GDPR ДЛЯ ІНТЕРНЕТ-МАГАЗИНУ

08 Жовтня 2019

«Займатися Інтернет бізнесом досить круто та прибутково». Ця фраза звучить доволі не погано, однак перед тим як запустити свою справу у всесвітній мережі Інтернет, необхідно зважити дуже багато нюансів, які можуть стати у нас на шляху. Так, наприклад, один із нюансів, з яким може зіштовхнутися власник бізнесу, стосується General Data Protection Regulation (GDPR), набравшого сили в 2018 році, який вже навів страху на багатьох успішних комерсантів.

ІНТЕРНЕТ БІЗНЕС ТА ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

General Data Protection Regulation (GDPR) є доволі специфічним регулюванням та ставить компанії, які орієнтуються на роботу з Європейським ринком, в рамки, окреслені вимогами захисту персональних даних фізичних осіб, які перебувають на території Європейського Союзу. Цей документ слід вважати новаторським у цій сфері, адже він застосовується як до електронної комерції, так і до офлайн бізнесу на зовсім новому рівні.

Якщо говорити про Інтернет-магазин, який дає можливість особам, які перебувають на території ЄС, придбавати через веб-сайт такого магазину товари та послуги, то в такому випадку компанія-власник Інтернет-магазину повинна адаптувати його діяльність до вимог GDPR. При цьому, у відповідності до положень GDPR, абсолютно не важливо, чи отримує компанія-власниця плату за такі товари та послуги чи ні.

Потрібно мати на увазі, що, коли компанія, яка володіє Інтернет-магазином, зареєстрована на території Європейського Союзу, то такій компанії автоматично необхідно адаптувати свій бізнес під вимоги GDPR, не зважаючи на те, на який ринок орієнтований Інтернет-магазин.

ЯКІ ПУБЛІЧНІ ДОКУМЕНТИ ПОТРІБНО МАТИ ІНТЕРНЕТ-МАГАЗИНУ

Виходячи зі звичайної практики, потрібно сказати, що якщо ви маєте Інтернет-магазин, то скоріш за все ви розробили та адаптували під такий магазин веб-сайт. Деякі компанії, в надії уникнути зустрічі з вимогами GDPR, реєструють домені імена на хостингах в країнах Азії або Африки, однак, загальне правило, про яке було згадано вище, застосовується до будь-якого веб-сайту, що орієнтований на ЄС.

Отже, якщо ми говоримо про Інтернет-магазин, орієнтований на Європу, то для такого магазину, перш за все потрібна наявність якісних публічних документів, які регламентуватимуть роботу магазину та окреслюватимуть основні аспекти захисту даних, зокрема і персональних. Основними такими документами є:

· Terms of service

· Privacy Policy

· Cookies Policy

Terms of service. З допомогою Terms of service компанія зможе чітко окреслити спектр товарів, які реалізуються або послуг, що надаються через Інтернет-магазин. Разом з цим, для власників бізнесу буде чітка можливість зрозуміти, які умови потрібно ставити перед покупцем, для можливості скористатися Інтернет-магазином. Наприклад, чи потрібно реєструвати свій власний кабінет чи ні, або чи потрібно проходити додаткову верифікацію, з допомогою телефону.

Саме такий документ як Terms of service повинен визначати межі втручання компанії в особисте життя покупців, а також об’єми та специфіку обробки персональних даних покупців. Наявність такого документу обов’язкова не лише в контексті захисту персональних даних, а також і для можливості відповідати всім іншим вимогам законодавства, яке застосовується до такого типу бізнесу.

Privacy Policy. Визначившись з об’ємами та природою персональних даних, які необхідні компанії для забезпечення належного функціонування Інтернет-магазину, компанія повинна подбати про наявність Privacy Policy. З допомогою цього документу, компанія зможе чітко окреслити цілі обробки персональних даних, а також всі інші процеси, які здійснюватимуться з персональними даними з моменту їх отримання від покупця і до моменту їхнього видалення. З допомогою Privacy Policy, компанія зможе донести покупцям всю необхідну інформацію про обробку персональних даних, які вони надали компанії в процесі користування Інтернет-магазином та веб-сайтом, на якому цей Інтернет-магазин розміщений. Вимога інформування покупців передбачена статтею 13 та 14 General Data Protection Regulation. Також GDPR передбачає необхідність комунікації компанії-власниці Інтернет-магазину зі своїми покупцями в контексті обробки їхніх персональних даних, зокрема через Privacy Policy.

Cookies Policy. Зачіпаючи питання використання файлів cookie, потрібно зазначити, що такі файли збираються автоматично через браузер, який використовує покупець, користуючись веб-сайтом, на якому розміщено Інтернет-магазин. В Cookies Policy повинна міститися вся необхідна інформація, яка б максимально чітко описувала всі процеси в рамках використання компанією файлів cookie. Також, Cookies Policy повинна містити інформацію про можливість управління файлами cookie, які компанія може використати для покращення діяльності Інтернет-магазину, зокрема, про можливість відмовитися від їхнього використання компанією.

ЯКІ ВНУТРІШНІ ДОКУМЕНТИ ПОТРІБНО МАТИ ІНТЕРНЕТ-МАГАЗИНУ

Облаштувавши зовнішню сторону Інтернет-магазину, потрібно перейти до налаштування «внутрішньої кухні». Мова йде про розробку внутрішніх документів, які б зняли питання про відповідність вимогам GDPR раз і назавжди. Такі документи повинні:

· Регламентувати порядок обробки персональних даних в середині компанії, розподіляючи таку обробку як в рамках кожного окремого підрозділу компанії, так і в межах виконання функціональних обов’язків окремим працівником;

· Окреслити основні вектори взаємодії з контрагентами, в тому числі з тими, що виступають підрядниками компанії, яким ви можете передавати персональні дані для подальшого їхнього опрацювання;

· Упорядковувати та/або визначати технічні заходи, які потрібно розробити для можливості забезпечення функціоналу веб-сайту, щоб працювати у відповідності з вимогами GDPR;

· Регламентувати ступінь обізнаності персоналу компанії та всіх інших суб’єктів, які залучаються в процес обробки персональних даних, зокрема, шляхом проведення додаткових навчань та курсів з підвищення рівня усвідомлення необхідності захисту персональних даних.

ЯКІ ТЕХНІЧНІ ЗАХОДИ ПОТРІБНО МАТИ ІНТЕРНЕТ-МАГАЗИНУ

Залучаючи спеціалістів по приватності, ви повинні пам’ятати, що вони ділять на дві категорії: (і) на тих, які забезпечують реалізацію організаційної частини заходів, пов’язаних з GDPR (наприклад: розробка документів, повідомлень та документарних реєстрів); (іі) на тих, які орієнтовані на технічні аспекти питання, тобто тих людей, які розроблюють та вживлюють технічні аспекти проекту для відповідності вимогам GDPR. Залучені технічні спеціалісти повинні здійснити відповідне налаштування веб-сайту, через який здійснюється робота Інтернет-магазину, враховуючи основні вимоги GDPR та інших застосовних нормативних актів у сфері захисту даних.

ВИСНОВОК ТА ЗАСТЕРЕЖЕННЯ

Якщо ви маєте Інтернет-магазин, який зареєстрований в Україні або в будь-якій іншій країні, не відносьтеся легковажно до питань захисту персональних даних, адже рано чи пізно, хвиля штрафів та адміністративної відповідальності, яка котиться Європою, може дістатися і до вас. Окрім всього іншого, тенденція захисту персональних даних набирає обертів по всьому світу і в кожній окремо взятій країні. Незабаром ми зможемо відчути вплив GDPR і на українське законодавство.

Саме тому, підготуйте ваш Інтернет-магазин вже зараз, і в майбутньому вам не буде потрібно піднімати архіви, щоб закрити питання приватності заднім числом.

Дотримуйтеся GDPR і ваш бізнес буде успішним.