GDPR: как не потерять на штрафах 15 миллионов евро

В 2019 году немецкая компания Deutsche Wohnen, которая занимается недвижимостью, получила огромный штраф — 14,5 миллионов евро. Компания хранила данные клиентов дольше необходимого, что противоречит закрепленному в регламенте GDPR праву на удаление данных.

Общий регламент по защите данных (General Data Protection Regulation или GDPR) был принят странами Евросоюза, чтобы регулировать правовые вопросы в области обработки персональных данных. В нем множество нюансов, несоблюдение которых грозит огромными штрафами. Если бы компания Deutsche Wohnen внимательнее ознакомилась с III главой регламента, ей бы удалось избежать финансовых потерь.

Сейчас мы активно расширяем свои возможности и начинаем сотрудничать с европейскими компаниями. Готовясь к выходу на международный рынок, мы понимали, что придется учитывать не только бизнес-аспекты, но и юридическую сторону вопроса. Мы тщательно изучили GDPR и рассказываем, почему необходимо соблюдать регламент и что для этого требуется.

На кого распространяется GDPR

GDPR охватывает широкий спектр компаний. Давайте посмотрим на список условий. Если хотя бы одно из них относится к вашей компании, то вам нужно соблюдать регламент GDPR.

• У компании есть офис на территории ЕС. Представительства, филиалы, сервисные центры и пункты выдачи тоже считаются.

• На сайте компании используется государственный язык или валюта одной из стран ЕС. Например, интерфейс локализован на один из таких языков или на нем предусмотрена обратная связь с техподдержкой.

• На сайте обозначено, что компания доставляет продукцию в страны ЕС.

• Европейские СМИ пишут об услугах вашей компании. Другой вариант: компания рекламирует свои услуги в Европе.

• Компания мониторит действия пользователей, например в мобильном приложении.

Фактически GDPR распространяется на все компании, которые имеют дело с данными пользователей из ЕС — как граждан, так и тех, кто просто находится на территории Евросоюза. Это сделано намеренно: в цифровую эпоху географические границы уже не имеют решающего значения, поэтому персональные данные пользователей должны быть под защитой, даже если их обрабатывает компания, расположенная на другом конце мира.

Что будет, если компания не соблюдает требования GDPR?

Система штрафов за нарушение регламента довольно сложна. Максимально возможная сумма штрафа — 20 млн евро либо до 4% от годового оборота компании. Разумеется, никто не будет выставлять небольшому стартапу счет на 20 миллионов, и выплата штрафа не приведет к закрытию бизнеса, но сумма будет ощутимой, чтобы мотивировать руководство пересмотреть политику компании.

Есть и другой аспект: европейские организации, которые работают с контрагентами, не выполняющими требования GDPR, могут получить за это штраф и даже запрет работать с определенными «неблагонадежными» компаниями.

Что Deutsche Wohnen упустили из виду?

Любая компания должна составить Privacy Notice — это уведомление об обработке персональных данных. В нем указывают, какие данные будут использованы и как: что с ними происходит, куда они передаются. Если вы передаете данные другим компаниям, в документе должны быть отражены их названия.

Важно прописать в Privacy Notice цели обработки персональных данных и права физических лиц. С этим поможет глава III GDPR, и именно ее представители компании Deutsche Wohnen изучили невнимательно — они не учли право пользователей на удаление данных. Персональные данные клиентов хранились в базе компании дольше необходимого, хотя для этого не было никаких правовых оснований. Если бы Privacy Note составили правильно, компания не получила бы никаких штрафов.

Какие еще документы нужны для соответствия требованиям GDPR?

Кроме Privacy Notice, существуют другие необходимые для соблюдения регламента документы.

Privacy Policy — документ, в котором указывается общая информация по обработке персональных данных, отношение к обработке данных детей и информация о том, как обрабатываются специальные категории персональных данных (к ним относятся, например, биометрические). Privacy Policy нужно написать понятным языком, чтобы ваша целевая аудитория могла легко разобраться в документе.

Cookie Policy описывает политику вашей компании в отношении сбора cookie-файлов, их обработки, средств обработки и целей использования. Этот документ, как и Privacy Notice, можно включить в Privacy Policy, чтобы не создавать три отдельных документа.

Кроме того, нужен дисклеймер об обработке cookie. В России можно просто разместить на сайте уведомление об использовании cookie-файлов, но для работы с Европой требуется получить согласие пользователя на обработку этих данных. Чтобы соблюсти все формальности, нужно запрашивать отдельное согласие для каждой цели обработки cookie.

Еще один необходимый документ — согласие на обработку персональных данных. Согласие пользователя нужно получить не только при регистрации на сайте, но и при подписке на рассылки, скоринг, профайлинг и др. Как и в случае с файлами cookie, для каждой цели обработки персональных данных требуется отдельное согласие.

Для b2b-стартапов важно уделить особое внимание Data Processing Agreement — соглашению на поручение обработки персональных данных. Если ваша компания получает персональные данные на обработку от юридического лица, то в случае нарушения вами закона ответственность лежит на нём, так как это юридическое лицо выступает контроллером. В России контроллеров называют операторами персональных данных. Ваша компания является процессором, то есть тем, кто обрабатывает персональные данные по поручению контроллера. При любых нарушениях штрафы получит контроллер, но, согласно договору, вы должны будете компенсировать ущерб, если в документе не указано иное. Чтобы составить Data Processing Agreement, нужно обратиться к главе IV GDPR.

Дисклеймер об обработке cookie следует разместить так, чтобы пользователь видел его, как только заходит на сайт, и мог указать согласие на обработку всех или только некоторых категорий файлов. Privacy Policy и согласие на обработку персональных данных размещают рядом с формой регистрации, причем согласие не может быть обязательным условием для регистрации — у клиента должна быть возможность отказаться. Data Processing Agreement должны подписать обе стороны, для этого пригодится цифровая подпись, имеющая юридическую силу в Евросоюзе. Если этот вариант вам не подходит, можно разместить соглашение в открытом доступе — тогда клиент скачает документ, подпишет и отправит его по почте.

Самое главное — нужно быть готовыми предоставить документы с полученным согласием по запросу регулирующих органов или физического лица, данные которого вы используете.

Вывод

Без соблюдения GDPR не обойтись, если вы не хотите терять возможности для роста и развития компании на международном рынке. Однако европейское правовое поле отличается от российского, поэтому при выходе на рынок ЕС приходится учитывать дополнительные факторы. Конечно, это усложняет процесс, но время, которое вы потратите на то, чтобы составить документы, оправдает себя. Так вы обезопасите свою компанию от штрафов и проблем с репутацией, которые могут навсегда закрыть вам дорогу к европейским клиентам.