25 травня 2018 року набув чинності новий порядок обробки персональних даних у Європі – GDPR (General Data Protection Regulation). Він стосується всіх компаній, які працюють з резидентами Європейського Союзу, навіть якщо сама компанія не зареєстрована в ЄС.

Новий регламент має надати європейцям повний контроль над своїми персональними даними. Він передбачає право: отримувати ці дані, виправляти, видаляти їх та обмежувати до них доступ.

Якщо у вас є хоча б один клієнт з Європи, чиї персональні дані ви зберігаєте, ви автоматично підпадаєте під дію GDPR.
Якщо на ваш сайт зайшов користувач і ви зафіксували дані про його браузер, пристрій або кукі – ви підпадаєте під цей регламент і зобов’язані отримати від користувача явний дозвіл на це.
Якщо ваш клієнт виїхав до Європи, а ви надсилаєте йому сповіщення – ви також підпадаєте під дію GDPR.

Порушення регламенту GDPR загрожує штрафом до 20 млн євро або 4% річного глобального доходу компанії.

Згідно з GDPR, персональні дані – це будь-яка інформація, яка стосується людини і за якою можна прямо чи опосередковано її ідентифікувати:

• Ім’я, прізвище
• Фото
• Адреса електронної пошти
• Телефон
• IP-адреса
• Банківські реквізити
• Пости в соціальних мережах
• Медична інформація
• Аналітичні коди та інше.

Визначення є дуже широким і фактично охоплює будь-яку інформацію про людину.

Що потрібно зробити, щоб відповідати вимогам нового регламенту?

Необхідно відредагувати вашу політику конфіденційності, правила збору та обробки персональних даних відповідно до нових вимог. Потрібно повторно запитати дозвіл на обробку даних у всіх поточних користувачів, оскільки варіант, що це було прописано дрібним шрифтом посеред великого тексту, який вони не читали під час реєстрації, більше не працює.

Ви повинні чітко вказати:

• Яку персональну та загальну інформацію збирає ваша система/сайт.
• Для яких цілей збирається інформація.
• Які права має користувач після внесення до вашої бази.
• Вашу політику зберігання даних.
• Процедуру передачі даних в інші країни.
• Як дані будуть захищені.
• Контактну інформацію, включаючи юридичну адресу, якщо вона є.
• Політику оплати, політику кукі – описує, як проходять платежі та які кукі використовує система.
• Необхідно додати окреме сповіщення для дітей, якщо система не працює з дітьми чи дитячим контентом. В іншому випадку, потрібно додати функціональність перевірки віку у вигляді чекбокса на сторінці реєстрації та отримати згоду батьків, якщо користувачеві менше 16 років.
• Дані не можна зберігати довше, ніж це потрібно для цілей, для яких вони збиралися.

При реєстрації нових користувачів:

• Кількість полів повинна бути мінімальною та обґрунтованою.
• Гранульоване погодження.
• Обов’язковий чекбокс, що користувач згоден з Умовами використання та Політикою конфіденційності.
• Окремий чекбокс для підписки на розсилку.

Користувач повинен мати доступ до сторінки зі своєю інформацією:

• Можливість змінювати будь-яке поле про себе.
• Можливість видалити себе та всю свою інформацію з системи.
• Можливість увімкнути режим, при якому його персональні дані більше не повинні бути доступні публічно, іншим користувачам та навіть адміністраторам системи. GDPR позиціонує це як альтернативу повного видалення з системи.
• Можливість завантажувати дані у будь-якому форматі: XML, JSON, CSV.
• Гранульоване погодження знову.
• Можливість надавати чи забирати згоду на дії системи з персональними даними (наприклад, підписка на новини або маркетинговий матеріал).

Додатково потрібно реалізувати:

• Автоматичне видалення або анонімізацію персональних даних, які більше не потрібні (наприклад, інформація про виконані замовлення).
• Автоматичне видалення персональних даних у сервісах, з якими інтегрована система.

GDPR вимагає вести облік всіх дій з обробки персональних даних підписників. До речі, у RegToEVENT є журналування всіх дій ваших співробітників, які мають акаунти для роботи з івентом. Адже потрібно не лише прописати, які дані ви збираєте, а й хто має до них доступ, а також опис технічних та організаційних заходів безпеки.

Згідно з GDPR, ви несете повну відповідальність за збереження конфіденційності отриманих даних підписників. Ви повинні вживати всіх необхідних заходів для забезпечення їхньої безпеки, включаючи псевдонімізацію (заміну імені та інших ідентифікаційних ознак на псевдоніми) та шифрування.

Якщо ви користуєтеся сервісом розсилки, заходи для захисту даних лежать на сервісі. Однак відповідальність залишається на вас. Тому, перш ніж завантажувати свої списки кудись, поцікавтеся, які засоби захисту використовує сервіс і наскільки вони надійні. Якщо ви реєструєте користувачів через RegToEVENT, то можете здійснювати розсилки безпосередньо зі свого інтерфейсу, а не передавати дані сторонньому сервісу.

Якщо стався витік даних…

Якщо витік загрожує правам і свободам людини, потрібно повідомити про це наглядовий орган протягом 72 годин. У звіті необхідно вказати:

• Опис виявлених порушень.
• Контактні дані спеціаліста з охорони персональних даних.
• Опис ймовірних наслідків витоку даних.
• Компенсаційні заходи щодо мінімізації ризиків.

Якщо витік не загрожує правам і свободам людини, повідомляти нікуди не потрібно.
Що робити:

• Переконайтеся, що ви використовуєте надійний сервіс розсилок.
• Повідомляйте в наглядовий орган у разі витоку персональних даних.

Проведіть аудит своєї бази клієнтів і видаліть тих, які вам більше не потрібні. Усім іншим надішліть листи з проханням повторно надати згоду на обробку персональних даних. Оновіть угоду про конфіденційність на сайті: залиште тільки найважливіші поля та приберіть галочки за замовчуванням, вкажіть, які дані ви збираєте, з якою метою та на який період, і додайте пункт про те, що діти до 16 років можуть підписатися тільки за згодою батьків. Створіть акаунти для користувачів, щоб вони могли самостійно переглядати, редагувати та видаляти свої дані, а також ведіть журнал змін даних користувачів.