Обязателен ли общий регламент по защите данных gdpr для применения в рф сдо ржд ответы

На кого распространяются положения Общего регламента по защите — Ответ СДО РЖД

На кого распространяются положения Общего регламента по защите данных (GDPR)? (Выберите все правильные ответы)Физическое или юридическое лицо, находящееся на территории ЕСВладельца веб-сайта на языке хотя бы одной страны–члена Евросоюза, оказывающего услуги или предлагающего товары субъектам стран–членов ЕвросоюзаГражданина страны–члена Евросоюза, который находится и получает услуги на территории Российской Федерации

  • GDPR  (General Data Protection Regulation)
  • Основные цели GDPR
  • Основные термины
  • Права граждан
  • Персональные данные
  • Принципы обработки данных по GDPR
  • Сфера действия GDPR
  • Соответствие требованиям GDPR
  • Несоблюдение норм GDPR
  • Утечка персональных данных

Перевод GDPR здесь GDPR Русская версия

GDPR переводится как Общий/Генеральный регламент по защите персональных данных.

25 мая 2018 года во всех государствах-членах Европейского Союза был введен новый закон о защите персональных данных. То, что часто называют Общим регламентом о защите данных ЕС, на самом деле является серией директив ЕС:

  • Регламент (EU) 2016/679  (Русская версия, English version)
  • Директива (EU) 2016/680 (Русская версия, English version)

История принятия GDPR

  • защита персональных данных
  • защита прав и свобод людей в защите их данных
  • ограничение перемещения персональных данных в рамках Евросоюза
  • далее

Основные термины

  • Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
  • Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
  • Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
  • DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Полный список.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также  дает гражданам больше контроля над своими личными данными:

  • более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
  • право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
  • право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
  • право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

Кроме того GDPR предоставляет простые и рабочие инструменты гражданам ЕС для реализации своих прав, упрощая механизмы обращения в надзорные органы, например, жалобы в электронном виде.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

  • имя, фамилия
  • номер паспорта или ИД удостоверения
  • дата и место рождения
  • место проживания, регистрация, прописка
  • е-мейл, телефон, или другая контактная информация
  • ИП-адрес и патаметры соединения
  • дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

  • раса и национальность
  • политические взгляды
  • вероисповедание
  • сексуальная ориентация
  • биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
  • данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
  • генетические данные  – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или  юридическими лицами,  государственными органами и  другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

Чтобы проверить соответствие вашего проекта требованиям GDPR следует:

  • Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
  • Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
  • Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома.  Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
  • Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
  • Ведение необходимой отчетности, согласно положениям GDPR.

Подробнее о соответствии GDPR.

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

Соглашение об обработке данныхЗапрос на удаление данных

Суть регламента, советы по внедрению + шаблоны документов

С мая 2018 года в Евросоюзе действует «Общий регламент о защите данных», или GDPR. Закон актуален для любых операторов, ведущих деятельность в странах Евросоюза. Российские предприниматели должны учитывать, что соблюдение отечественного законодательства не означает автоматического соответствия нормам GDPR. Мы, Open Academy, решили рассказать об уровне влияния GDPR на российские компании и о том, кому и как следует соблюдать нормы данного закона.

Читайте также:  Как следует планировать использование углекислотных огнетушителей для тушения пожара?

Что такое GDPR

General Data Protection Regulation (Общий регламент о защите данных) — закон, принятый Европейским Союзом с целью урегулирования и обеспечения прозрачности процесса обработки персональных данных. Он содержит требования к обработке, нормы о передаче персональных данных, стандартах защиты и штрафах за нарушение правовых норм.

Под персональными данными GDPR подразумевает любые сведения, позволяющие идентифицировать пользователя. Например:

  • имя и фамилия;
  • данные документа, удостоверяющего личность;
  • дата и место рождения;
  • место проживания/регистрации;
  • контактные данные;

Отдельно классифицируют «особо охраняемые данные». К ним относят такие критерии, как:

  • национальная и расовая принадлежность;
  • вероисповедание;
  • политические взгляды;
  • данные о здоровье (медицинские заключения, результаты анализов и т. п.);
  • биометрические данные (запись голоса, отпечатки пальца и иные физические, физиологические или поведенческие признаки, пригодные для идентификации субъекта);
  • сексуальная ориентация и т. д.

В соответствии с GDPR с информацией работают два типа операторов — обработчики и контролёры. Первые непосредственно обрабатывают данные, вторые — выступают источником данных и проверяют их корректность. При этом компания вправе одномоментно быть и обработчиком, и контролёром. К примеру, обрабатывать данные клиентов и мониторить обработку данных своих сотрудников.

Что важно знать об отличиях российских и западных клиентов

Узнаете, чем отличается российский клиент от западного. Поймёте, почему нужно адаптировать западные технологии продаж под российский рынок.

Обязателен ли общий регламент по защите данных gdpr для применения в рф сдо ржд ответы

Основные идеи и цели регламента

Основные идеи регламента состоят в защите персональных данных, обеспечении прав и свобод людей в отношении защиты данных, ограничение свободного перемещения данных в рамках подконтрольной территории.

Среди основных целей закона можно выделить следующие:

  • внедрить современные стандарты защиты данных;
  • предоставить людям инструменты контроля над персональными данными;
  • развить цифровое пространство по защите данных;
  • обеспечить строго соблюдение утверждённых норм всеми участниками;
  • создать правовую базу для международной передачи персональных данных.
  • GDPR предусматривает, что операторы обязаны получать согласие на обработку данных, а пользователи вправе получать полную информацию о содержании данных и условиях обработки. Причём субъекты могут потребовать удаления своих данных, даже без объяснения причин, и компания обязана исполнить требование.

Что и кто попадает под действие GDPR

Действие GDPR распространяется на полностью либо частично автоматизированную обработку персональных данных граждан Евросоюза, как на территории ЕС, так и за его пределами. Соблюдать закон обязаны физические и юридические лица, организации, государственные структуры и иные институты. Любая деятельность, даже некоммерческая и безвозмездная, связанная с обработкой данной, попадает под влияние регламента.

Например, если сайт, доступный для граждан ЕС, собирает Cookies, то он попадает под действие закона. Когда в каком-либо сервисе зарегистрировался гражданин ЕС и оставил свои персональные данные, тоже требуется соблюдение GDPR.

Как GDPR влияет на российский бизнес

Частым заблуждением предпринимателей становится предположение, что соблюдения российского права вполне достаточно. В РФ действуют нормы, схожие с GDPR — ФЗ № 152 от 27. 2006 «О персональных данных». Его цель также состоит в защите персональных данных при обработке.

Основное отличие ФЗ №152 в том, что он запрещает передачу данных другому оператору без согласия владельца. Он не требует уведомления пользователей и надзорных органов об утечке данных, что обязательно по стандартам GDPR. Но самое главное — он действителен только для операторов в пределах РФ.

GDPR актуален для российской организации, если она работает на территории ЕС и/или использует персональные данные европейских граждан. То есть, фактическое местонахождение организации и её юрисдикция значения не имеют.

К примеру, небольшая российская компания базируется в РФ и соблюдает российское законодательство. Она не имеет европейских филиалов, но в режиме онлайн оказывает услуги гражданам из ЕС. Соответственно, эта компания обязана соблюдать GDPR.

Чем грозит несоблюдение GDPR российским компаниям

Игнорирование норм GDPR может обернуться последствиями различного характера:

  • Экономические. За несоблюдение GDPR органы власти могут наложить на компании-нарушителей штрафы размером до 4 % от годового оборота. При этом сумма взыскания варьируется в зависимости от тяжести нарушения, его продолжительности и последствий. К примеру, французские власти присудили компании Google штраф в размере 50 млн евро за то, что пользователей мобильного приложения не уведомляли должным образом о порядке обращения с их персональными данными. Дополнительные финансовые последствия для нарушителей могут быть выражены исками от непосредственных владельцев данных.
  • Репутационные. Нежелание соблюдать GDPR может стать причиной негативного мнения о компании. Люди будут опасаться взаимодействия с компанией из-за отсутствия защиты данных. Партнёры будут избегать сотрудничества из-за плохой репутации.
  • Коммерческие. Если выяснится, что компания не соблюдает GDPR, клиенты могут уйти к конкурентам. Заключать договоры с другими компаниями будет сложнее. Всё это сильно повлияет на доходы.

Может показаться, что российскому бизнесу бояться нечего: где Россия, а где та Европа. Но действие регламента о защите данных экстерриториально. Если компания работает на европейском рынке, но зарегистрирована в России, её, может быть, и не накажут напрямую. Однако есть и иные способы влияния, помимо штрафов. Например:

  • ограничат доступ к сайтам на территории ЕС;
  • примут меры в отношении гендиректора (запрет на въезд и т. п.);
  • наложат арест на зарубежные счета и прочее.

Кроме того, есть риски и в работе с российскими партнёрами. К примеру, компания-партнёр активно сотрудничает с европейцами и ей важно поддержание хорошей репутации относительно защиты данных. Вряд ли такой компании нужны деловые отношения с сомнительными партнёрами.

В целом, исполнение GDPR полезно. Бизнес, соблюдающий регламент, соответствует большинству международных требований и ему гораздо проще выйти на западные рынки.

С чего начать внедрение GDPR в своём бизнесе

В первую очередь внимательно изучите регламент и выделите моменты, которые могут относиться к вашему бизнесу. Далее следует провести детальный аудит процессов, связанных с данными:

  • Установите, какие персональные данные собирает ваш проект, где и как они хранятся.
  • Выясните, как, когда, кем и зачем обрабатывают персональные данные.
  • Разработайте механизмы защиты данных. Обеспечьте защиту от взлома. Пропишите политику доступа к обработке данных. Ограничьте круг лиц, которые вправе работать с данными.
  • Назначьте ответственного сотрудника по защите персональных данных. В идеале он должен хорошо разбираться в GDPR и его применении на практике.

Что нужно сделать для соблюдения GDPR

На самом деле чтобы соблюсти требования GDPR, нужно просто уважать права пользователей. Но среди прочих дел можно и забыть о чём-то важном. Поэтому представляем вам тот минимум, который надлежит выполнить:

  • Разместите на своём ресурсе информацию о сборе персональных данных. Объясните, что и зачем вы собираете. Любому новому пользователю показывайте уведомление о сборе данных и предлагайте ознакомиться с политикой. Например, можно сделать это посредством всплывающего окна.
  • Спрашивайте пользователей о согласии на обработку данных. Желательно получать активное согласие, когда пользователь совершает действие для подтверждения. К примеру, проставляет галочку в чек-боксе «Я согласен с условиями обработки данных».
  • Применяйте double opt-in (двойное подтверждение). Это пункт касается email-рассылки. Перед началом отправки рассылки новому подписчику попросите его подтвердить согласие путём перехода по ссылке в приветственном письме.
  • По первому требованию пользователя предоставляйте и удаляйте данные. Помните, что владелец данных не обязан объяснять причину, достаточно его пожелания.
  • Уведомляйте об утечке данных владельцев и органы контроля. Если произошла утечка данных, вне зависимости от причин, уведомите об этом пользователей. И непременно известите надзорные органы, одновременно предоставив план мер по исправлению ситуации.
Читайте также:  При осмотре подвижного состава особое внимание необходимо обращать на ответы сдо ржд

Применение GDPR для российского бизнеса может и не потребоваться, если компания не планирует выход на европейские рынки или работу с гражданами ЕС. Однако добровольное соблюдение регламента положительно повлияет на репутацию, повысит прозрачность деятельности для клиентов и партнёров, увеличит уровень лояльности и доверия со стороны общества.

Ввод номера пути может осуществляться как на стоянкахВвод поездных характеристик, выбор режима движенияКЛУБ-УП — система обеспечения безопасности, унифицированнаяПриступать к работам вблизи устройств контактной сетиРаботникам запрещается переходить или перебегать железнодорожныеВзрыв петарды требует: Немедленной остановки поездаЗвуковые сигналы выражаются числом и сочетанием звуковОбо всех обнаруженных неисправностях КЛУБ-УП машинистПоездной режим движения «П, Т» используется для передвиженияДля ввода координаты и характера ее изменения машинист

  • Что такое GDPR?
  • Кто должен выполнять требования GDPR?
  • Чем отличаются требования GDPR к стартапам?
  • 12 шагов к соблюдению GDPR 
    Проведите аудит данныхОграничьте сбор данных через контактные формы
    Предоставьте формы для активного согласия

    Следите за актуальностью списка для рассылки

    Дважды запрашивайте согласие на отправку рассылок

    Используйте одобренные CMS и плагины

    Храните данные в безопасных местах

    Обеспечьте доступ и переносимость данных

    Настройте политику приватности

    Запустите баннер согласия на использование cookies

    Защитите данные от взлома

  • Проведите аудит данных
  • Ограничьте сбор данных через контактные формы
  • Предоставьте формы для активного согласия
  • Следите за актуальностью списка для рассылки
  • Дважды запрашивайте согласие на отправку рассылок
  • Используйте одобренные CMS и плагины
  • Храните данные в безопасных местах
  • Обеспечьте доступ и переносимость данных
  • Настройте политику приватности
  • Запустите баннер согласия на использование cookies
  • Защитите данные от взлома
  • Применение законов о защите персональных данных в некоторых странах ЕС 

    Чехия

    Франция

    Германия

    Италия

    Венгрия

  • Чехия
  • Франция
  • Германия
  • Италия
  • Венгрия

Что такое GDPR?

GDPR (General Data Protection Regulation) — общий регламент по защите данных, принятый Европейским союзом в 2018 году. Его цель — обезопасить конфиденциальность пользователей в интернете. Различные вариации этого регламента действуют во всех странах-членах ЕС.

Персональными данными считается любая информация, относящаяся к идентифицированному или идентифицируемому живому человеку («субъекту персональных данных»). К ней относятся:

  • имя;
  • домашний адрес;
  • адрес электронной почты;
  • номера удостоверений личности, например социального страхования и паспорта;
  • данные о местоположении, такие как геолокация в телефоне;
  • история поиска и браузера;
  • биометрические данные и информация, связанная со здоровем;
  • этническая информация;
  • политические и религиозные убеждения;
  • сексуальная ориентация.

В требованиях GDPR последние четыре пункта относятся к специальной категории — конфиденциальные персональные данные. Если сайт обрабатывает какой-либо из этих типов данных, потребуется соблюдать особые условия: запросить явное согласие на их обработку и иметь на это весомые цели.

Кто должен выполнять требования GDPR?

GDPR распространяется на все сайты, которые собирают данные пользователей из Европейского Союза — даже те, что находятся за пределами ЕС. Владелец интернет-бизнеса не может знать наверняка, находятся ли в ЕС пользователи, с которыми он взаимодействует. Поэтому все онлайн-компании должны соблюдать GDPR в качестве защитной меры.

Согласно требованиям GDPR, владельцы и операторы сайтов несут юридическую ответственность за то, чтобы персональные данные собирались и обрабатывались законным путем. Персональными данными занимаются компании из двух категорий.

Контроллеры данных — это, согласно определению GDPR, любой человек, государственный орган, агентство и прочее учреждение, которое решает, как и для каких целей персональные данные будут обрабатываться.

Пример. С помощью цифрового экрана в комнате ожидания музыкальная школа оповещает родителей о том, в каком кабинете будет проходить занятие. На экране отображается имя ребенка и номер кабинета. Музыкальная школа классифицируется как «контроллер» — она определяет, как система уведомлений обрабатывает данные.

Обработчики данных — это, согласно определению GDPR, любой человек, государственный орган, агентство и прочее учреждение, которое обрабатывает персональные данные по поручению контроллера.

Пример. Компания по разработке ПО нанимает маркетолога для проведения email-кампании. Он получает список имен и email-адресов потенциальных клиентов и должен прислать каждому персонализированное «холодное» письмо. Компания считается контроллером, определяющим способ обработки данных, а маркетолог — обработчиком, следующим ее указаниям.

И хотя обработчики просто следуют инструкциям, они также должны соответствовать требованиям GDPR, поскольку работают с личными данными.

Чем отличаются требования GDPR к стартапам?

Стартапы могут иметь преимущества в двух случаях.

Если в компании работает менее 250 сотрудников, то она не обязана вести учет данных и их обработки. Исключения — обработка ставит под угрозу права отдельных лиц, не проводится регулярно или включает особые категории данных (пол, расовое и этническое происхождения, политические взгляды и информацию о здоровье).

Кроме того, Data Protection Officer или DPO (ответственный за организацию обработки персональных данных) необходим только при крупномасштабной обработке персональных данных, что, как правило, не актуально для стартапов. Если вы планируете расширять бизнес, то назначать DPO можно по мере необходимости.

12 шагов к соблюдению GDPR

Эта инструкция позволит привести бизнес в соответствие требованиям законодательства.

Проведите аудит данных

Для этого задайте себе и своей команде следующие вопросы.

  • Какие личные данные вы храните? Включают ли они конфиденциальные персональные данные? Если да, то как обеспечивается их безопасность?
  • Собирает ли сайт персональные данные несовершеннолетних лиц (моложе 16 лет)? Для каких целей они нужны?
  • Где хранятся личные данные и кто имеет к ним доступ?
  • Отвечают ли за хранение третьи лица? Если да, то как вы контролируете обработку данных?
  • Находятся ли эти третьи лица за пределами Европейской экономической зоны? Если да, то каким образом они защищают ваши данные?
  • Как долго должны храниться персональные данные? Можно ли удалить их частично или анонимизировать?

Определите юридические основания для сбора данных

GDPR предусматривает шесть правовых оснований для обработки данных:

  • согласие;
  • выполнение контракта;
  • законный интерес;
  • жизненный интерес;
  • юридическое требование;
  • общественный интерес.

Важно определить законные основания для обработки всех собираемых данных, поскольку GDPR обязывает компании документировать эту информацию и предоставлять ее пользователям. Эти подробности также должны быть описаны в политике конфиденциальности.

Кроме того, бизнес должен иметь возможность в любой момент продемонстрировать правовые основания для обработки данных внутри компании, пользователям и регулирующим органам.

Ограничьте сбор данных через контактные формы

Если на сайте расположены формы, собирающие персональные данные (опросы, контактные формы или подписки), доработайте их следующим образом.

  • Дополните их положением о конфиденциальности, которое сообщает, зачем запрашиваются данные и для каких целей они будут использоваться. Объясните, что пользователь в любой момент может отозвать согласие.
  • Включите опцию выбора, например неотмеченный флажок или неактивированный переключатель, чтобы получить согласие на сбор данных.
  • Добавьте флажок (или аналогичный вариант), позволяющий человеку выбрать, хочет ли он получать от вас письма.

Помимо этого, стоит добавить ссылку на политику конфиденциальности.

Предоставьте формы для активного согласия

Согласно GDPR, согласие должно быть добровольным, конкретным и проинформированным. Это означает, что контактные формы должны объяснять, зачем сайт запрашивает определенную информацию.

По данным опроса DMA, 62% потребителей из Великобритании комфортнее делиться своими данными, если соблюдены законы о конфиденциальности.

Контактные формы для оформления подписки должны включать способ предоставить согласие, например поставить галочку. Это позволяет убедиться, что пользователь принял условия использования сайта и согласен на получение рассылки.

Следите за актуальностью списка для рассылки

Если в списке для рассылки присутствуют граждане ЕС, его также нужно проверить на соответствие требованиям GDPR.

Если списки для рассылки приобретены у третьих лиц, важно убедиться, что пользователи дали на это согласие, иначе GDPR будет нарушен. Рекомендуется автоматически исключать из списка тех, кто не давал согласия.

Если для отправки новостных рассылок применяются сервисы для email-маркетинга, то потребуется разрешение от пользователей. Рекомендуется использовать процедуру двойного согласия, при которой после подачи заявки на сайте нужно подтвердить адрес электронной почты (подробнее об этом — в следующем пункте).

У пользователей должна быть возможность в любой момент отказаться от получения рассылки. Для этого каждое письмо должно содержать ссылку на отмену подписки.

Дважды запрашивайте согласие на отправку рассылок

Чтобы с уверенностью подтвердить, что все подписчики согласны на получение рассылок, следует включить процесс двойного согласия. В таком случае пользователь добавляется в список для рассылки только после того, как подтвердит согласие дважды — при заполнении формы и при переходе по ссылке подтверждения из письма, которое отправляется автоматически после заполнения формы.

Это не обязательное требование, но настоятельная рекомендация. Этот процесс позволяет точно подтвердить, что пользователь согласен на передачу своих данных, и демонстрирует приверженность компании стандартам, устанавливаемым GDPR.

Используйте одобренные CMS и плагины

Системы управления контентом (CMS, content management system) также должны соответствовать требованиям GDPR. В популярных платформах, таких как WordPress, Wix, Joomla и Squarespace, встроены механизмы для соблюдения этих правил.

Если система CMS не поддерживает эти функции, то, вероятно, потребуется добавить код, расширения, плагины или ПО, которые помогут обеспечить соответствие требованиям.

Многие плагины для WordPress используют персональные данные, а некоторые даже добавляют собственные файлы cookie на сайт для различных целей. Все они должны соответствовать GDPR независимо от того, какие функции предоставляют: контактные формы, аналитику, SEO или резервное копирование и хранение. Плагины также не должны хранить данные, вносимые пользователями, в своей базе.

Кроме того, не забудьте перечислить плагины, используемые на сайте, в политике конфиденциальности.

Храните данные в безопасных местах

Согласно требованиям GDPR, все собираемые данные должны храниться либо на территории ЕС, либо регулироваться европейскими законами о конфиденциальности.

Согласно отчету Netskope, даже совсем небольшие компании в среднем используют 258 облачных приложений. При этом важно учитывать, к каким данным могут получать доступ облачные сервисы.

При работе с крупными облачными поставщиками, такими как Microsoft, AWS и Google, проблем не возникнет, поскольку они предлагают датацентры по всему миру. Если вы пользуетесь другими SaaS-сервисами, проверьте, соблюдают ли они требование о суверенитете данных.

Обеспечьте доступ и переносимость данных

Пользователи имеют право получать информацию о том, какие данные о них хранит сайт, а также запрашивать их корректировку и удаление в любое время. Эти опции должны быть легко доступны, а также описаны в политике конфиденциальности.

GDPR не уточняет способ раскрытия этой информации. Один из возможных вариантов — добавить ссылку или кнопку в нижней части всех страниц или создать отдельную страницу с более подробной информацией об управлении данными. Некоторые сайты также предоставляют электронную почту, на которую можно отправить такой запрос.

Настройте политику приватности

Политика конфиденциальности должна быть описана простым и понятным языком и доступна по ссылке на каждой странице сайта (даже на тех, где не происходит сбор персональных данных).

Основная цель политики конфиденциальности — проинформировать посетителей о том, как сайт собирает, использует, хранит и раскрывает их личные данные. Кроме того, она должна объяснять права пользователей (в том числе возможность получать доступ к персональным данным и запрашивать их удаление) и ваши обязательства перед ними.

Запустите баннер согласия на использование cookies

В зависимости от толкования закона в определенной стране, может быть достаточно получить лишь «молчаливое согласие».

В таком случае каждому пользователю не придется нажимать «принять», чтобы получить доступ к сайту. Вместо этого будет отображаться короткое сообщение, информирующее об использовании файлов cookie. По истечении заданного периода времени, например нескольких секунд, сообщение может исчезнуть. Если пользователь остается на сайте, то его согласие получено.

Прежде чем выбирать этот подход, следует проконсультироваться с местным регулирующим органом.

Защитите данные от взлома

Удалите данные, которые больше не используются, чтобы максимально сократить их объем. Регулярно сканируйте системы, устройства и сети на наличие уязвимостей — это позволит выявлять возможные пробелы в безопасности.

Также важно разработать внутренние правила отчетности об утечках данных. Если это произойдет, вам потребуется связаться с управлением по защите данных в течение 72 часов с того момента, как об инциденте станет известно. Кроме того, вы должны быть готовы как можно скорее уведомить клиентов, которых могла затронуть утечка.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *