Все о GDPR Compilance. Как запустить свой сайт, не нарушив при этом закон?

Вы наверняка из новостей слышали о громких случаях разбирательств и огромных судебных исках за незаконный сбор информации о пользователях и их личных данных. Часто даже крупные технологические компании допускают ошибки при сборе и обработке информации о пользователях, за что получают крупные иски и штрафы. Что уж говорить о небольших компаниях, которые об этих законодательных требованиях могут даже не знать.

В этой статье мы подробно расскажем о том, как германской компании (да и в целом любому сайту, взаимодействующему с пользователями из Европы) правильно выстроить систему работы с данными пользователей и соблюсти все нормы законодательства.

Начнем по порядку

Даже если на сайте просто размещен фрагмент текста и счетчик посещений этой страницы с текстом, он уже собирает данные пользователей. Время их визита, устройство входа, данные о вашем возрасте, поле, географическом положении и многую другую информацию.

Также на сайтах часто размещены формы обратной связи, регистрационные формы, онлайн-чаты и инструменты приема оплаты. Через них посетители сайта передают свои личные и платежные данные, которые также нужно правильно хранить, использовать по назначению и вовремя удалять. В противном случае владельцы сайта могут получить крупные штрафы, вплоть до полумиллиона евро Порядок хранения, обработки и удаления личных данных посетителей сайтов регламентируются GDPR Compilance (General Data Protection Regulation). Далеко не все сайты в Германии корректно исполняет требования этого закона. Каждый из них рискует получить за это крупный штраф.

Что нужно сделать, чтобы соблюдать закон о защите личных данных пользователей?

Cookie баннер

Каждый раз когда вы впервые заходите на новый сайт в Европе вы видите предупреждение об обработке обезличенных файлов Cookie. Этот баннер обязательно должен содержать информацию о том, какие именно данные обрабатывает сайт. У пользователя должна быть возможность отмены сохранения данных, а после отказа он все равно может продолжить пользоваться сайтом. Cookie-баннер также должен содержать ссылки на Политику конфиденциальности и Правила использования.

Многие компании только предупреждают об использовании Cookie. При этом не дают возможность отменить или редактировать сохраняемые данные. Или вообще выкидывают посетителя с сайта при отказе. Ни на один из этих пунктов компании не имеют на это право.

После того как пользователь принял условия обработки данных, у него всегда должна быть возможность пересмотреть свое решение. А администрация сайта должна периодически переспрашивать у пользователя это разрешение.

Как установить Cookie-баннер на сайте бесплатно? Лайфхак

Сервисы, которые помогают сайтам правильно размещать Cookie-баннер и соблюдать права посетителя на защиту личных данных, часто дают бесплатные тарифы, которые подходят для масштабов большинства корпоративных сайтов в Германии. Мы хотим поделиться двумя сервисами, бесплатные тарифы которых могут подойти вашей компании.

• Мультиязычным сайтам с небольшим количеством посетителей (до 5 тысяч в месяц) подойдет сервис Osano - https://www.osano.com/plans
• А для сайтов с большим количеством посетителей и одним языком (английским) лучше подойдет бесплатный тариф сервиса Cookiebot - https://www.cookiebot.com/en/pricing/. Бесплатным тарифом могут воспользоваться сайты до 100 страниц.

Так что соблюдать GDPR можно и бесплатно.

Как соблюдать законодательство о личных данных в формах сбора данных?

Сайты часто используют формы, в которых пользователю нужно указать личные или платежные данные. Например, такие формы используются для связи с менеджерами компании или для оформления заказа.

Внизу таких форм обязательно должны быть ссылки на Privacy Policy и Terms of Use, с которыми пользователь должен согласиться. Галочка, показывающая принятие политики конфиденциальности посетителем, не должна быть поставлена заранее.

В Политике Конфиденциальности (или любой другой аналогичный документ) должен содержать информацию о том:

• какие данные собирает сайт,
• с какой целью,
• в каких случаях эта информация будет использоваться,
• кому может передаваться,
• к кому можно обратиться за уточнениями или с претензиями,
• кто несет ответственность в случае утечки,
• как и когда она будет удаляться,
• сроки хранения данных и другие существенные моменты.

Нормальный срок хранения данных – месяц. В случае если для обработки нужен больший срок, то при проверке, вы должны будете объяснить, зачем вам взятые данные нужны на такой долгий срок.

Другие важные моменты

GDPR также обязывает владельцев сайтов защищать полученные данные пользователей. Для этого можно использовать двойную аутентификацию, шифрование данных и другие методы кибербезопасности. Когда сайты компаний подвергаются хакерской атаке, данные пользователей будут одной из целей злоумышленников. Потому что сайту дешевле будет заплатить крупный выкуп, чем отвечать по всем искам и штрафам за утечку личных данных.

У пользователя также должна быть возможность в любой момент полностью удалить все собранные о нем данные. Многие компании не предусматривают на сайте такую возможность даже для администратора. Более того, пользователь может потребовать экспорт всей собранной о нем информации для переноса на другой сервис.

Нарушение любого из перечисленных пунктов может повлечь за собой крупные штрафы, которые будут расти в зависимости от того, насколько крупное нарушение и по отношению к какому количеству пользователей было допущено.

Получите бесплатную консультацию наших специалистов о том, насколько корректно на вашем сайте организована работа с персональными данными посетителями. Для этого вам нужно оставить заявку в форме обратной связи на нашем сайте.

Будьте уверены в том, что не нарушаете закон прямо сейчас!