користувачі сайту повинні розуміти під час реєстрації, які їхні дані будуть опрацьовуватися, і, наприклад, натиснути галочку, погоджуючись на їх обробку.

При цьому форма для отримання згоди на обробку персональних даних (і, в принципі, будь-які інші форми на вебсайті) не може містити заздалегідь проставлені галочки або інші вирази згоди. Користувачі повинні отримати можливість самостійно обирати, погоджуватися чи ні на опрацювання персональної інформації.

Наприклад, знизу представлені дві форми (з сайту https://www.iubenda.com), одна з яких відповідає вимогам GDPR, а інша — ні. Так, у правій формі автоматично проставлена згода користувача на отримання щотижневих новин на пошту, й це не відповідає нормам регламенту.

2.4. Використання сторонніх сервісів та плагінів. Google Analytics

Вебсайти також можуть використовувати сторонні сервіси й плагіни, які обробляють персональні дані користувачів. Через це необхідно впевнитися, що ці сервіси так само відповідають вимогам GDPR, або, в іншому випадку, — замінити їх.

Окрему увагу варто приділити Google Analytics як системі аналізу поведінки користувачів вебсайтів. У більшості країн Європейського союзу Google Analytics не заборонений до використання, однак деякі національні наглядові органи вже визначили, що цей застосунок може не відповідати вимогам GDPR.

Так, у червні 2022 року італійський наглядовий орган видав рішення, відповідно до якого служби Google Analytics не відповідають положенням регламенту, оскільки не надають належні гарантії захисту даних, у тому числі щодо процесу їх передачі до третіх країн (зокрема США).

Аналогічні рішення також нещодавно прийняли наглядові органи Франції та Австрії.

2.5. Виконання запитів суб’єктів даних

За GDPR, усі суб’єкти даних (у тому числі користувачі вебсайтів) мають права. До них належать права на:

• інформацію та доступ до персональних даних;
• виправлення персональної інформації;
• стирання персональних даних, тобто «право бути забутим»;
• обмеження опрацювання особистої інформації;
• мобільність даних;
• заперечення;
• уникнення автоматизованої індивідуальної обробки й ухвалення рішень, у тому числі профайлінгу;
• подання скарги до наглядового органу або до суду.

Для реалізації своїх прав суб’єкти здійснюють запит до особи, котра обробляє їхні персональні дані (у цьому випадку – до власника вебсайту).

Отримавши запит, власник вебсайту у більшості випадків зобов’язаний його виконати. Зокрема, безплатно надати копію даних про особу, виправити помилки у інформації або повністю видалити дані користувача.

GDPR не деталізує, як саме мають бути забезпечені умови реалізації прав суб’єктів, однак вказує, що можуть існувати механізми надання таких запитів. На практиці це означає, що сайти можуть як містити окремі спеціальні форми, так і просто зазначати контактну інформацію особи, котра здійснює обробку запитів стосовно прав користувачів (наприклад, контакти DPO).

3. Захист даних за призначенням та за замовчуванням (privacy by design / default)

При створенні сайтів необхідно ще враховувати такі концепції GDPR, як захист даних за призначенням та замовчуванням.
Своєю чергою, відповідно до концепції privacy by default, за замовчуванням мають опрацьовуватися лише персональні дані, необхідні для кожної спеціальної цілі. Іншими словами це означає, що за замовчуванням використовується мінімально необхідна кількість інформації, і при цьому користувачеві не потрібно здійснювати будь-які додаткові дії для захисту своєї приватності.

4. Висновки

GDPR встановлює доволі багато вимог до вебсайтів, починаючи зі створення політики приватності й закінчуючи впровадженням концепцій захисту даних за призначенням і замовчуванням. Такі вимоги може бути складно зрозуміти та належним чином впровадити без допомоги професійного юриста.
Разом із тим розробка GDPR compliant вебсайту необхідна не тільки для уникнення штрафів, а ще тому, що приватність та захист персональних даних стали одними із найяскравіших тенденцій останніх років.
Усе більше людей переймаються тим, як сайти отримують та обробляють їхню особисту інформацію. Що прозорішою є політика компанії в обробці персональних даних і вищими — вимоги до їх захисту, то більшою є довіра користувачів.

Отримати практичні навички написання SEO-статей можна на курсі «Креативний SEO-копірайтинг»: