Гайд: что и как нужно сделать, чтобы веб-сайт соответствовал требованиям GDPR

GDPR как регламент защиты персональных данных: общая информация

1.1. Что такое GDPR и на какие персональные данные он распространяется

General Data Protection Regulation, или GDPR, — это новый европейский регламент защиты персональных данных, который устанавливает принципы их обработки и требования к ней. Он распространяется на любую информацию, которая идентифицирует или может идентифицировать физических лиц в пределах Европейского союза: начиная от имен и фамилий и заканчивая файлами cookies или IP.

GDPR принят в 2016 году и после двухлетнего переходного периода вступил в полную силу в 2018-м. Сегодня GDPR содержит одни из самых строгих в мире требований по охране конфиденциальности физических лиц.

1.2. Какие веб-сайты должны соответствовать требованиям GDPR

Иногда считается, что GDPR распространяется исключительно в пределах Европейского союза. Такие мнения, однако, ошибочны, поскольку регламент применяется во всех случаях, когда обработка за пределами ЕС связана с:
платной или бесплатной поставкой товаров или предоставлением услуг в Европейском союзе;
мониторингом поведения физических лиц в пределах ЕС.Иногда считается, что GDPR распространяется исключительно в пределах Европейского союза. Такие мнения, однако, ошибочны, поскольку регламент применяется во всех случаях, когда обработка за пределами ЕС связана с:
платной или бесплатной поставкой товаров или предоставлением услуг в Европейском союзе;
мониторингом поведения физических лиц в пределах ЕС.

Другими словами, это означает, что GDPR применяется ко всем веб-сайтам за пределами ЕС, которые подпадают под один из предусмотренных случаев.

При этом преамбула 23 GDPR указывает, что для установления намерения поставлять товары или услуги в пределах Европейского союза недостаточно, чтобы веб-сайт или контактная информация просто были доступны в той или иной стране; необходимо установить действительное намерение обрабатывать данные именно резидентов ЕС.

Об этом может свидетельствовать, например, использование общепринятой валюты или языка страны ЕС, на котором можно заказать товары/услуги, или упоминание потребителей или пользователей, находящихся на территории Союза.

В свою очередь, для того чтобы установить, осуществляет ли веб-сайт мониторинг, необходимо выяснить, может ли полученная информация использоваться для анализа и прогнозирования поведения или предпочтений отдельного лица (ремаркетинг является одним из примеров).

1.3. Последствия несоответствия веб-сайтов требованиям GDPR

Каждая страна Европейского союза имеет как минимум один надзорный орган (также известный как DPA, или Data Protection Authority), который может осуществлять исправительные полномочия или налагать административные штрафы за нарушение требований GDPR. Федерации обычно имеют несколько локальных DPA и один федеральный.

Исправительные полномочия надзорных органов разнообразны. Они, например, могут включать вынесение выговоров, установление временных или постоянных ограничений, разработку приказов об исправлении или удалении персональных данных.

Наряду с такими полномочиями или вместо них надзорные органы также могут налагать административные штрафы, следя за тем, чтобы они в каждом конкретном случае были эффективными, соразмерными и учитывали все обстоятельства нарушения.

Штрафы за нарушение требований GDPR могут составлять 4% от общего глобального годового оборота сайта за предыдущий финансовый год, но не более 20 млн евро. Однако в большинстве случаев они, конечно, менее строгие.

Ориентировочный трекер штрафов по GDPR можно найти, например, на сайте https://www.enforcementtracker.com. Он содержит информацию о нарушителе, нормах GDPR, которые не были соблюдены, размере штрафа, стране и т. д.

*Штрафи за порушення вимог GDPR. Джерело скріншоту: https://www.enforcementtracker.com Рік запозичення: 2022*

2. GDPR compliant вебсайт: основные аспекты

Текст GDPR сложен для понимания. С первого взгляда из него может быть трудно выделить законодательные требования, которые необходимо соблюдать при разработке веб-сайта. Однако в целом необходимо уделить основное внимание политике конфиденциальности и использования cookies, cookie-баннерам, особенностям получения согласия на обработку персональных данных и использованию сторонних сервисов и плагинов, а также соблюдению прав физических лиц.

2.1. Политика конфиденциальности (privacy policy)

Политика конфиденциальности является обязательной составляющей любого веб-сайта. Она предоставляет информацию о том, какая персональная информация обрабатывается на ресурсе, какими способами и в какой степени. Не каждая политика конфиденциальности соответствует GDPR, ведь регламент содержит требования как к ее содержанию, так и к форме изложения.

Так, требования к содержанию политики конфиденциальности установлены преимущественно статьями 13–14 GDPR. В соответствии с ними текст политики должен определять:

Личность и контактную информацию контролера данных и, при необходимости, его представителя.

Контролер данных — это физическое или юридическое лицо, которое устанавливает цели и средства обработки персональных данных. В большинстве случаев контролером является владелец веб-сайта.
Представителем является лицо (компания или человек), которое находится на территории Союза и уполномочено представлять компанию, если она зарегистрирована и работает за пределами ЕС.

Контактные данные сотрудника по вопросам защиты данных (при его наличии).

ССотрудник по вопросам защиты данных (Data Protection Officer, или DPO) — это лицо, которое отвечает за консультации, информирование руководства и сотрудников о соблюдении норм GDPR. Оно привлекается ко всем вопросам, касающимся защиты персональных данных. В отдельных случаях по GDPR или закону страны-участницы ЕС назначение DPO является обязательным.’язковим.

Цели обработки персональных данных, а также законодательную базу для обработки.

В случае, если обработка персональных данных осуществляется на основе законного интереса контролера или третьей стороны, — описание такого интереса.

Информацию о третьих лицах, которым передаются персональные данные.

Информацию о передаче персональных данных в третьи страны (за пределы Европейского союза или Европейской экономической зоны).

Срок хранения персональных данных или, если это невозможно, — критерии определения такого срока.

Информацию о праве на запрос. Согласно этому праву физическое лицо может требовать от контролера:

доступ до персональних даних;
их исправление;
удаление;
обмеження обробки персональних даних;
выражение возражения против такой обработки, а также права на мобильность данных;
отзыв согласия на обработку персональных данных;
подання скарги до наглядового органу.

Информацию о том, является ли предоставление персональных данных уставным, договорным требованием или требованием, необходимым для заключения контракта.
Информацию о том, обязан ли субъект данных предоставить персональные сведения и каковы возможные последствия их непредставления.
Информацию о наличии автоматизированных систем принятия решений, в том числе профилирования.

Только при наличии всей вышеуказанной информации политика конфиденциальности будет соответствовать требованиям GDPR.

Кроме того, согласно регламенту, текст политики конфиденциальности должен быть представлен в простой и понятной пользователям форме.

На практике это может означать, например, ее изложение в форме вопросов и ответов или наличие большого количества заголовков с короткими абзацами текста, которые просто и легко читать. Политика конфиденциальности не может излагаться с использованием слишком большого количества сложных терминов или предложений. По возможности она также должна содержать визуализации или схемы.

В частности, одной из GDPR transparency compliant политик конфиденциальности можно назвать политику Audi https://www.audi.com/en/privacy-policy.html. Она подает информацию в форме вопросов и ответов, содержит удобный для ориентации и понимания структурированный текст, а также таблицу с сведениями, с какой целью и на какой правовой основе обрабатываются персональные данные.

*Політика приватності (data protection notice) компанії Audi. Джерело скріншоту:* *https://www.audi.com/en/privacy-policy.html* *Рік запозичення: 2022*

Читайте полезную статью: DMCA: как удалять из интернета контент, который у вас украли

2.2. Cookie баннер и политика использования cookies (cookie banner та cookie policy)

Cookies — Это небольшие текстовые файлы, которые используются для улучшения работы веб-сайта. С их помощью, например, сохраняется содержимое корзины покупок или запоминается выбранный пользователем на сайте язык.

Условно файлы cookies делятся на обязательные и необязательные. Первые необходимы для корректной работы веб-сайта, а вторые используются, например, для анализа пользователей или создания таргетированной рекламы.

Для необязательных файлов cookie веб-сайт должен получать согласие на их использование в соответствии с требованиями GDPR. Такое согласие получается через cookie-баннер, который должен быть представлен пользователю при первом посещении сайта.

Для того чтобы cookie-баннер соответствовал GDPR, он должен предоставлять возможность не только согласиться на использование cookies, но и отказаться от него. Кроме того, cookie-баннер не может содержать заранее проставленные галочки или вообще запрещать доступ к сайту, если пользователь не соглашается на использование файлов cookies (так называемые cookie walls).

Основные требования к cookie-баннерам проще показать на примере.

В частности, не являются GDPR compliant уже упомянутые cookie walls, которые не позволяют переходить по сайту без согласия на использование cookies.

*Приклад cookie wall. Джерело скріншоту: https://complianz.io Рік запозичення: 2022*

В свою очередь, cookie-баннер, соответствующий требованиям GDPR (с сайта https://ico.org.uk), предоставляет право как согласиться с их использованием, так и отказаться, содержит дополнительную информацию для пользователей о том, что такое cookies, а также ссылку на политику их использования.

*Cookie банер. Джерело скріншоту: https://ico.org.uk Рік запозичення: 2022*

Помимо cookie-баннера, веб-сайты также должны содержать политику использования cookies. Она должна раскрывать цели использования cookies, виды применяемых файлов cookies, информацию о данных, которые cookies помогают получать от пользователей, срок их хранения и т. д.

При разработке политики использования cookies также необходимо помнить о ePrivacy Directive, которая, как и GDPR, регулирует перечисленные вопросы, и учитывать национальное законодательство (например, о телекоммуникациях и/или рекламе).

2.3. Отримання згоди на обробку персональних даних. Форми на вебсайтах

Как правило, веб-сайты, помимо получения согласия на использование cookies, также могут требовать согласие на обработку персональных данных пользователей. Например, при регистрации.

К такому согласию GDPR устанавливает ряд требований. В частности, оно должно быть свободно предоставлено, конкретным, информированным, однозначным и осуществленным путем четких утвердительных действий. На практике это означает, что пользователи сайта должны понимать при регистрации, какие их данные будут обрабатываться, и, например, поставить галочку, соглашаясь на их обработку.

При этом форма для получения согласия на обработку персональных данных (и, в принципе, любые другие формы на веб-сайте) не может содержать заранее проставленные галочки или другие выражения согласия. Пользователи должны получить возможность самостоятельно выбирать, соглашаться ли им на обработку персональной информации.

Например, ниже представлены две формы (с сайта https://www.iubenda.com), одна из которых соответствует требованиям GDPR, а другая — нет. Так, в правой форме автоматически проставлено согласие пользователя на получение еженедельных новостей на почту, и это не соответствует нормам регламента.

*Приклад форм на веб-сайтах. Джерело скріншоту: https://www.iubenda.com Рік запозичення: 2022*

2.4. Использование сторонних сервисов и плагинов. Google Analytics

Веб-сайты также могут использовать сторонние сервисы и плагины, которые обрабатывают персональные данные пользователей. Поэтому необходимо убедиться, что эти сервисы также соответствуют требованиям GDPR, или, в противном случае, заменить их.

Отдельное внимание стоит уделить Google Analytics как системе анализа поведения пользователей веб-сайтов. В большинстве стран Европейского союза Google Analytics не запрещен к использованию, однако некоторые национальные надзорные органы уже определили, что это приложение может не соответствовать требованиям GDPR.

Так, в июне 2022 года итальянский надзорный орган вынес решение, согласно которому услуги Google Analytics не соответствуют положениям регламента, поскольку не предоставляют надлежащих гарантий защиты данных, в том числе в отношении процесса их передачи в третьи страны (в частности, США).

Аналогичные решения также недавно приняли надзорные органы Франции и Австрии.

2.5. Выполнение запросов субъектов данных

Согласно GDPR, все субъекты данных (в том числе пользователи веб-сайтов) имеют права. К ним относятся права на:

информацию и доступ к персональным данным;
исправление персональной информации;
стирание персональных данных, то есть «право быть забытым»;
ограничение обработки личной информации;
мобильность данных;
заперечення;
избежание автоматизированной индивидуальной обработки и принятия решений, в том числе профилирования;
подача жалобы в надзорный орган или в суд.

Для реализации своих прав субъекты направляют запрос лицу, которое обрабатывает их персональные данные (в данном случае – владельцу веб-сайта).

Получив запрос, владелец веб-сайта в большинстве случаев обязан его выполнить. В частности, бесплатно предоставить копию данных о личности, исправить ошибки в информации или полностью удалить данные пользователя.

GDPR не детализирует, как именно должны быть обеспечены условия реализации прав субъектов, однако указывает, что могут существовать механизмы предоставления таких запросов. На практике это означает, что сайты могут как содержать отдельные специальные формы, так и просто указывать контактную информацию лица, осуществляющего обработку запросов в отношении прав пользователей (например, контакты DPO).

3. Защита данных по назначению и по умолчанию (privacy by design / default)

При создании сайтов необходимо еще учитывать такие концепции GDPR, как защита данных по назначению и по умолчанию.
В свою очередь, в соответствии с концепцией privacy by default, по умолчанию должны обрабатываться только персональные данные, необходимые для каждой специальной цели. Другими словами, это означает, что по умолчанию используется минимально необходимое количество информации, и при этом пользователю не нужно совершать какие-либо дополнительные действия для защиты своей приватности.

4. Итоги

GDPR устанавливает довольно много требований к веб-сайтам, начиная с создания политики конфиденциальности и заканчивая внедрением концепций защиты данных по назначению и по умолчанию. Такие требования может быть сложно понять и должным образом внедрить без помощи профессионального юриста.
Вместе с тем разработка GDPR compliant вебсайта необходима не только для избежания штрафов, но и потому, что конфиденциальность и защита персональных данных стали одними из самых ярких тенденций последних лет.
Все больше людей беспокоятся о том, как сайты получают и обрабатывают их личную информацию. Чем прозрачнее политика компании в обработке персональных данных и выше требования к их защите, тем больше доверие пользователей.

Отримати практичні навички написання SEO-статей можна на куПолучить практические навыки написания SEO-статей можно на курсе «Креативный SEO-копирайтинг»: