Чек-лист по соблюдению общего регламента о защите персональных данных (GDPR) для компаний, работающих в Европейском союзе

Вы читаете перевод статьи “GDPR Compliance Checklist: 10 Steps To Compliance in 2023” от CookieYes — универсальной платформы для управления согласием на использование файлов cookie. Компания обеспечивает соблюдение законов о конфиденциальности данных миллионами сайтов по всему миру.

В 2020-м году компания Carrefour — гигант в сфере розничной торговли — получила штраф в более чем 3 миллиона долларов за многочисленные нарушения общего регламента по защите данных (General Data Protection Regulation, GDPR). Среди нарушений были: отсутствие согласия на обработку cookie-файлов, некорректное предоставление информации, чрезмерное хранение данных, необоснованная проверка личности, игнорирование запросов — и даже передача больших объемов данных, чем официально заявлено. Все это нанесло большой удар по финансам и репутации компании.

Нельзя допустить, чтобы и ваша компания стала героем одной из таких поучительных историй. При этом надо понимать, что регламент GDPR может повлиять на ваш бизнес даже если вы физически не присутствуете на территории Европейского союза. Так что если ваш сайт собирает и обрабатывает персональные данные посетителей из Европы — эта статья для вас. Следуйте нашему чек-листу из десяти пунктов и обойдетесь без штрафов и ущерба репутации.

Содержание статьи:

Почему важно, чтобы сайт соответствовал GDPR?

Чек-лист: 10 шагов по соблюдению GDPR
Шаг 1. Поймите, какие данные вы храните
Шаг 2. Обеспечьте безопасность вашего сайта
Шаг 3. Обновите свою политику конфиденциальности
Шаг 4. Получите согласие на рассылку
Шаг 5. Добавьте баннер согласия на использование файлов cookie
Шаг 6. Проверьте формы на вашем сайте
Шаг 7. Проверьте контрагентов или сторонние сервисы
Шаг 8. Проверьте свой процесс передачи данных компаниям, которые не входят в ЕС
Шаг 9. Обеспечьте реализацию права на доступ к данным
Шаг 10. Выявляйте и нивелируйте риски утечки данных

Часто задаваемые вопросы

Для начала мы расскажем, почему GDPR — это важно. Если вас в этом лишний раз убеждать не нужно, можете скролить к следующему разделу.

Почему важно, чтобы сайт соответствовал GDPR?

Общий регламент защиты персональных данных (англ. General Data Protection Regulation, GDPR) — постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе (ЕС). Источник: Wikipedia.

Регламент GDPR защищает конфиденциальность пользователей и обеспечивает защиту их информации. Регламент должны соблюдать все компании: от крупных корпораций до малого бизнеса. За несоблюдение — суровые последствия: ваш бизнес могут оштрафовать на сумму до 4% от глобального годового оборота или на 20 миллионов евро (в зависимости от того, что больше).

Конечно, для бизнеса регламент GDPR подразумевает изменения и сложности. Но если посмотреть с позитивной стороны, это отличная возможность привести в порядок хранение, распространение и защиту клиентских данных. Компания, которая подобным образом бережет данные, может позиционировать себя как надежный ресурс. Так что при должной подготовке можно извлечь пользу из новых возможностей, которые открывает введение GDPR.

Наш чек-лист из 10 пунктов поможет адаптировать ваш сайт под требования GDPR. Нюанс в том, что единой формулы успеха тут нет: “соответствие требованиям GDPR” для каждой компании выглядит по-своему — ведь у каждой компании свои бизнес-процессы. Поэтому вам нужно все тщательно проанализировать и спланировать — а потом разработать ряд процедур по соблюдению регламента конкретно под ваши нужды.

Итак, давайте разберемся, что там за требования GDPR?

Чек-лист: 10 шагов по соблюдению GDPR

Разберем список конкретных действий, которые вам нужно выполнить, чтобы обеспечить соблюдение общего регламента по защите данных GDPR.

Шаг 1. Поймите, какие данные вы храните

Во-первых, вам нужно понять, какие персональные данные вы храните, где вы их храните и у кого есть к ним доступ. Ниже мы приводим список вопросов, на которые вам и вашим сотрудникам нужно ответить, чтобы оценить вашу готовность к соблюдению GDPR:

  • Какие персональные данные вы храните?
  • Содержатся ли в этих данных конфиденциальные персональные данные? Если да, как вы обеспечиваете их безопасность?
  • Собирает ли ваш веб-сайт персональные данные несовершеннолетних (моложе 16 лет)?
  • Зачем вам эти данные?
  • Как вы получили согласие на обработку этих персональных данных?
  • Где хранятся эти персональные данные?
  • Кто имеет к ним доступ?
  • Задействованы ли в хранении этих данных какие-то третьи стороны? Если да, как вы контролируете их обработку ваших данных?
  • Эти третьи стороны территориально располагаются за пределами Европейской экономической зоны? Если да, какие механизмы они используют для защиты ваших персональных данных, например, от доступа иностранных органов — или от использования в целях, не предусмотренных вашим договором с этой третьей стороной?
  • Как долго нужно хранить эти персональные данные? Можно ли удалить или анонимизировать какую-то часть этой информации?

Шаг 2. Обеспечьте безопасность вашего сайта

Веб-сайты регулярно подвергаются атакам хакеров и других злоумышленников. Как владелец веб-сайта, вы должны обеспечить его безопасность. Это означает, что вам нужно обеспечить безопасность как данных, которые на нем хранятся, так и самого сайта от внешних атак.

Вот что можно предпринять для обеспечения безопасности сайта и защиты пользовательских данных (GDPR):

  • Установите SSL-сертификат (HTTPS в начале URL-адреса), который будет шифровать любую информацию, передаваемую между сайтом и сервером.
  • Установите надежные пароли для учетных записей администраторов.
  • Если планируется, что пользователи будут вводить свою платежную информацию, установите на сервере дополнительные уровни защиты.
  • Работайте с провайдерами CDN, которые могут усилить вашу безопасность. Например, обеспечить защиту от DDoS-атак.
  • Используйте антивирусное ПО или сервисы, чтобы защитить сайт от несанкционированного доступа.
  • Не собирайте, не используйте и не храните больше персональных данных, чем необходимо в рамках сайта.
  • Старайтесь не отправлять или не передавать персональные данные — особенно конфиденциальные — третьим лицам (включая сервисы).
  • Псевдонимизируйте или анонимизируйте персональные данные перед хранением, чтобы деидентифицировать пользователей.
  • Удаляйте персональные данные, как только пропадает необходимость в них на сайте.
  • Создайте резервные копии данных в нескольких местах.

Шаг 3. Обновите свою политику конфиденциальности

Политика конфиденциальности должна быть неотъемлемой частью вашего сайта. Убедитесь, что ее текст можно легко открыть с любой страницы сайта (даже с тех, на которых вы не собираете персональные данные).

Главное назначение политики конфиденциальности — информировать посетителей вашего сайта о том, как вы собираете, используете, храните и раскрываете их персональные данные. В этом документе вы должны объяснить пользователю его права и рассказать о ваших обязательствах перед ним. К правам пользователя относится, например, право на доступ к своим персональным данным, а также право запросить ликвидацию этих данных.

Политику конфиденциальности нужно писать простым языком, понятным рядовому пользователю. И повторимся: она должна быть всегда в быстром доступе. Если пользователю приходится искать ее или несколько раз кликать, чтобы добраться до текста — это не считается.

Шаг 4. Получите согласие на рассылку

Если у вас в списке рассылки есть граждане Евросоюза, это повод проверить ее на соответствие GDPR.

Если вы используете сервисы email-маркетинга для отправки рассылок и других сообщений, пользователи должны разрешить вам отправлять им эти письма. Мы рекомендуем метод двухэтапной подписки (double opt-in), при котором пользователь должен подтвердить email-адрес после того, как он ввел его на сайте.

У пользователей в любой момент должна быть возможность отписаться от вашей рассылки. Обычно это делается через гиперссылку “Отписаться”, которую добавляют в каждое письмо рассылки. По этой ссылке пользователь сразу должен попадать на страницу отписки — без каких-либо сложностей и препятствий.

Шаг 5. Добавьте баннер согласия на использование файлов cookie

Если ваш сайт использует необязательные файлы cookie, то, в соответствии с GDPR, вы должны заручиться согласием пользователя на хранение этих файлов cookie на его устройстве. Для этого нужно разместить на сайте баннер согласия на использование файлов cookie.

Этим баннером вы информируете посетителей о том, как ваш сайт использует файлы cookie и какая информация в них хранится. Кроме того, баннер cookie напоминает пользователю о его праве отказаться от хранения файлов cookie.

Вот несколько важных нюансов, которые нужно учесть при добавлении cookie-баннера:

  • Текст на баннере должен быть простым и лаконичным: никакого юридического жаргона и длинных предложений.
  • Опишите, какие файлы cookie вы устанавливаете и почему.
  • Объясните, почему необходимо устанавливать cookies.
  • Объясните, как пользователи могут изменить настройки своих файлов cookie.
  • Добавьте опцию согласия на хранение файлов cookie, чтобы пользователи могли ее принять.
  • Добавьте также опцию отказа от хранения cookie — для посетителей, которые хотят заблокировать все файлы cookie с вашего сайта.
  • Кроме того, добавьте опцию настройки файлов cookie. С ее помощью пользователь сможет сам выбрать, какие категории cookies он разрешает использовать.
  • Упомяните вашу политику конфиденциальности и дайте ссылку на ее текст.
  • Если пользователь закрыл или проигнорировал cookie-баннер, согласие не считается полученным.
  • Не загружайте файлы cookie, если пользователь не дал на это явного согласия (не поставил галочку/ не совершил подобного утвердительного действия).
  • Если пользователь выбрал опцию отказа от cookies, то файлы cookie должны быть заблокированы — в том числе и при его последующих посещениях сайта.
  • У пользователя должна быть возможность повторного доступа к баннеру — на случай, если он захочет изменить свое решение о согласии: например, отказаться от использования cookies или ограничить некоторые категории cookie-файлов.

Шаг 6. Проверьте формы на вашем сайте

Если на вашем сайте есть какие-либо формы, которые собирают персональные данные (например, форма запроса, форма контактов или форма подписки на продукт), важно сделать следующее:

  • Добавьте заявление о конфиденциальности, в котором вы расскажете пользователю, зачем запрашиваете его данные и что намерены с ними делать — и напомните о его праве в любое время отозвать согласие на обработку этих данных.
  • Добавьте опцию согласия (opt-in) — например, пустой чекбокс или неактивный переключатель, которые пользователь должен отметить/включить, тем самым соглашаясь на сбор его данных.
  • Добавьте чекбокс (или другой элемент выбора) о согласии получать информационные сообщения от вас и/или используемых вами сервисов.
  • По возможности добавьте ссылку на вашу политику конфиденциальности для подробной информации.

Шаг 7. Проверьте контрагентов или сторонние сервисы, которые осуществляют обработку ваших данных

Первым делом вам нужно узнать, все ли из ваших контрагентов / сервисов, с которыми вы работаете, отвечают требованиям регламента GDPR. Вы должны знать политику конфиденциальности любого стороннего сервиса / контрагента, с которыми вы работаете напрямую (или косвенно).

Если они выполняют какую-то работу от имени вашей компании, то должны соответствовать вашей политике конфиденциальности. Другими словами, они тоже должны соблюдать требования общего регламента по защите данных GDPR.

Шаг 8. Проверьте свой процесс передачи данных компаниям, которые не входят в ЕС

Если ваш сайт передает персональные данные из стран Европейского союза в страны, не входящие в ЕС, вам следует проверить себя по следующим пунктам:

  • Провели ли вы необходимую оценку рисков, прежде чем передать данные?
  • Обеспечивает ли страна-получатель / сервис-получатель достаточный уровень защиты данных?
  • Есть ли у вас все необходимые соглашения с компанией-получателем / сервисом-получателем?

Шаг 9. Обеспечьте реализацию права на доступ к данным

У каждого веб-пользователя есть право знать, какими его персональными данными вы располагаете — как и право в любое время попросить вас скорректировать или удалить эти данные. Вы должны обеспечить пользователю простой способ осуществить эти права в рамках вашего сайта.

В правилах GDPR не прописан конкретный способ раскрытия этой информации. Как вариант, можно разместить в футере каждой страницы сайта гиперссылку или кнопку — или сделать отдельную страницу с инструкцией, как пользователи могут управлять своими данными. Некоторые сайты просто дают email-адрес, по которому пользователи могут направлять свои запросы.

То, как конкретно вы выполняете это требование, должно быть прописано в вашей политике конфиденциальности.

Шаг 10. Выявляйте и нивелируйте риски утечки данных

Вот что нужно сделать, чтобы подготовиться к возможной утечке данных:

  • Ведите учет своих действий по обработке данных.
  • Если выявлена уязвимость, заблокируйте любой доступ к сайту, пока ее не устраните.
  • Проведите тщательное расследование — где, когда и как случилась утечка данных, какие данные были взломаны, на кого это повлияло и каким образом.
  • Сообщите всю информацию об утечке, какой располагаете, соответствующему надзорному органу в течение 72 часов. Уведомление об утечке должно содержать следующую информацию: категории и примерное количество затронутых пользователей; категории и примерный объем персональных данных, подвергшихся воздействию; меры, которые приняла или запланировала компания в ответ на утечку — включая меры по уменьшению возможных негативных последствий.
  • Уведомьте затронутых пользователей, если утечка влечет за собой риск для их прав и свобод; в том числе расскажите им, каким образом они могут защитить свои данные.
  • Пересмотрите свои процессы и политику конфиденциальности, чтобы в будущем предотвратить утечку данных с сайта.
  • Подготовьте план действий на случай повторения утечки данных.

А теперь еще раз вкратце: план действий по соответствию требованиям GDPR:

Чек-лист по GDPR для сайтов

Часто задаваемые вопросы

Каковы базовые требования регламента GDPR?

Основное требование регламента GDPR состоит в том, чтобы сбор и обработка персональных данных пользователей происходили прозрачно, безопасно, в соответствии с законом и для законных целей. Регламент требует раскрытия информации о том, как вы обрабатываете данные пользователей. Данные можно собирать только для конкретных, четко определенных и законных целей, а последующая их обработка, не связанная с этими целями, не допускается. Данные должны быть объективными и актуальными и собираться ровно в том объеме и составе, который необходим для достижения заявленных целей. Организации обязаны обеспечить пользователям возможность реализации их права на доступ к данным. Кроме того, они обязаны уведомлять пользователей об утечках в течение 72 часов.

Каковы 7 ключевых принципов регламента GDPR?

  1. Законность, честность и прозрачность. Персональные данные должны обрабатываться законно и честно; пользователи должны понимать, как будут использованы их данные.
  2. Ограниченное назначение. Собирайте данные только для конкретных и законных целей — и не используйте их в иных целях.
  3. Минимизация данных. Организация должна собирать только тот необходимый минимум информации, который требуется для реализации намеченных целей.
  4. Точность. Персональные данные, которые вы храните, должны быть точными и актуальными; корректируйте данные при необходимости.
  5. Ограниченное хранение. Данные не должны храниться дольше, чем это необходимо. Как только цель, под которую собирались данные, выполнена, эти данные нужно сразу удалить или анонимизировать.
  6. Надежность и конфиденциальность. Применяйте необходимые меры безопасности, чтобы защитить персональные данные от несанкционированного доступа, потери и раскрытия.
  7. Ответственность. Организации ответственны за соблюдение требований общего регламента по защите данных (GDPR) и должны быть в состоянии продемонстрировать соответствие этим требованиям.

Что такое чек-лист по соответствию GDPR?

Чек-лист по соответствию GDPR, представленный в этой статье — это по сути список вещей, которые нужно сделать, чтобы обеспечить соблюдение требований общего регламента о защите данных GDPR. Это полезный инструмент для бизнеса: регулярно пробегайесь по чек-листу, чтобы убедиться, что ваша организация отвечает требованиям закона по всем аспектам. Кроме того, чек-лист помогает выявить зоны роста и подсветить проблемные места, где вам нужно заполнить информационные пробелы и обеспечить дополнительные процедуры по защите данных.

Какой максимальный штраф за несоблюдение требований GDPR?

Максимальный штраф за несоблюдение требований GDPR составляет до 20 миллионов евро или 4% от глобального годового оборота компании — в зависимости от того, что больше. В некоторых случаях, денежным штрафом дело не ограничивается. Контролирующие органы могут попросить вас удалить все персональные данные, которые у вас имеются, или прекратить их обработку.

Как обеспечить соответствие регламенту GDPR?

Если вы хотите полностью соответствовать требованиям общего регламента по защите данных, сделайте конфиденциальность данных своим главным приоритетом. В качестве самопроверки, регулярно сверяйтесь с этими ключевыми пунктами:

  • Открыто рассказывайте о своих методах обработки данных.
  • Собирайте и используйте персональные данные честно и законно.
  • Получайте согласие на сбор персональных данных везде, где это актуально.
  • У пользователей должна быть возможность просматривать, корректировать и удалять свои данные.
  • Обеспечьте пользователям способ управлять своими данными.
  • Убедитесь, что технологии, которые вы используете, соответствуют требованиям регламента GDPR.
  • Обеспечьте безопасность и защиту персональных данных.
  • Ваша политика конфиденциальности должны быть написана понятным языком и легко доступна из любой точки сайта.
  • Убедитесь, что ваши контрагенты и сторонние сервисы, которые вы используете, соответствуют требованиям GDPR.

Отказ от ответственности: этот чек-лист по соответствию GDPR является общим руководством по обеспечению требований регламента и не несет юридической силы. Если у вас есть конкретные вопросы по юридическим нюансам применения регламента GDPR, проконсультируйтесь с юристом в своей области.

Полезные статьи про продвижение IT-компаний на международных рынках: