Какие еще документы нужны для соответствия требованиям GDPR?
Кроме Privacy Notice, существуют другие необходимые для соблюдения регламента документы.
Privacy Policy — документ, в котором указывается общая информация по обработке персональных данных, отношение к обработке данных детей и информация о том, как обрабатываются специальные категории персональных данных (к ним относятся, например, биометрические). Privacy Policy нужно написать понятным языком, чтобы ваша целевая аудитория могла легко разобраться в документе.
Cookie Policy описывает политику вашей компании в отношении сбора cookie-файлов, их обработки, средств обработки и целей использования. Этот документ, как и Privacy Notice, можно включить в Privacy Policy, чтобы не создавать три отдельных документа.
Кроме того, нужен дисклеймер об обработке cookie. В России можно просто разместить на сайте уведомление об использовании cookie-файлов, но для работы с Европой требуется получить согласие пользователя на обработку этих данных. Чтобы соблюсти все формальности, нужно запрашивать отдельное согласие для каждой цели обработки cookie.
Еще один необходимый документ — согласие на обработку персональных данных. Согласие пользователя нужно получить не только при регистрации на сайте, но и при подписке на рассылки, скоринг, профайлинг и др. Как и в случае с файлами cookie, для каждой цели обработки персональных данных требуется отдельное согласие.
Для b2b-стартапов важно уделить особое внимание Data Processing Agreement — соглашению на поручение обработки персональных данных. Если ваша компания получает персональные данные на обработку от юридического лица, то в случае нарушения вами закона ответственность лежит на нём, так как это юридическое лицо выступает контроллером. В России контроллеров называют операторами персональных данных. Ваша компания является процессором, то есть тем, кто обрабатывает персональные данные по поручению контроллера. При любых нарушениях штрафы получит контроллер, но, согласно договору, вы должны будете компенсировать ущерб, если в документе не указано иное. Чтобы составить Data Processing Agreement, нужно обратиться к главе IV GDPR.
Дисклеймер об обработке cookie следует разместить так, чтобы пользователь видел его, как только заходит на сайт, и мог указать согласие на обработку всех или только некоторых категорий файлов. Privacy Policy и согласие на обработку персональных данных размещают рядом с формой регистрации, причем согласие не может быть обязательным условием для регистрации — у клиента должна быть возможность отказаться. Data Processing Agreement должны подписать обе стороны, для этого пригодится цифровая подпись, имеющая юридическую силу в Евросоюзе. Если этот вариант вам не подходит, можно разместить соглашение в открытом доступе — тогда клиент скачает документ, подпишет и отправит его по почте.
Самое главное — нужно быть готовыми предоставить документы с полученным согласием по запросу регулирующих органов или физического лица, данные которого вы используете.