Как соблюдать требования GDPR при обработке персональных данных на интернет-сайте (Полезный чек-лист)

Как соблюдать требования GDPRпри обработке персональных данных на интернет-сайте (Полезный чек-лист)

25 мая 2018 года Евросоюзом принят Общий регламент по защите данных (GDPR). На протяжении уже 6 лет компании, выходя на европейский рынок, сталкиваются с необходимостью адаптировать свои бизнес-процессы под действующие там стандарты приватности.

Наш юрист Алексей Филатов в этой статье рассмотрит предъявляемые требования к интернет-сайтам, на которых обрабатываются персональные данные пользователей из ЕС, хотя принципы GDPR распространяются на весь бизнес. За подробными разъяснениями регламента вы можете обратиться к нам – в юридическую компанию i-Legal.

1.ПОДГОТОВИТЬ PRIVACY POLICY

Компании важно разработать PrivacyPolicy (Политику приватности), чтобы пользователи понимали, как вы обрабатываете их персональные данные. Ниже приведен перечень вопросов, на которые ваша Privacy Policy должна дать однозначные и понятные ответы:

Почему это важно: если перечисленные вопросы не находят отражение в Политике приватности, то компания может быть оштрафована по ст.83 GDPR. Например, в мае 2023 года хорватскому агентству по взысканию долгов B2 Kapital doo назначен штраф в размере 2 265 000 евро, в том числе за нарушение этих требований к тексту Privacy Policy.

Кроме этого сам текст Политики приватности должен быть:

понятным (intelligible). Слова и фразы, которые используются в тексте, должны восприниматься среднестатистическим пользователем сайта недвусмысленно. Например, если деятельность компании направлена на узкоспециализированную аудиторию (IT-специалисты, юристы и т.д.), то вы можете задействовать принятые в конкретной сфере профессионализмы. Если сайт предназначен детям, то Политика приватности должна быть понятна даже им;
структурированным, в том числе с использованием многослойного подхода (layered approach). Дизайн Privacy Policy нужно сделать простым, при этом разбить на смысловые разделы (слои). Из текста Политики приватности пользователь должен получить четкое представление об обработке его персональных данных;
кратким и прозрачным (concise and transparent). Политика приватности должна содержать точные и четкие сведения, чтобы избежать информационной усталости (information fatigue) у пользователя.

Почему это важно: в 2022 году Национальной комиссией по защите персональных данных Люксембурга местной компании назначен штраф в размере 2500 евро за несоблюдение принципа прозрачности обработки персональных данных, в том числе в формулировках текста Privacy Policy. Годом ранее WhatsApp был оштрафован на 225 000 000 евро за ряд нарушений, включая неисполнение требований принципа прозрачности. Однако отделить это нарушение от остальных затруднительно, а значит и показательным размер такого штрафа быть не может.

2.БРАТЬ ЗАКОННЫЕ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

При заполнении форм сбора персональных данных пользователи должны давать согласие на их обработку.

Правильно оформленное согласие должно быть:

четким и конкретным (не содержать открытых формулировок, например: «and etc.»);
информационно полным и недвусмысленным (вы должны раскрыть полную картину процесса обработки персональных данных пользователей, опираясь на цель их сбора и использования. Например, укажите перечень конкретных третьих лиц, которым передаются эти данные. Обойтись просто списком категорий лиц, которым может направляться информация, нельзя);
утвердительным актом, который пользователь дает свободно и без принуждения (если говорить проще, то молчание, заранее отмеченные «галочки» в чек-боксе или бездействие не означают согласие).

Не стоит забывать, что согласие – это не единственное основание для обработки персональных данных. Вы вправе их обрабатывать тогда, когда у вас есть:

договор, в котором субъект данных (в нашем случае пользователь) является стороной (например, TermofUse или EULA);
требование закона (например, требования европейского законодательства в части KYC);
ваш законный интерес, при этом он не нарушает прав пользователя или иных третьих лиц (например, использование веб-инструментов для защиты от DDOS-атак).

Существуют еще 2 основания для обработки персональных данных, менее актуальных для сайтов, но немаловажных в офлайн-бизнесе:

защита жизненных интересов пользователя и иных третьих лиц;
выполнение вами функции, возложенной государством.

Если с самого начала работы над Политикой приватности верно определить правовое основание на обработку персональных данных, то в дальнейшем не нужно будет тратить ресурсы на подготовку большого количества вариантов форм согласий.

3.ПОДГОТОВИТЬ COOKIE-БАННЕР И СOOKIE POLICY

В одной из наших статей (вот тут) мы уже разъясняли, что такое cookie-файлы. Повторяться не будем. Лучше рассмотрим конкретные требования GDPR к ним.

Для соответствия европейскому закону на вашем сайте обязаны быть следующие документы, раскрывающие порядок обработки cookie-файлов:

Cookie-баннер;
Cookie Policy.

Cookie-баннер – это всплывающее окно (уведомление), которое отображается при первом посещении пользователем веб-сайта и информирует о cookie-файлах и трекерах, используемых интернет-русурсом. Баннер необходим для получения согласия пользователя на сохранение его cookie-файлов при посещении сайта.

Если кратко описать общие требования GDPR к cookie-баннеру, то они сводятся к следующему:

_{*Выделяются следующие виды cookie-файлов, исходя из целей использования:}

_1._{Строго необходимые}_{(Strictly necessary cookies) – cookie-файлы, обязательные для корректной работы сайта. Например, когда вы добавляете товары в корзину интернет-магазина, такие cookie-файлы сохраняют их на какое-то время. Они не требуют получения согласия посетителя, но важны для безопасности и удобства использования сайта.}
_2._{Функциональные}_{(Preferences cookies) – cookie-файлы, которые помогают сайту запоминать прошлый выбор пользователя. Например, если была выбрана определенная языковая версия сайта или указан регион для просмотра прогноза погоды, функциональные cookie-файлы сохранят эти предпочтения. Также они могут запомнить данные авторизации пользователя для автоматического входа при следующем посещении.}
_3._{Статистические}_{(Statistics cookies) – cookie-файлы, собирающие информацию о том, как посетители используют сайт. Например, они могут фиксировать страницы, которые посещает пользователь чаще всего, и ссылки, на которые он кликает.}
_4._{Маркетинговые (}_{Marketing cookies}₎_{– cookie-файлы, которые отслеживают онлайн-активность пользователей для подбора рекламных материалов по выявленным интересам. Например, если вы видите рекламу товара после просмотра его на другом сайте, это может быть результат действия маркетинговых файлов cookie.}

_{Эти виды cookie-файлов должны быть отражены для выбора в cookie-баннере.}

CookiePolicy – по сути специализированный аналог Privacy Policy, в котором отражается следующая информация:

какие cookie-файлы собираются на сайте (конкретное название cookie-файла, его вид, функционал, срок обработки);
какие цели сбора и использования cookie-файлов;
кто из третьих лиц имеет доступ к cookie-файлам, собираемым через сайт (Google, Yandex, Tilda и т.д.), с указанием ссылок на их Privacy Policy.

Текст CookiePolicy должен быть доступен на всех языках, на которых предоставляются услуги через сайт (если предоставляются).

Почему это важно: ответственность за нарушение требований GDPR к CookiePolicy и баннеру достаточно существенная, хотя зависит от объема доходов компании и количества пользователей, чьи права нарушаются.

Так, Национальная комиссия по информатике и свободам Франции (CNIL) оштрафовала Amazon France Core на 35 миллионов евро, а Google LLC и Google Ireland Limited — на 100 миллионов евро из-за того, что компании обрабатывали cookie-файлы пользователей без их предварительного согласия в рекламных целях.

Управление по защите данных Испании (AEPD) оштрафовало Twitter на 30 000 евро за несоблюдение государственного закона в этой сфере. Баннер на сайте Twitter не давал пользователю никаких указаний, как отказаться от обработки cookie-файлов, или какой-либо информации, как управлять настройками cookie-файлов.

Если говорить не о техно-гигантах, то можно отметить дело авиакомпании Vueling Airlines LS, которая была оштрафована AEPD на 30 тыс. евро за незаконное использование cookie-файлов. Компания утверждала, что посетители сайта дают автоматическое согласие, продолжая использовать интернет-ресурс. AEPD установил, что такое согласие не является явным для пользователя, а значит противоречит нормам GDPR.

4.ОБЕСПЕЧЬТЕ ТЕХНИЧЕСКУЮ И ОРГАНИЗАЦИОННУЮ ВОЗМОЖНОСТЬ РЕАЛИЗАЦИИ ПРАВ ПОЛЬЗОВАТЕЛЯМ

GDPR предоставляет пользователям следующие права относительно их персональных данных.

Право на информацию. Пользователи могут запрашивать сведения о том, какие персональные данные вы собираете, с какой целью и т.д. Такое право основано на принципе прозрачности и обязывает вас в полной мере информировать посетителей сайта об использовании их персональных данных.
Право на доступ. Это право дает пользователям возможность ознакомиться со своими персональными данными, которые вы обрабатываете.
Право на исправление. Посетители сайта при необходимости могут скорректировать свои персональные данные, переданные вам. Например, если вы отправляете клиентам промокоды и при этом допускаете ошибку в адресе электронной почты пользователя, то право на исправление позволяет запросить внесение изменений в персональные данные, чтобы в дальнейшем получать рассылку.
Право возражения. Пользователь может возразить против обработки данных и попросить вас прекратить её.
Право на удаление (право быть забытым). Это право означает, что пользователь может послать вам запрос на удаление его данных, которые вы обрабатываете. Он может затребовать убрать всю информацию о себе или только части. Например, клиент хочет вести коммуникацию с вами только по электронной почте, поэтому направил вам запрос на удаление номера телефона.
Право на ограничение обработки. Пользователь имеет возможность попросить вас прекратить обработку своих персональных данных, если выполняется хотя бы одно из следующих условий:

-персональные данные, которые вы обрабатываете, неверны;
-обработка вами его данных является незаконной, но пользователь предпочитает ограничить обработку вместо удаления;
-вам больше не нужны эти данные для обработки;
-пользователь возразил против обработки вами его данных, но еще ждет верификации (подтверждение того, что он тот, за кого себя выдает).

Право на переносимость данных. Иногда пользователь хочет, чтобы личная информация, которую обрабатывали вы, была передана другой компании (например, пользователь переходит с Apple Music на Spotify и желает, чтобы данные о его музыкальных предпочтениях были перенесены в новый сервис). Такое право позволяет ему это сделать.
Право не подвергаться автоматизированному принятию решений. Некоторые компании принимают автоматизированные решения о клиентах на основе алгоритмов. Например, банк может принимать решение о выдаче или невыдаче ипотеки только на основании обработки персональных данных без участия человека (на автоматическом анализе их финансовых показателей). GDPR дает право пользователю накладывать запрет на принятие таких решений в отношении него.

Чтобы пользователи могли реализовать эти права, в вашей организации должна быть предусмотрена возможность связаться с ответственным лицом в компании (DPO), которое активизирует техническую и организационную работу по их запросам. Включите в свою Privacy Policy и укажите на сайте контактную информацию DPO.

Вместе с этим вам нужно автоматизировать процесс реализации этих прав. Например, функционал вашего сайта должен позволять удалять аккаунт пользователя или в сжатые сроки предоставлять ему всю информацию о том, какие сведения вы обрабатываете, а это порой бывает трудно (особенно если у вас сразу несколько источников с данными этого пользователя). На соблюдение большинства прав пользователя вам дается 30 дней, и если вы не уложитесь в указанный срок или не полностью выполните требования закона, то клиент вашего сайта имеет все основания обратиться в надзорный орган с жалобой, что неминуемо приведет к штрафу. Подчеркнем, что GDPR не приемлет «формального» соблюдения прав пользователей.

Почему это важно: Uber Technologies Inc. и Uber B.V. были оштрафованы на 10 миллионов евро, в том числе из-за того, что «форма для направления запросов субъектов данных, доступная в приложении Uber, не является достаточно легкодоступной, поскольку она включает в себя слишком много неинтуитивных шагов» и «Uber предоставляет информацию в CSV-файле в ответ на запросы субъектов о доступе к данным, не добавляя никаких указаний о том, как информация из такого файла может быть структурирована и интерпретирована. После добавления руководства о том, как открыть и прочитать CSV-файлы, Uber предоставила такую информацию только на английском языке, хотя Uber предлагает услуги во многих странах ЕС, что негативно сказывается практически на всех водителях Uber в Европе».

5.ИЗУЧИТЕ СТОРОННИЕ ВИДЖЕТЫ И ПЛАГИНЫ, КОТОРЫЕ ИСПОЛЬЗУЮТСЯ НА САЙТЕ

Для расширения функциональности своих сайтов многие компании используют сторонние плагины и виджеты. Перед добавлением выбранного плагина на сайт изучите Privacy Policy правообладателя. Крайне важно убедиться, что он соответствует принципам GDPR и не нарушает прав пользователя. Минимум, что вы можете проверить – это те требования, которые описаны выше (наличие Privacy Policy, CookiePolicy и т.д.).

ВЫВОД

Приведение сайта в соответствие требованиям GDPR – сложный процесс, который требует анализа как интернет-площадки, так и деятельности компании.

Соблюдение этапов и рекомендаций, которые описаны в данной статье, помогут вам не привлекать лишнего внимания со стороны регуляторов стран ЕС, а также избежать возможных штрафов за нарушение требований законодательства, суммы которых значительны для любой компании.

i-Legal имеет серьезный опыт в этой области, в том числе в составлении необходимой документации, а также проведении аудита бизнес-процессов компании на соответствие требованиям Общего регламента по защите данных (GDPR). Мы будем рады помочь вам в решении таких задач.

_{Алексей Филатов, юрист-специалист}