Полезное

GDPR: что это такое и как работать с ним в России

Всё, что вам нужно знать о новой политике сбора и хранения данных пользователей
Что такое GDPR
GDPR или General Data Protection Regulation — это регламент по защите персональных данных, действующий на территории 28 стран Евросоюза. Документ вступил в силу 25 мая 2018 года.
GDPR о том, как собирать, использовать и хранить личные данные пользователей.
За нарушение этого норматива компаниям придётся заплатить штраф до 20 млн евро или 4% от годового оборота.

На территории России использование и хранение данных пользователей регулируется ФЗ№152 «О защите персональных данных».

Чем отличается GDPR от ФЗ 152?

В отличие от GDPR, в нашем законе не так чётко прописаны условия сбора, хранения и дальнейшего использования личных данных.

Это приводит к тому, что не существует единого регламента о том, как собирать и распоряжаться имеющейся у компании информацией о пользователе. Но всё же, есть некоторые обязательные юридические документы, которые должны быть на сайте и, согласно которым, подписчикам из РФ отправляются рассылки.
Нужно ли соблюдать GDPR, если мы находимся в России?
Да, если у вас есть европейский трафик и пользователи из стран ЕС
В общем, если вы хоть как-то работаете с гражданами Евросоюза, то вам нужно соблюдать принципы и положения GDPR.
Основные принципы GDPR
1. Прозрачность и законность

Пояснить цели сбора персональных данных и то, как компания будет использовать их в дальнейшем.


2. Ограничение цели использования

Нельзя использовать полученные ранее данных для других целей, на которые пользователь не давал согласие.


3. Минимум информации

Собирать данные только в том объеме, которые нужны для конкретной цели.


4. Управление данными

Пользователь имеет право получить доступ к данным о себе, а также редактировать или изменять их. В том числе, и предпочтения получения рассылок.


5. Ограничение хранения

Срок хранения полученных данных должен соответствовать цели пользователя. По его требованию данные необходимо будет удалить полностью и незамедлительно.


6. Безопасность хранения

Данные должны быть надёжно защищены и не могут передаваться третьим лицам. В случае утечки информации необходимо сообщить об этом пользователю в течение 3-х дней.


Работа с данными по GDPR
Сбор

Пользователю нужно рассказать, как и зачем будут использоваться его данные, в каком объёме и как компания будет их защищать.

Для этого при заполнении формы нужно обязательно дать ссылку на политику использования персональных данных. Человек должен поставить «галочку» пункте о том, что он ознакомился и согласен с этой политикой.

Аналогично, использовать уже заполненный чекбокс с согласием на получение писем нельзя. В идеале пользователь должен дать согласие на получение рассылки через систему двойного подтверждения Double Opt In.
Использование

Для персонализации рассылок компании собирают и используют большое количество информации о действиях пользователя на сайте: куки-файлы, статистику просмотров, открытий и так далее.

Обо всём этом нужно уведомить пользователя и не злоупотреблять его данными. Например, если он подписывался только на оповещение о товаре — мы не можем отправлять ему стандартную рассылку.

Обычно эти настройки доступны пользователю в личном кабинете в разделе управления подпиской. В нём должно быть указано, на что именно подписан пользователь и дать ему возможность отписаться от некоторых или всех рассылок компании.


Хранение

GDPR-политика обязывает компании надежно хранить данные пользователей, а также документировать, где и как они хранятся, как обеспечивается безопасность серверов и кто имеет доступ к этим данным.

Полученные данные и информацию о том, как они используются компанией, необходимо не просто защитить от злоумышленников, но и иметь возможность предоставить их по запросу. Из информации должно быть видно, как и когда пользователь передал свои данные компании и на каких условиях.

Подписчик имеет право запросить у компании копию всей имеющейся на него информации. Её нужно предоставить в течение 30 дней.

По требованию подписчика компания должна исключить его из всех маркетинговых компаний и полностью уничтожить все имеющиеся о нём данные.
Что делать компаниям и имейл-маркетологам
1. Проверить трафик

Для начала нужно определить, есть среди ваших подписчиков пользователи, находящиеся и действующие в пределах ЕС. Если да — то вам необходимо соблюдать правила GDPR.

Даже если пользователь регистрируется на русском сайте, но территориально находится в ЕС, к нему применяются правила, действующие на территории Евросоюза. Скорее всего, придется применять две разных политики в зависимости от того, откуда пользователь предоставляет свои данные.
Если вам кажется, что всё это слишком сложно и вы хотите отказаться от европейского трафика — подумайте дважды. Возможно, аналогичный закон в скором времени будет принят и в России. А вы уже будете к нему готовы как морально, так и технически.

Всё-таки, нет ничего плохого в том, чтобы правильно собирать, использовать, хранить и лучше защищать данные своих соотечественников. Пользователи отнесутся к вам с доверием и уважением, если вы понятным для них языком объясните цели использования персональных данных и не будете злоупотреблять ими.

2. Ввести двухэтапную систему подписки и чекбоксы

DOI-подписка гарантирует, что конкретный пользователь дал согласие на получение и его данные верны. Кроме того, это надёжная защита от ботов и улучшение качества вашей базы.

Пользователям, которые ранее не проходили систему двойного подтверждения, рекомендуется отправить повторное письмо или вовсе удалить их из базы.

Чекбоксы с обязательным проставлением галочек подтверждают, что человек ознакомился с политикой использование данных и согласился с ней (даже, если он по факту её не прочитал).


3. Привлечь специалистов

Компаниям, занимающимися e-commerce, рекомендуется создать специальный отдел, который будет заниматься защитой данных пользователей.
Чек-лист по GDPR
  • Информировать персонал о GDPR и оценить риски
  • Информировать пользователя о политике конфиденциальности и условиям сбора, хранения и использования личных данных
  • Обеспечить надёжное хранение полученных данных и записывать информацию о дате и способе её получения
  • Соблюдать права пользователей в отношении использования компанией их данных на:
    — осведомлённость
    — получение электронной копии по запросу
    — исправление
    — ограничение обработки
    — удаление
  • Получение согласие на каждый тип личных данных, которые планируется собирать
  • Возможность проверки возраста пользователя (самостоятельно он может дать согласие только с 16 лет)
  • Информировать о нарушениях конфиденциальности или утечки данных