GDPR и застройщики: кому понадобится юрист

Из-за изменений в законе «О долевом» о GDPR все забыли. Напоминаем, какие требования регламента коснутся российских застройщиков, и кому лучше поскорее обратиться к юристу – готовить документы долго, а штрафы грозят серьезные.

Пока Роскомнадзор боролся с Телеграмом, пользователи создавали мемы, а владельцы сайтов хватались за голову из-за поправок к ФЗ – Европа обновила собственный регламент обработки персональных данных. Многие застройщики уже успели выполнить новые требования, но кто-то точно отложил GDPR в дальний ящик из-за «Нового долевого».

Так или иначе, начало эры GDPR заметили все: сервисы массово сообщали об обновлении политики конфиденциальности. Что изменилось с 25 мая и стоит ли российским строительным компаниям готовить новую партию документов – в этой статье мы объясним сложные вопросы доступным языком, как требует новый регламент.

Что такое GDPR и зачем он нужен

Краткий ликбез: 25 мая 2018 года на территории ЕС начал действовать Общий регламент по защите персональных данных, General Data Protection Regulation или GDPR.

До того как GDPR вступил в силу, обработку данных регламентировала Директива, принятая еще в 90-х годах. С распространением интернета Директива сильно устарела, поэтому в 2016 году Европейский парламент одобрил современную версию, и два года спустя она вступила в юридическую силу.

Цель GDPR – обеспечить безопасность персональных данных внутри Евросоюза.

Содержание документа – это свод правил, которые должны выполнять бизнесмены и владельцы сайтов. GDPR рассказывает, как легально собирать, хранить или любым другим образом обрабатывать данные физических лиц. Он же разъясняет права и обязанности обеих сторон и рассказывает о методах правового контроля.

На юрлица действие GDPR не распространяется. Пользователям стало проще и удобнее, а у операторов прибавилось обязанностей.

Познакомиться с оригинальными требованиями регламента можно здесь, есть версии на немецком и английском языках.

Россия не входит в состав ЕС. Попадут ли российские застройщики под действие GDPR?

Новый регламент экстерриториальный: он не привязан к географии и распространяется на все компании, обрабатывающие персональные данные граждан ЕС.

Ваша компания обязана исполнять нормы GDPR, если она входит в одну из трех категорий.

  • Учреждена или работает в ЕС (а значит, обрабатывает данные граждан Союза).
  • Продает европейцам продукты или услуги (в том числе дистанционно).
  • Анализирует или отслеживает действия граждан ЕС (собирает данные для веб-аналитики).

Например, условный Санкт-Петербургский застройщик рекламирует недвижимость в Финляндии через email-рассылку, у него есть финский офис и англо- или финноязычный сайт с подключенной Google Analytics.

Он действует на территории страны ЕС, отслеживает поведение посетителей сайта и хранит данные граждан – даже если не продает недвижимость финнам, а просто нанимает местных специалистов – и должен выполнить требования регламента.

Если сайт компании переведен на основные европейские языки, собирает веб-аналитику по ЕС, предлагает европейцам заполнить формы обратной связи или подписаться на рассылку – нормы GDPR соблюдать придется.

В этом случае разумнее всего обратиться за юридической консультацией и подготовить пакет документов.

Если же застройщик зарегистрирован в России и предлагает жилье и коммерческие помещения только гражданам РФ, под GDPR его деятельность не попадает. Обработку персональных данных будет регулировать 152-ФЗ.

Что требует GDPR

В новом регламенте 99 статей и более 150 пунктов преамбулы, поясняющих применение норм. Охватить такой объем в одном материале невозможно, да и не нужно. Остановимся на ключевых моментах.

Информировать о сборе персональных данных

В GDPR нет исчерпывающего перечня или определения персональных данных. Регламент относит к этой категории любую информацию о физическом лице, которая помогает прямо или косвенно его идентифицировать.

К персональным данным причисляют любую информацию о поле, возрасте, имени, биометрические данные, а также IP-адрес, геолокацию и файлы cookies – весь digital-след.

Если вы собираете какие-либо из упомянутых данных – предупредите пользователя. Проще всего это сделать с помощью дисклеймера.

GDPR и застройщики: кому понадобится юрист
Сайт Nissan предупреждает пользователей о сборе cookies
Доступно объяснять условия обработки и права пользователя

Сейчас пользователи ставят «галочки», не читая соглашений, потому что осилить три страницы юридического текста готов не каждый.

GDPR обязал компании подробно и доступно описывать цели и условия обработки и объяснять пользователю его права. И только после этого – запрашивать согласие на обработку.

GDPR и застройщики: кому понадобится юрист
16 мая Google отправил пользователям понятное предупреждение
Получать согласие на обработку

Причем согласие должно быть активным: пользователь должен сам заполнить чекбокс или нажать на кнопку. Проставленные по умолчанию согласия считаются принудительными, а оставившие их компании получают штрафы.

У компании могут запросить подтверждение оставленного пользователем согласия, поэтому их придется хранить.

Отдельно стоит упомянуть email-маркетинг. К рассылке теперь должно прилагаться Double Opt In (DOI) – письмо с подтверждением, которое приходит подписавшимся пользователям.

GDPR и застройщики: кому понадобится юрист
«Нетология» просит активное согласие
Запрашивать только нужную информацию

В GDPR появилась новая категория персональных данных – «чувствительные данные». Это любая биометрическая информация, данные о расовой принадлежности, политической позиции, религии и наличии судимостей. На их обработку понадобится легальное согласие.

Теперь компаниям без особой необходимости нельзя запрашивать информации о поле, семейном положении и возрасте.

Мобильным приложениям тоже придется проявлять умеренность: просить доступ к камере, контактам, галерее и местоположению можно только в том случае, если без этих данных невозможно предоставить услугу.

Удалять и предоставлять данные по просьбе пользователей

Любой клиент имеет право запросить у компании список своих данных, выяснить цели их обработки, узнать, кто имеет доступ к информации, и как она используется. Еще клиенты могут потребовать прекратить обрабатывать их данные или уничтожить информацию (право на забвение).

GDPR обязывает организации реагировать на запросы быстро: в течение месяца вся запрошенная информация должна быть предоставлена. Причем доступ должен быть бесплатным, а формат – доступным и удобным.
В исключительных случаях допустимы задержки до 3 месяцев, но компании придется объяснять причину проволочек.

Сообщать об утечках

Если персональные данные стали доступны третьим лицам или утеряны, компания обязана сообщить об этом не позднее, чем через 72 часа с момента утечки. Скрывать оплошность бессмысленно и чревато: санкции станут жестче, а репутационные потери – ощутимее.

Что будет, если не соблюдать GDPR

Права пользователей в Европе защищают DPA (Data Protection Authorities) – специальные надзорные органы, которые созданы в каждой из стран Союза. Для России и других стран, не состоящих в ЕС, назначается председатель, взаимодействующий с DPA.

В сети хватает страшных рассказов о многомиллиардных исках (их получили Facebook, Google, Instagram) и неработающих в Европе сервисах. Они действительно есть, но за первое нарушение по всей строгости карать не будут. Вероятнее всего, компании вынесут предупреждение и направят предписание, обязывающее исполнить нормы GDPR.

Штраф – это крайний случай, за первое нарушение его накладывают редко.

Максимальный размер штрафа составляет 20 миллионов евро или 4% от годового оборота компании – в зависимости от того, какая из сумм окажется больше.

Кроме того, контролер может лишить вас права обрабатывать данные или наложить ограничение на обработку.

GDPR не заградительная мера, а способ сделать маркетинг более ответственным и защитить приватную информацию. Вопрос доверия особенно важен в недвижимости. Спама и утечек от надежного застройщика клиенты точно не ждут.

Чтобы избежать неприятных последствий, застройщикам, попавшим под действие регламента, стоит обратиться к юристам – привести работу к соответствию GDPR проще и разумнее, чем разбираться с последствиями санкций.

Островерхова Анна
24.09.2018
Поделиться статьей:

Некогда читать статью?

Получите статью на почту и прочтите в удобное время