Персональные данные — это популярное выражение, которое заполняет новости и заставляет нас задуматься о нашей онлайн-идентичности и о том,
как она используется другими сайтами и компаниями.
Онлайн-бизнесы и владельцы веб-сайтов часто выступают в роли хранителей чувствительных личных данных, которые они собрали. С недавним введением GDPR — обширных регуламентов, регулирующих безопасность данных и конфиденциальность в ЕС — вы можете беспокоиться о том, как вы храните и защищаете информацию других людей, и насколько эти данные безопасны и защищены.
Разве вы не?
Новые законы о персональных данных ЕС возлагают на вас ответственность за соблюдение требований, но мы здесь,
чтобы дать вам несколько советов. Общее регламентирование защиты данных направлено на предоставление гражданам большего контроля над их
данными в Интернете.
Помимо предоставления пользователям возможности решать, что происходит с их информацией, GDPR также включает новые правила относительно того, как организации должны обращаться с этими данными. Всё это может потребовать от вас некоторых действий — даже если вы не находитесь в ЕС. Вот что вам нужно знать и что вы можете сделать, чтобы оставаться в курсе событий.
Связанное: DreamHost соответствует GDPR
Что вам нужно знать о GDPR
1. GDPR уже здесь.
Верно: GDPR вступил в силу 25 мая 2018 года. Это означает, что если вы еще не обновили свой сайт в соответствии с ним, вам нужно начать наверстывать упущенное. В остальной части этой статьи вы найдете некоторые советы и ресурсы о том, что это влечет за собой. Не паникуйте! После прочтения этой статьи мы рекомендуем перейти на официальный сайт GDPR, чтобы быть в курсе.
2. GDPR применяется к «персональным данным» людей в ЕС.
Существует множество причин, по которым веб-сайт собирает данные пользователей: для облегчения покупки, рассылки, таргетирования рекламы или определения наиболее популярного типа контента. Независимо от цели, если данные касаются лица, посещающего сайт из государства-члена ЕС, то применяется GDPR.
Посетители сайта даже не обязаны быть гражданами ЕС — если они посещают ЕС, например, из Ганы или Бразилии, и
заходят на ваш сайт, ваш сайт должен защищать их права в соответствии с GDPR.
Хотя регуляция базируется в Европе, на самом деле она охватывает больше, чем может показаться на первый взгляд. Если ваш
бизнес имеет какую-либо связь с Европой, будь то через клиентов или партнеров (даже только одного!), вам следует знать,
что требует закон.
3. Определение персональных данных расширено в GDPR.
Когда мы думаем о персональных данных, на ум приходят такие вещи, как имя, адрес и номер телефона. Однако по определению GDPR это гораздо больше. Превышая рамки данных, которые обычно считаются информацией, позволяющей идентифицировать личность, GDPR утверждает, что любая информация, «специфическая для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности данного лица», находится под защитой.
Учитывая эти широкие параметры, можно с уверенностью сказать, что любая информация, которая может идентифицировать человека, попадает под определение персональных данных. Если вы не уверены, что это относится к ним, скорее всего, так и есть! Фактически, определение GDPR персональных данных звучит как «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу». Вот и всё.
4. Любая организация, которая контролирует и обрабатывает эти данные, должна соблюдать требования.
Фактические документы GDPR упоминают сборщиков и обработчиков персональных данных. Не уверены, являетесь ли вы
контроллером или обработчиком? Читайте дальше.
Контроллер данных — это субъект — компания, организация или индивидуальный предприниматель — который принимает решения о том, какие данные собираются и как они используются. Обработчик данных собирает, хранит и передает эти данные после их сбора. Так что, если ваша организация обрабатывает какие-либо данные людей в ЕС или сотрудничает с кем-то, кто это делает, пришло время присоединиться.
5. Новые законы требуют согласия на сбор данных.
Вы могли заметить, что многие сайты и приложения в последнее время обновили свои политики конфиденциальности и условия использования.
Всё это из-за GDPR. Если организация ожидает, что кто-либо в ЕС посетит её веб-сайт, компании необходимо
включить информацию с запросом на согласие на сбор данных пользователя.
Смотрите также: Чек-лист по переработке вашего сайта на 2020 год
Обновленные политики должны содержать информацию о том, какие данные собираются, зачем они собираются, как долго они будут храниться, а также как они будут использоваться и кто будет иметь доступ к данным. Все это должно быть четко указано на веб-сайте в заметном месте.
Соблюдение GDPR требует активного согласия — а не пассивных методов, таких как предварительно установленный флажок. GDPR будет мало
терпим к практикам тёмного UX, которые обманывают
людей, заставляя их соглашаться или подписываться на что-либо или плохой дизайн блога, который скрывает
важную информацию.
Эти уведомления требуются даже в случае сбора самых базовых данных. USA Today применила интересный подход к соблюдению GDPR, создав две отдельные
версии своего сайта — одну для пользователей из ЕС и другую для всех остальных. Сайт, ориентированный на ЕС, не собирает
никакой информации, кроме IP-адреса пользователя, чтобы направить его на правильный сайт — но USA Today все равно должна
уведомить пользователей о том, что компания собирает эту информацию.
6. В GDPR предъявляются более строгие требования к безопасности данных.
По сравнению с предыдущим законодательством ЕС о конфиденциальности личных данных (Директива о защите данных, введенная в действие в 1998 году), GDPR предъявляет более строгие требования к ответственности контроллеров и обработчиков данных в вопросах безопасности.
Если вы работаете с персональными данными людей, вам необходимо проявить должную осмотрительность, чтобы гарантировать их полную защиту. Существует несколько решений этой проблемы, которые зависят от собираемых данных, доступных технологий и вашего бюджета. Некоторые меры безопасности, которые предлагает GDPR, включают шифрование данных, обеспечение конфиденциальности систем и услуг, предоставление возможности восстановления доступа к персональным данным, а также поддержание процесса оценки безопасности системы.
Это лишь некоторые из стратегий, которые организации могут использовать, чтобы продемонстрировать соответствие GDPR. Возможно, вы уже учли их, или вам придется добавить некоторые компоненты в ваш план безопасности.
С этими новыми стандартами у вас могут возникнуть опасения по поводу затрат на ваш бизнес для их соблюдения. Однако безопасность не обязательно должна быть дорогой. Несколько провайдеров, включая DreamHost, предоставляют сертификаты SSL/TLS бесплатно для шифрования веб-трафика на сайтах клиентов.
7. Нарушения в обработке данных должны быть сообщены людям, чьи данные были скомпрометированы.
Ещё одним новым аспектом законов о конфиденциальности, предусмотренным GDPR, является требование уведомлять пользователей, когда происходит утечка данных и это может затронуть их личную информацию. GDPR определяет утечку персональных данных как событие, которое приводит к «случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, хранящимся или иным образом обработанным». Это обеспечивает защиту не только от риска мошенничества или кражи личности (которые могли бы произойти в случае доступа к финансовым записям), но и включает несанкционированный доступ к любой информации, определённой как персональные данные.
Если происходит утечка персональных данных, которая «может привести к высокому риску для прав и свобод физических лиц»,
у контроллеров данных есть обязанность быстро уведомить пострадавших людей. Существует несколько исключений из этого правила,
например, когда зашифрованные данные будут непонятны неавторизованным пользователям или когда контроллер предпринимает действия после
нарушения для предотвращения риска. Особенности этого правила могут быть предметом толкования и обсуждения, но в случае сомнений,
GDPR принимает строгую, комплексную позицию по защите данных пользователей.
Если контроллер данных имеет главный офис в ЕС, он также должен уведомить контролирующий орган в государстве-члене ЕС, где находится организация. Это сообщение должно быть сделано в течение 72 часов с момента обнаружения нарушения.
Размещение сайта вашей организации на безопасном и стабильном сервере помогает предотвратить утечки личных данных. Все планы DreamHost обеспечивают высочайший уровень безопасности благодаря сертификатам SSL/TLS Let’s Encrypt, которые надежно шифруют данные, передаваемые через сайт DreamHost.
Если вы выбираете между общим и VPS хостингом, можете быть уверены, что персональные данные защищены. Наши планы выделенного хостинга обеспечивают ещё более строгую защиту персональных данных.
8. Контроллеры данных должны предоставлять пользователям доступ к их данным по запросу.
Значение этого аспекта GDPR простое: если пользователь хочет увидеть данные, которые вы собрали о нем, вы должны предоставить их в разумные сроки. Однако путь к достижению этой цели может быть немного более извилистым, в зависимости от ваших текущих обстоятельств.
Для удовлетворения этих запросов вам потребуется система для подачи запросов клиентами и персонал, который сможет их выполнить.
Технология, позволяющая экспортировать личные данные, также будет необходима. В статье 15 GDPR описываются несколько других связанных прав на
информацию, таких как кто имеет доступ к данным и как долго они будут храниться.
9. Пользователи в ЕС имеют «право на забвение».
Еще одна положение, связанное с доступом к данным, — это то, что GDPR называет «право на забвение». В статье 17, гражданам предоставляется право запросить удаление их данных из системы контроллера. Они могут сделать это по ряду причин, включая отзыв согласия на обработку данных.
Закон гласит, что могут быть законные основания для запроса на удаление персональных данных. Однако он также
дает указания, когда организация может отказать в таком запросе. Если обработка данных считается необходимой для
«осуществления права на свободу выражения мнений и информации», выполнения законных обязательств или установления
правовых требований, или служения общественным интересам в определенных аспектах, организация не обязана
соблюдать запрос.
10. Brexit не исключает Великобританию из GDPR — пока что.
GDPR по-прежнему применяется к компаниям в Великобритании, несмотря на предстоящий выход страны из ЕС. Как только Brexit официально состоится, GDPR уже не будет регулировать британскую безопасность данных. Однако Закон о защите данных страны практически идентичен GDPR — вплоть до той же даты начала 25 мая. Если вы соответствуете требованиям GDPR, то вы должны быть защищены и согласно законодательству Великобритании.
11. Нарушение условий GDPR влечет за собой большие штрафы.
Не пытайтесь избежать соблюдения GDPR — это обойдется вам дорого. Максимальные штрафы за несоблюдение могут составлять до 20 миллионов евро (более 23 миллионов долларов) или 4 процента от глобального дохода, в зависимости от того, что больше. Такое наказание предусмотрено для наихудших нарушителей, но не стоит проверять, как будут рассматриваться мелкие проступки.
Помимо изъятия ваших денег, органы по защите данных ЕС могут также отозвать у вашей компании некоторые привилегии по сбору данных
или даже запретить вам сбор данных вообще. Просто поступайте правильно!
12. Акцент новых правил на законном использовании и честном ведении бизнеса.
GDPR предназначен для унификации нормативов по данным всех государств-членов ЕС. С новыми законами правила становятся более понятными, и уровень конкуренции в отношении обработки персональных данных среди бизнеса ЕС становится более равным. В то же время, это создает нагрузку на бизнес в других странах в плане соответствия требованиям.
Тем не менее, стремление к безопасности и прозрачности может быть полезным для бизнеса в долгосрочной перспективе, и это все связано с восприятием клиентов. В последние годы наблюдалось увеличение количества нарушений безопасности данных, а также усиленная публичность вокруг сбора и использования данных людей.
В эпоху обмена данными GDPR также призван повысить доверие граждан к компаниям, предоставляя им больше гарантий. Регулирование широко считается победой за права на конфиденциальность. Но хотя может быть неприятно обновлять уведомления о конфиденциальности — и возможно менять политики использования данных в вашей компании — GDPR имеет потенциал дать клиентам большее уверенность в коммерции. Философия, вкратце, заключается в том, что то, что хорошо для клиента, хорошо и для бизнеса.