ЯК ПІДГОТУВАТИ ВЕБ-САЙТ НА ВІДПОВІДНІСТЬ ВИМОГАМ GDPR

04 Жовтня 2019

В залежності від того, під який бізнес розроблений та функціонує веб-сайт, може виникати або спростовуватися необхідність його налаштування до вимог General Data Protection Regulation (GDPR). однак, в будь-якому випадку, варто  знати всі нюанси, які вимагаються Європеськи законодавством у сфері захисту персональних даних щодо створюваного вами веб-сайту, щоб ви не були захоплені зненацька.

ЯКІ ВЕБ-САЙТИ НЕ ПЕРЕБУВАЮТЬ В «ЗОНІ ВПЛИВУ» GDPR ?

Компанії, які не зареєстровані на території Європейського Союзу, а також бізнес яких спрямований виключно на території держав, які не відносяться до числа країн – членів ЄС, не повинні адаптувати свої веб-сайти під вимоги GDPR, однак, разом з тим, такі компанії повинні в будь-якому випадку враховувати вимоги місцевих нормативних актів, спрямованих на захист прав, інтересів та персональних даних фізичних осіб. Насамперед, маються на увазі компанії, які зареєстровані та здійснюють свою діяльність через веб-сайти в мережі Інтернет на території США, Китаю та Сінгапуру. Законодавство цих країн, в контексті захисту персональних даних, є доволі жорстким.

При визначенні того, чи повинен веб-сайт бути адаптований під вимоги Європейського законодавства щодо захисту персональних даних, то в такому випадку повинні враховуватися також інші особливості, такі як: цільова аудиторія веб-сайту в мережі Інтернет;  мова веб-сайту; валюта, з допомогою якої користувачі можуть розраховуватися за отримані послуги або за придбані через веб-сайт товари. В будь-якому випадку, перед прийняттям ключового рішення, повинен бути проведений ретельний аналіз діяльності компанії, яка оперує веб-сайтом, в частині обробки нею персональних даних, а також, повинно бути здійснене оцінювання веб-сайту, на предмет наявності ознак його орієнтування на європейський ринок.

 

АДАПТАЦІЯ ВЕБ-САЙТУ ПІД ВИМОГИ GDPR

Якщо компанією прийнято рішення стосовно вжиття заходів для можливості відповідати вимогам GDPR, то в першу чергу, необхідно звернути увагу на веб-сайт, через який здійснюється діяльність компанії, зокрема повинен бути проведений аналіз інструментів управління персональними даними, які містяться в межах функціоналу відповідного веб-сайту.

 

Наявність Privacy Policy
Найголовніше, що повинно бути розміщено на веб-сайті, і що власне вимагає GDPR, то це повідомлення про обробку персональних даних, адресоване фізичним особам, чиї персональні дані обробляються. Такі повідомлення можуть бути розроблені у вигляді так званих Політик Приватності (Privacy Policy). Насправді, не має жодної різниці, як цей документ буде називатися або виглядати. Найголовніше те, яка інформація буде міститися в цьому документі.

Якщо говорити про зміст Privacy Policy, то перш за все, компанія має розмістити в ній свою назву та контактні дані, також, при наявності, контактні дані свого представника та офіцера із захисту даних (DPO). Разом з цими даними, повинна бути розміщена інформація про цілі обробки, законні підстави обробки, права суб’єктів персональних даних, якими вони можуть скористатися у відповідності до GDPR, а також інформація про можливість відкликати свою згоду на обробку персональних даних та подати скаргу до компетентних  європейських контролюючих органів. Це лише невелика частина інформації, яка повинна бути розміщена в Privacy Policy. Індивідуалізація редакції кожної з Політик Приватності залежить виключно від специфіки бізнесу, який здійснює компанія, зокрема через свій веб-сайт.

Privacy Policy повинна бути розміщена в легкодоступному місці, а посилання на неї повинні надаватися користувачам веб-сайту при першій ліпшій нагоді, протягом всієї сесії використання веб-сайту. Разом з цим, надання посилань не буде вважатися обов’язковим, а розглядається як наполеглива рекомендація European Data Protection Board (EDPB) – органу, який уповноважений надавати роз’яснення щодо імплементації та практичного використання норм GDPR.

 

Наявність Cookie Policy
На ряду з Privacy Policy, не аби яку увагу потрібно приділити також збору та використанню файлів cookies, зокрема, можливості фізичним особам, які виконують роль користувачів веб-сайту, здійснювати ефективне управління такими файлами cookies. Говорячи про використання cookies, потрібно зауважити, що використання таких файлів також регулюється і іншими документами, прийнятими в Європейському Союзі, наприклад, ePrivacy Directive 2002/58/EC.

Як показують останні дослідження, більшість компаній, які підпадають під вимоги GDPR, не забезпечують через свої веб-сайти належне повідомлення своїх користувачів про використання ними файлів cookies. Наприклад, належним чином не отримується згода від користувачів на використання веб-сайтом файлів cookies, а також не надається ефективна можливість управління (відключення/підключення) файлами cookies через веб-сайт. Саме у зв’язку з такими обставинами, значна частина уваги та зусиль повинна бути приділена розробці та коректному розміщенню Cookie Policy.

Потрібно звернути увагу та те, що в процесі розробки Cookie Policy, паралельно повинні розроблятися та імплементуватися технічні заходи, які б забезпечили належне технічне управління файлами cookies.

Можливість отримання згоди на обробку персональних даних та файлів cookies.
Розробивши та розмістивши Privacy Policy та Cookie Policy, компанія зробить значний крок до можливості відповідати вимогам GDPR, однак, також необхідно передбачити можливість отримання згоди на обробку персональних даних та файлів cookies, де це не обхідно.

Як показує практика, для можливості діяти в рамках GDPR, згода на обробку персональних даних повинна отримуватися в результаті прямої дії суб’єкта даних. Мається на увазі, що розміщення чек боксу на вашому сайті, з можливістю для фізичної особи проставити в ньому  відмітку, є достатнім для того, щоб вимога про отримання згоди була реалізована.

Якщо ж говорити про отримання згоди на обробку файлів cookies, то більшість веб-сайтів в мережі Інтернет використовують практику розміщення спливаючих вікон, з можливістю їхнього ігнорування, при цьому, таке ігнорування ніяким чином не впливає на можливість використання компанією файлів cookies. Варто підкреслити, що наразі така практика не відповідає вимогам GDPR, про що свідчить рішення Європейського Суду Справедливості (Court of Justice of the European Union), прийняте в жовтні 2019 року.

Технічні заходи, які забезпечать GDPR compliance.
Адаптуючи веб-сайт під вимоги Європейського законодавства, в тому числі GDPR, компанії необхідно врахувати також можливість адаптації технічної частини веб-сайту. По-перше, необхідно коректно налаштувати можливість ведення реєстрів отриманих згод на обробку персональних даних та файлів cookies, а також інших логів, пов’язаних з використанням, обробкою та передачею персональних даних та файлів cookies третім особам.

На вимогу GDPR, всі персональні дані повинні зберігатися структуровано, з можливістю їх розділення, при необхідності, по категоріям, бути доступними, за законною вимогою суб’єкта даних. Наприклад, у випадку, коли суб’єкт даних надсилає запит на реалізацію свого права на переміщення даних (right to data portability), компанія повинна оперативно надати чітку структуровану форму зі всіма відомостями про персональні дані про цього суб’єкта, які знаходяться в розпорядженні компанії, а також передати ці дані іншій компанії, яку зазначить суб’єкт даних.

В продовження теми реалізації прав суб’єктами даних, в рамках функціоналу веб-сайту, необхідно реалізувати можливість подання користувачами будь-яких запитів та скарг щодо обробки їхніх персональних даних, зокрема скарг щодо неможливості реалізації ними своїх прав, визначених GDPR.

 

ЩО ПОТРІБНО ЗАПАМ’ЯТАТИ, ГОТУЮЧИ САЙТ ДО ВИМОГ GDPR

Найголовніше, про що варто пам’ятати, це те, що ваш веб-сайт завжди буде під пильною увагою європейських контролюючих органів, якщо все ж таки буде прийнято рішення про те, що ваша компанія повинна працювати у відповідності до вимог GDPR. Саме тому, перш за все, необхідно забезпечити наявність всіх публічних елементів на веб-сайті, які б демонстрували вашу відповідність вимогам GDPR і разом з тим, паралельно здійснювати розробку та впровадження всіх інших організаційних та технічних заходів, які б забезпечили повну відповідність вимогам європейського законодавства в сфері захисту персональних даних.

Реалізацію таких технічних та організаційних заходів потрібно довіряти спеціаліста, які знаються та мають практичний досвід в реалізації проектів, пов’язаних з GDPR. Наші спеціалісти з радістю готові вам допомогти при вирішенні ваших питань.