Как подготовить сайт на соответствие требованиям GDPR

В зависимости от того, где разработан и функционирует сайт, может возникать или опровергаться необходимость его настройки с требованиями General Data Protection Regulation (GDPR), однако, в любом случае, стоит знать все нюансы, которые требуются европейским законодательством в сфере защиты персональных данных в процессе функционирования сайта, чтобы не быть застигнутым врасплох.

Какие сайты не находятся в «зоне влияния» GDPR?

Компании, которые не зарегистрированы на территории Европейского Союза, а также бизнес которых ориентирован исключительно на территории государств, которые не относятся к числу стран — членов ЕС, не должны адаптировать свои сайты под требования GDPR, однако, вместе с тем, такие компании должны в любом случае учитывать требования местных нормативных актов, направленных на защиту прав, интересов и персональных данных физических лиц. Прежде всего, имеются в виду компании, которые зарегистрированы и осуществляют свою деятельность через веб-сайты в сети Интернет на территории США, Китая и Сингапура. Законодательство этих стран, в контексте защиты персональных данных, является довольно жестким.

При определении того, должен ли сайт быть адаптирован под требования европейского законодательства по защите персональных данных, должны учитываться также другие особенности, такие как: целевая аудитория сайта в сети Интернет; язык веб-сайта; валюта, с помощью которой пользователи могут рассчитываться за полученные услуги или приобретенные через сайт товары. В любом случае, перед принятием ключевого решения, должен быть проведен тщательный анализ деятельности компании, которая оперирует сайтом, в части обработки ею персональных данных, а также должно быть осуществлено оценивания сайта, на предмет наличия признаков его ориентирования на европейский рынок.

Адаптация сайта под требования GDPR

Если компанией принято решение о принятии мер для возможности отвечать требованиям GDPR, то в первую очередь необходимо обратить внимание на сайт, через который осуществляется деятельность компании. В частности, должен быть проведен анализ инструментов управления персональными данными, которые содержатся в пределах функционала соответствующего сайта.

Наличие Privacy Policy
Самое главное, что должно быть размещено на веб-сайте, и собственно, что требует GDPR, то это сообщение об обработке персональных данных, адресованное физическим лицам, чьи персональные данные обрабатываются. Такие сообщения могут быть разработаны в виде так называемых Политик Приватности (Privacy Policy). На самом деле, нет никакой разницы, как этот документ будет называться или выглядеть. Самое главное, какая информация будет содержаться в этом документе.

Если говорить о содержании Privacy Policy, то прежде всего, компания должна разместить в ней свое название и контактные данные, а также, при наличии, контактные данные своего представителя и офицера по защите данных (DPO). Вместе с этими данными, должна быть размещена информация о целях обработки, законные основания обработки, права субъектов персональных данных, которыми они могут воспользоваться в соответствии с GDPR, а также информация о возможности отозвать свое согласие на обработку персональных данных и подать жалобу в компетентные европейские контролирующие органы. Это лишь небольшая часть информации, которая должна быть размещена в Privacy Policy. Индивидуализация редакции каждой из Политик Приватности зависит исключительно от специфики бизнеса, который осуществляет компания, в частности через свой сайт.

Privacy Policy должна быть размещена в доступном месте, а ссылку на нее должны предоставляться пользователям сайта при первой же возможности, в течение всей сессии использования сайта. Вместе с тем, предоставление ссылок не будет считаться обязательным, а рассматривается как настоятельная рекомендация European Data Protection Board (EDPB) — органа, который уполномочен давать разъяснения по имплементации и практического использования норм GDPR.

Наличие Cookie Policy
На ряду с Privacy Policy, особое внимание нужно уделить также сбору и использованию файлов cookies, в частности, возможности физическим лицам, выполняющим роль пользователей сайта, осуществлять эффективное управление такими файлами cookies. Говоря об использовании cookies, нужно заметить, что использование таких файлов также регулируется и другими документами, принятыми в Европейском Союзе, например, ePrivacy Directive 2002/58 / EC.

Как показывают последние исследования, большинство компаний, подпадающих под требования GDPR, не обеспечивают через свои сайты надлежащее извещение своих пользователей об использовании ими файлов cookies. Например, должным образом не осуществляется получение согласия от пользователей на использование сайтом файлов cookies, а также не предоставляется эффективная возможность управления (отключение / подключение) файлов cookies через сайт. Именно в связи с такими обстоятельствами, значительная часть внимания и усилий должно быть уделено разработке и корректном размещению Cookie Policy.

Нужно обратить внимание и на то, что в процессе разработки Cookie Policy, параллельно должны разрабатываться и имплементироваться технические мероприятия, которые бы обеспечили надлежащее техническое управление файлами cookies.

Возможность получения согласия на обработку персональных данных и файлов cookies.

Разработав и разместив Privacy Policy и Cookie Policy, компания сделает значительный шаг к возможности отвечать требованиям GDPR, однако, также необходимо предусмотреть возможность получения согласия на обработку персональных данных и файлов cookies, где это не обходимо.

Как показывает практика, для возможности действовать в рамках GDPR, согласие на обработку персональных данных должно быть подучено в результате прямого действия субъекта данных. Имеется в виду, что размещение чек бокса на вашем сайте, с возможностью для физического лица проставить в нем отметку, является достаточным для того, чтобы требование о получении согласия была реализована.

Если же говорить о получении согласия на обработку файлов cookies, то большинство веб-сайтов в сети Интернет используют практику размещения всплывающих окон, с возможностью их игнорирование, при этом, такое игнорирование никоим образом не влияет на возможность использования компанией файлов cookies. Следует подчеркнуть, что пока такая практика не соответствует требованиям GDPR, о чем свидетельствует решение Европейского Суда Справедливости (Court of Justice of the European Union), принятое в октябре 2019 года.

Технические мероприятия, которые обеспечат GDPR compliance.

Адаптируя сайт под требования европейского законодательства, в том числе GDPR, компании необходимо учесть также возможность адаптации технической части сайта.

Во-первых, необходимо корректно настроить возможность ведения реестров полученных согласий на обработку персональных данных и файлов cookies, а также других логов, связанных с использованием, обработкой и передачей персональных данных и файлов cookies третьим лицам.

Во-вторых, по требованию GDPR, все персональные данные должны храниться структурировано, с возможностью их разделения, при необходимости, по категориям, быть доступными для субъекта данных по его требованию.

Например, в случае, когда субъект данных посылает запрос на реализацию своего права на перемещение данных (right to data portability), компания должна оперативно предоставить четкую структурированную форму со всеми сведениями о персональных данных этого субъекта, которые находятся в распоряжении компании, а также передать эти данные другой компании, которую укажет субъект данных.

В продолжение темы реализации прав субъектами данных, в рамках функционала сайта, необходимо реализовать возможность представления пользователями любых запросов и жалоб по обработке их персональных данных, в частности жалоб о невозможности реализации ими своих прав, определенных GDPR.

Что нужно запомнить, подготавливая сайт к требованиям GDPR

Самое главное, о чем следует помнить, это то, что ваш сайт всегда будет под пристальным вниманием европейских контролирующих органов, если все же будет принято решение о том, что ваша компания должна работать в соответствии с требованиями GDPR. Именно поэтому, прежде всего, необходимо обеспечить наличие всех публичных элементов на веб-сайте, которые демонстрировали ваше соответствие требованиям GDPR и вместе с тем, параллельно осуществлять разработку и внедрение всех других организационных и технических мероприятий, которые бы обеспечили полное соответствие требованиям европейского законодательства в сфере защиты персональных данных.

Реализацию таких технических и организационных мероприятий нужно доверять специалисту, которые знают и имеют практический опыт в реализации проектов, связанных с GDPR. Наши специалисты с радостью готовы вам помочь при решении ваших вопросов.