GDPR — что учитывать стартапу, чтобы выйти на зарубежный рынок и не получить штраф за обработку персональных данных. Читайте на Cossa.ru

06 марта 2019, 16:50

GDPR — что учитывать стартапу, чтобы выйти на зарубежный рынок и не получить штраф за обработку персональных данных

Как стартапам понять, попадают они под требования GDPR или нет и какие риски, в случае «попадания», будут накладываться на бизнес? Почему российским компаниям нужно обращать внимание на GDPR? Объясняет компания Б-152 и Максим Лагутин, её сооснователь.

GDPR — что учитывать стартапу, чтобы выйти на зарубежный рынок и не получить штраф за обработку персональных данных

Многие стартапы стремятся выйти на зарубежные рынки. Одним из самых популярных регионов является Европа, но с этого года выход на рынок Евросоюза (ЕС) усложнился вступившим в силу 25 мая Регламентом по обработке и хранению персональных данных — General Data Protection Regulation (GDPR).

Основные понятия

GDPR — регламент, который создан в информационную эпоху. Законотворцы понимали, что заказ товаров или оказание услуг через интернет «снимает» государственные границы, расширяет возможности как потребителей, так и бизнеса. Однако рисков, связанных с чрезмерным сбором или незаконной передачей персональных данных, становится больше, а отследить их сложнее.

Эффективная и выгодная реклама с сервисом от МегаФона

Широкий выбор рекламных каналов, более 100 параметров по интересам, подробная аналитика и другие возможности уже ждут в Личном кабинете. А еще кешбэк 100% за запуск рекламы в первый месяц и еще 10% — каждый месяц.

Узнать больше >>

Реклама. ПАО «МегаФон». ИНН 7812014560. ОГРН 1027809169585. ERID LjN8K1P7y.

Именно поэтому GDPR написан таким образом, что под его требования подпадает любая компания, которая обрабатывает персональные данные, вне зависимости от её фактического места нахождения.

Отсюда следует, что зоной влияния GDPR стал весь мир, и по факту новые требования регламента и штрафы являются рентой для бизнеса при работе с персональными данными, собранными в ЕС.

GDPR защищает права не только резидентов ЕС, но и беженцев, студентов, которые проходят обучение в одной из стран Евросоюза, туристов, экспатов и так далее, то есть права любого человека, который фактически находится на территории ЕС.

Как понять, попадаете ли вы под действие GDPR?

Признаки соответствия Регламенту можно условно поделить на «однозначные» и «косвенные».

К однозначным признакам относятся следующие.

  • На территории ЕС у вас есть офис, представительство или филиал.
  • Один из языков, на котором написан сайт, является государственным в одной из стран ЕС. Сейчас идёт речь не об английском, который признан международным, а о таких языках, как итальянский, испанский, голландский, шведский и так далее.
  • Обратная связь с техподдержкой написана на языке одной из стран Европейского союза.
  • Есть наличие сервисных центров на территории Европы.
  • Есть наличие пунктов выдачи в одной или нескольких странах Евросоюза, либо на сайте компании указано, что доставляете продукцию в ЕС.
  • Об услугах компании пишут местные СМИ, либо вы рекламируете свои услуги в Европе.
  • Осуществляется мониторинг действий пользователей, например в мобильном приложении.

Один из перечисленных пунктов относится к вашей компании? Вы попадаете под действие GDPR.

Перечисленные выше пункты являются явными признаками, потому что в них однозначно прослеживается ваш интерес и работа с жителями Европы.

Также возможны косвенные признаки, к ним относятся:

  • вы работаете с юридическими лицами из ЕС, которые вам передают персональные данные европейцев и требуют от вас соблюдения GDPR (сейчас это частый случай);
  • конкуренты показали, что соответствуют GDPR, и чтобы не потерять европейских клиентов, не стоит от них отставать.

Косвенные признаки в каждом конкретном случае необходимо анализировать, а предугадать полный перечень невозможно.

Обратите внимание! Если, то или иное действие носит случайный характер, то вы не попадаете под действие GDPR. Например, вашей услугой одноразово воспользовался житель Европы, тогда проверять свою деятельность на соответствие Регламенту не нужно.

Перечень действий, которые попадают под GDPR един для всех компаний вне зависимости от их вида деятельности.

Максимально возможные штрафы за нарушение GDPR — это 20 млн € (около 1,5 млрд ₽), либо до 4% от годового оборота компании. Эти цифры пугают большинство участников европейского рынка.

Что важно понимать? Штрафы имеют сложную градацию. За нарушение GDPR стартапу не выставят штраф в 20 млн €, который приведёт к закрытию компании, но он будет ощутим.

Следующие вероятные последствия: пользователь вашего сайта увидел несоответствие GDPR и сообщил об этом регулирующему органу. Регулятор может опубликовать на своем веб-сайте информацию о вашем несоответствии Регламенту и, как следствие, вы потеряете клиентов.

Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, не соблюдающими GDPR, штрафуют за работу с неблагонадёжными компаниями, и при этом возможен запрет со стороны регулятора ЕС европейским компаниям работать с вами.

Такие последствия очень серьёзны для бизнеса, именно поэтому важно выполнение GDPR для любой компании. Не стоит самим себе закрывать «окно в Европу».

В случае игнорирования требований регуляторов, штрафы могут быть переложены на владельца бизнеса. Оплатить штраф, вероятнее всего, попросят таможенные органы в момент пересечения границы одной из стран ЕС.

Итак, вы определились, что подпадаете под требования GDPR?

Если да, то, чтобы не попасть на штрафы и не потерять клиентов, необходимо подготовить «минимальный пакет»:

  • уведомления об обработке персональных данных (Privacy Notice);
  • Privacy Policy;
  • Cookie Policy;
  • политику защиты персональных данных;
  • согласия на обработку персональных данных;
  • дисклеймер об обработке Cookie.

Данный перечень действий является практически обязательным для всех компаний, которые работают с ЕС через интернет. Его нужно будет дополнить другими документами в зависимости от особенностей работы вашей компании на территории ЕС.

Как избежать штрафов и соответствовать GDPR

В современном мире практически у каждой компании есть сайт, через который можно оказывать услуги по всему миру, в том числе и в Евросоюзе. Зачастую для предоставления того или иного сервиса требуется регистрация на сайте, а для своевременной корректировки предоставляемых услуг, профилирования и проведения рекламных кампаний, необходимо видеть реальную активность пользователей сайта, и поэтому осуществляется аналитика поведения пользователей — это всё является персональными данными человека, которые регулируются GDPR.

Напоминаю, вам необходим минимальный список таких документов:

  • уведомления об обработке персональных данных (Privacy Notice);
  • Privacy Policy;
  • Cookie Policy;
  • дисклеймер об обработке Cookie;
  • согласия на обработку персональных данных.

Разберёмся в их наполнении по порядку.

Privacy Notice

Privacy Notice содержит информацию о том, как персональные данные будут использованы, что с ними будут делать и куда передаваться. Как правило, чтобы не создавать лишний документ, многие европейские коллеги объединяют его с Privacy Policy.

В Privacy Notice необходимо отразить все цели обработки персональных данных, кому они передаются с указанием названий компаний и права физических лиц, которыми они могут воспользоваться (в GDPR их предостаточно).

Privacy Policy

В Privacy Policy должна входить общая информация по обработке персональных данных, отношение к обработке данных детей и информация о том, как обрабатываются специальные категории персональных данных и в том числе биометрические данные.

Важный момент: Privacy Policy должна быть написана на «понятном языке», а это означает, что её нужно написать в доступной форме на языках тех стран, с которыми вы работаете. А если ваша целевая аудитория — это дети из Европы, то изложить документ вы должны в понятном для них языке, в том числе в виде видео, картинок или комикса, и это не шутка.

Не хотите создавать политику вручную? Предлагаем воспользоваться специальным сервисом.

Cookie Policy

Cookie Policy — это политика в отношении сбора cookie-файлов, их обработки, средств обработки и целей использования. Для упрощения подготовки данного документа можем порекомендовать готовое решение, которое позволит настроить сбор согласия на обработку cookie-файлов «под себя», а при необходимости продемонстрировать регулятору или физическому лицу, что согласие от него было получено.

Дисклеймер об обработке Cookie

Обработка cookie-файлов в рамках GDPR требует согласия. Уведомления об обработке cookie-файлов, как в России, будет недостаточно — необходимо разместить дисклеймер.

Как избежать штрафов и соответствовать GDPR

Будьте внимательны! В идеале для каждой цели обработки cookie нужно отдельное согласие.

Как можно упростить подготовку документов?

  • Необязательно создавать три отдельных документа, их можно объединить в один Privacy Policy, где будет также отражена информация по Privacy Notice и Cookie Policy.
  • Если у вас несколько сайтов и они действуют схоже в рамках обработки и сбора персональных данных, рекомендую создать единую Privacy Policy для всех сайтов, разделив в самой политике пункты для каждого из них.

Важный документ для b2b-стартапов: Data Processing Agreement — соглашение на поручение обработки персональных данных

Когда вы получаете персональные данные на обработку от юридического лица, ответственность перед законом, в случае вашего нарушения, лежит на на нём, он является контроллером (в России это операторы персональных данных). Вы же в рамках этой схемы являетесь процессором — лицом, которое обрабатывает ПД по поручению контроллера. Если что-то случилось, штрафы получит контроллер, однако в рамках договора вы должны будете ему компенсировать ущерб, если иное не прописано в документе.

GDPR не регулирует требования к языку, на котором должно быть написано DPA, поэтому будет достаточно прописать соглашение на английском языке. При этом к документу предъявляется ряд требований: об обеспечении безопасности персональных данных, возможности проведения внешнего аудита для проверки исполнения документа, предупреждении контроллера о смене субпроцессоров (ваших подрядчиков при исполнении основного договора) и уведомлении об инцидентах.

Согласие на обработку персональных данных

Это согласие нужно получить не только в случае регистрации пользователя на сайте компании, но и при подписке на рассылки, скоринг, профайлинг и так далее.

Что конкретно должно входить в согласие?

  • Информация о том, как будут обрабатываться ПД.

Помните: для каждой цели нужно отдельное согласие на обработку персональных данных. GDPR требует, чтобы согласие могло быть так же просто отозвано, как и получено.

Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.

Телеграм Коссы — здесь самый быстрый диджитал и самые честные обсуждения: @cossaru

📬 Письма Коссы — рассылка о маркетинге и бизнесе в интернете. Раз в неделю, без инфошума: cossa.pulse.is

✉️✨
Письма Коссы — лаконичная рассылка для тех, кто ценит своё время: cossa.pulse.is