Пока Роскомнадзор боролся с Телеграмом, пользователи создавали мемы, а владельцы сайтов хватались за голову из-за поправок к ФЗ, Европа обновила собственный регламент обработки персональных данных. Многие застройщики уже успели выполнить новые требования, но кто-то точно отложил GDPR в дальний ящик из-за «Нового долевого».
Так или иначе, начало эры GDPR заметили все: сервисы массово сообщали об обновлении политики конфиденциальности. Что изменилось с 25 мая и стоит ли российским строительным компаниям готовить новую партию документов – в этой статье мы объясним сложные вопросы доступным языком, как требует новый регламент.
Что такое GDPR и зачем он нужен
Краткий ликбез: 25 мая 2018 года на территории ЕС начал действовать Общий регламент по защите персональных данных, General Data Protection Regulation или GDPR.
До того как GDPR вступил в силу, обработку данных регламентировала Директива, принятая еще в 90-х годах. С распространением интернета Директива сильно устарела, поэтому в 2016 году Европейский парламент одобрил современную версию, и два года спустя она вступила в юридическую силу.
Содержание документа – это свод правил, которые должны выполнять бизнесмены и владельцы сайтов. GDPR рассказывает, как легально собирать, хранить или любым другим образом обрабатывать данные физических лиц. Он же разъясняет права и обязанности обеих сторон и рассказывает о методах правового контроля.
На юрлица действие GDPR не распространяется. Пользователям стало проще и удобнее, а у операторов прибавилось обязанностей.
Познакомиться с оригинальными требованиями регламента можно здесь, есть версии на немецком и английском языках.
Россия не входит в состав ЕС. Попадут ли российские застройщики под действие GDPR?
Новый регламент экстерриториальный: он не привязан к географии и распространяется на все компании, обрабатывающие персональные данные граждан ЕС.
Ваша компания обязана исполнять нормы GDPR, если она входит в одну из трех категорий.
- Учреждена или работает в ЕС (а значит, обрабатывает данные граждан Союза).
- Продает европейцам продукты или услуги (в том числе дистанционно).
- Анализирует или отслеживает действия граждан ЕС (собирает данные для веб-аналитики).
Например, условный Санкт-Петербургский застройщик рекламирует недвижимость в Финляндии через email-рассылку, у него есть финский офис и англо- или финноязычный сайт с подключенной Google Analytics.
Он действует на территории страны ЕС, отслеживает поведение посетителей сайта и хранит данные граждан – даже если не продает недвижимость финнам, а просто нанимает местных специалистов – и должен выполнить требования регламента.
В этом случае разумнее всего обратиться за юридической консультацией и подготовить пакет документов.
Если же застройщик зарегистрирован в России и предлагает жилье и коммерческие помещения только гражданам РФ, под GDPR его деятельность не попадает. Обработку персональных данных будет регулировать 152-ФЗ.
Что требует GDPR
В новом регламенте 99 статей и более 150 пунктов преамбулы, поясняющих применение норм. Охватить такой объем в одном материале невозможно, да и не нужно. Остановимся на ключевых моментах.
Информировать о сборе персональных данных
В GDPR нет исчерпывающего перечня или определения персональных данных. Регламент относит к этой категории любую информацию о физическом лице, которая помогает прямо или косвенно его идентифицировать.
К персональным данным причисляют любую информацию о поле, возрасте, имени, биометрические данные, а также IP-адрес, геолокацию и файлы cookies – весь digital-след.
Если вы собираете какие-либо из упомянутых данных – предупредите пользователя. Проще всего это сделать с помощью дисклеймера.
Сайт Nissan предупреждает пользователей о сборе cookies
Доступно объяснять условия обработки и права пользователя
Сейчас пользователи ставят «галочки», не читая соглашений, потому что осилить три страницы юридического текста готов не каждый.
GDPR обязал компании подробно и доступно описывать цели и условия обработки и объяснять пользователю его права. И только после этого – запрашивать согласие на обработку.
16 мая Google отправил пользователям понятное предупреждение
Получать согласие на обработку
Причем согласие должно быть активным: пользователь должен сам заполнить чекбокс или нажать на кнопку. Проставленные по умолчанию согласия считаются принудительными, а оставившие их компании получают штрафы.
Отдельно стоит упомянуть email-маркетинг. К рассылке теперь должно прилагаться Double Opt In (DOI) – письмо с подтверждением, которое приходит подписавшимся пользователям.
«Нетология» просит активное согласие
Запрашивать только нужную информацию
В GDPR появилась новая категория персональных данных – «чувствительные данные». Это любая биометрическая информация, данные о расовой принадлежности, политической позиции, религии и наличии судимостей. На их обработку понадобится легальное согласие.
Мобильным приложениям тоже придется проявлять умеренность: просить доступ к камере, контактам, галерее и местоположению можно только в том случае, если без этих данных невозможно предоставить услугу.
Удалять и предоставлять данные по просьбе пользователей
Любой клиент имеет право запросить у компании список своих данных, выяснить цели их обработки, узнать, кто имеет доступ к информации, и как она используется. Еще клиенты могут потребовать прекратить обрабатывать их данные или уничтожить информацию (право на забвение).
GDPR обязывает организации реагировать на запросы быстро: в течение месяца вся запрошенная информация должна быть предоставлена. Причем доступ должен быть бесплатным, а формат – доступным и удобным.
В исключительных случаях допустимы задержки до 3 месяцев, но компании придется объяснять причину проволочек.
Сообщать об утечках
Если персональные данные стали доступны третьим лицам или утеряны, компания обязана сообщить об этом не позднее, чем через 72 часа с момента утечки. Скрывать оплошность бессмысленно и чревато: санкции станут жестче, а репутационные потери – ощутимее.
Что будет, если не соблюдать GDPR
Права пользователей в Европе защищают DPA (Data Protection Authorities) – специальные надзорные органы, которые созданы в каждой из стран Союза. Для России и других стран, не состоящих в ЕС, назначается председатель, взаимодействующий с DPA.
В сети хватает страшных рассказов о многомиллиардных исках (их получили Facebook, Google, Instagram) и неработающих в Европе сервисах. Они действительно есть, но за первое нарушение по всей строгости карать не будут. Вероятнее всего, компании вынесут предупреждение и направят предписание, обязывающее исполнить нормы GDPR.
Максимальный размер штрафа составляет 20 миллионов евро или 4% от годового оборота компании – в зависимости от того, какая из сумм окажется больше.
Кроме того, контролер может лишить вас права обрабатывать данные или наложить ограничение на обработку.
GDPR не заградительная мера, а способ сделать маркетинг более ответственным и защитить приватную информацию. Вопрос доверия особенно важен в недвижимости. Спама и утечек от надежного застройщика клиенты точно не ждут.
Чтобы избежать неприятных последствий, застройщикам, попавшим под действие регламента, стоит обратиться к юристам – привести работу к соответствию GDPR проще и разумнее, чем разбираться с последствиями санкций.
