Что такое DSGVO

Общий регламент о защите персональных данных (DSGVO). Что нового?

25 мая 2018 года – день, который владельцы интернет-сайтов могли бы отметить в календаре красным цветом. Именно с этого момента на территории всех стран, входящих в ЕС, вступил в силу Общий регламент о защите персональных данных (DSGVO). Его последствия будут иметь значение не только для онлайн-торговли. Главным образом, изменения связаны с положением о конфиденциальности. Теперь оно должно присутствовать даже на любительских сайтах. В противном случае могут быть применены юридические меры взыскания: от штрафа до возмещения ущерба. У большинства сайтов возникнет необходимость привести свой внешний вид в соответствии с положениями Общего регламента, чтобы мирно существовать дальше.

Персональные данные. Что под этим понимается?

Федеральный закон о защите персональных данных (BDSG) в Параграфе 3 дает такое определение: «Отдельные данные, относящиеся к личности или имуществу идентифицируемого физического лица». Прежде всего, речь идет об имени, отчестве, фамилии, адресах, дате рождения, генетической информации, а также о любых сведениях, которые можно использовать для идентификации личности. Например, регистрационный знак транспортного средства или номер счета. Что касается адреса электронной почты, то он относится к персональным данным, только если содержит фамилию и имя лица. Данные, которые не позволяют идентифицировать личность, в том числе шифры и коды, не являются персональными.

В качестве персональных данных можно рассматривать IP-адреса и информацию о посещении страниц в Интернете.

Каким элементам сайта необходимо уделить внимание?

Меры по приведению интернет-страницы в соответствие с нормами Общего Регламента будут зависеть от того, обрабатываются ли на ней персональные данные и в каком объеме. Как правило, обработка данных может осуществляться следующим образом:

·      Файлы регистрации и Cookies. Многие веб-серверы и CMS-решения используют собственные файлы регистрации и Cookies, информация из которых позволяет идентифицировать то или иное лицо. В частности вокруг сохранения IP-адресов ведется много споров. Чтобы избежать сомнительных ситуаций, рекомендуется сохранять IP-адреса анонимно, то есть заменять последние несколько цифр на нули.

·      Веб-анализ. Сюда относится оценка трафика (количество посетителей, их местонахождение и т. д.) с помощью специальных инструментов, например, Google Analytics.

·      Возможности контактирования. Они могут быть реализованы с помощью электронной почты или контактной формы.

·      Социальные медиа. Привязка к плагинам в социальных медиа, например, в Facebook, может стать причиной передачи персональных данных.

·      Рассылки. Заявка на рассылку, а также ее направление подразумевает передачу персональных данных.

Основной смысл Общего Регламента сводится к тому, что посетитель должен быть предупрежден, когда он входит в ту область страницы, где оставленная им информация может быть обработана. Для этого применяются следующие меры.

№1. Положение о конфиденциальности

Если сайт имеет хотя бы минимальное общественное значение, то положение о конфиденциальности становится его обязательным элементом. Информация о способах, объемах и целях сбора, обработки и использования персональных данных должна в доступной форме быть донесена до пользователей. Если планируется передача данных, то об этом должно быть сказано дополнительно.

Наличие на странице файлов регистрации и Cookies также необходимо упомянуть в положении. Отражается в нем и работа с Google Analytics, то есть указывается, какие именно данные привлекаются для анализа. Информация об использовании плагинов для привязки к социальным медиа тоже становится одним из пунктов положения.

В положении о конфиденциальности обязательно указываются контактные данные лица, к которому можно будет обратиться для удаления или блокировки переданной информации.

В ряде случаев это может быть лицо, специально уполномоченное на обработку данных. Подобная должность вводится обязательно, если в процессе задействовано более 9 человек. При этом к указанному специалисту предъявляются соответствующие профессиональные требования и действуют некоторые ограничения. Например, члены руководства, адвокаты и привлеченные третьи лица не могут исполнять обязанности специалиста, уполномоченного на обработку данных.

Положение о конфиденциальности следует располагать «под рукой» у посетителей, чтобы они всегда имели возможность перейти по соответствующей ссылке для ознакомления с ним. В качестве названия используется устойчивое словосочетание «Privacy Policy» или однозначное «Datenschutz»/«Datenschutzerklärung».

Статья 13 Пункт 1 Общего регламента о защите персональных данных (DSGVO) содержит подробный перечень тех пунктов, которые должны быть освещены в положении о конфиденциальности. Данный перечень заменяет прежний, изложенный в Параграфе 13 Пункт 1 Закона о средствах аудио-визуальной информации (TMG).

№2. Указание на использование Cookies.

Такое указание можно все чаще увидеть при посещении той или иной веб-страницы. В идеале оно действительно должно присутствовать на любом сайте, где используются Cookies. В качестве минимальной меры это указание нужно вставить в положение о конфиденциальности.

№3. Рассылка с решением opt-in. Это профессиональная технология, которая позволяет при осуществлении рассылки обеспечить надежную защиту персональных данных.

№ 4. Протокол операций. Рекомендуется документировать любые действия, связанные с обработкой или использование персональных данных.

Итак, новый закон обязывает владельцев интернет-сайтов обратить пристальное внимание на процесс обработки персональных данных. Все нюансы такой обработки должны быть прописаны в положении о конфиденциальности, которое теперь обязательно присутствует почти на каждой интернет-странице. Причем ссылку нельзя разместить в контактах, данных о компании и т. д. Положение о конфиденциальности становится новым важным элементом сайта. В противном случае могут быть наложены очень высокие штрафы.