В 2012 году произошла серьезная утечка данных в LinkedIn, в 2016 году – в Uber, в 2017 хакеры атаковали почту Парламента Великобритании. От утечки данных страдают мировые и российские компании: Twitter, Badoo, Marriott, ВКонтакте, Яндекс и др.
В условиях, когда остро стоит вопрос защиты персональных данных в сети, маркетологам приходится быть осторожными и ответственно подходить к использованию сведений о клиентах в рекламных целях.
В статье рассказываем о европейском законе о защите персональных данных – GDPR, а также разбираемся, как он влияет на маркетинг и сбор информации о пользователях сайтов.
Кто отвечает за обработку данных
GDPR и ФЗ «О персональных данных»
Кодекс этики использования данных
Как этично использовать данные клиентов по GDPR
Советы по использованию данных по GDPR
Инструменты и технологии для соблюдения GDPR
Что такое GDPR
Если быть точными, GDPR – это не совсем закон, а регламент Европейского Союза по защите персональных данных в интернете. General Data Protection Regulation – в переводе «Общий регламент по защите данных». Он устанавливает правила сбора, обработки и использования личных сведений для организаций, которые работают с данными постоянных или временных жителей ЕС.
GDPR приняли 25 мая 2018 года. Главным поводом послужил рост утечек данных и, как следствие, общественная обеспокоенность по поводу безопасности личных данных. Полный текст регламента доступен на официальном сайте.
GDPR требует от организаций получения согласия пользователей на обработку данных. Компании должны разработать четкую политику и процедуру по этому вопросу. За нарушение правил GDPR предусмотрены штрафы до 20 миллионов евро или 4% от годового дохода.
На кого распространяется GDPR
Правила GDPR касаются не только компаний, находящихся на территории Европейского Союза, но и организаций, чьи ресурсы в интернете посещают граждане ЕС или пользователи, находящиеся в ЕС. Таким образом, это экстерриториальный регламент, распространяющий действие за пределы стран, которые его приняли.
В каких случаях распространяется GDPR:
- если на сайте есть возможность выбрать язык или валюту одной из стран ЕС;
- если на сайте есть упоминание или обращение к жителям ЕС;
- если данные собираются с помощью Яндекс Метрики или других систем аналитики сайтов.
Допустим, вы писатель и выпускаете книги на русском языке. Но скоро переводите роман на французский и сообщаете на официальном сайте, что теперь книги могут купить с доставкой жители франкоязычных стран: Франции, Швейцарии, Бельгии, Люксембурга и др. Таким образом, вы обращаетесь к жителям ЕС, которые зайдут и оформят заказ на сайте, а значит, он попадает под регламент GDPR.
Кто отвечает за обработку данных
Для начала обозначим, что входит в персональные данные, согласно GDPR. Это любая информация, которая относится к человеку или используется для его идентификации: имя, фамилия, адрес, телефон, электронная почта, дата рождения, пол, национальность и др.
Согласно GDPR, в обработке данных участвуют:
- субъект – это человек, чьи данные обрабатываются;
- контролер – организация, которая контролирует обработку данных. В частности, выясняет, как и зачем обрабатывались данные, и отвечает за соблюдение правил GDPR и обеспечение безопасности;
- обработчик, или процессор – организация или физлицо, которое обрабатывает данные по заказу контролера. Обработчик следует правилам обработки данных, установленным компанией-контролером, но контролер и сам может выполнять функции обработчика;
- надзорный орган – контролирует выполнение GDPR, проверяет организации и накладывает штрафы за нарушение правил GDPR. Надзорным органом выступает Европейский комиссар по защите данных или местный орган власти, если нарушение связано с обработкой данных на территории определенной страны.
Основные положения GDPR
GDPR требует от организаций, обрабатывающих персональные данные на сайте, соблюдения следующих принципов:
- Обработка должна осуществляться с согласия субъекта;
- Данные должны быть собраны и обработаны законным путем и в соответствии с целями, для которых они собираются;
- Данные должны храниться в безопасности и не быть доступны для несанкционированного доступа или использования;
- Данные должны удаляться или уничтожаться, если они больше не нужны для заявленных целей или если субъект данных отзывает согласие на обработку данных;
- Организации должны информировать субъектов данных о том, как обрабатывают данные, и предоставлять возможность субъектам данных контролировать свои данные;
- Организации должны сотрудничать с надзорными органами и выполнять запросы на предоставление информации о данных;
- Организации должны принимать меры по предотвращению нарушений прав субъектов данных и по защите конфиденциальных данных.
GDPR – закон Европейского Союза, он имеет приоритет над внутренними законами стран-членов ЕС. Однако некоторые аспекты защиты данных в интернете регулируются как GDPR, так и законодательством отдельных стран. В таких случаях организации должны соблюдать как GDPR, так и внутренние законы.
GDPR и ФЗ «О персональных данных»: сходства и различия
Чтобы защитить права и свободы человека при обработке персональных данных в интернете, 27 июля 2006 года в России был принят Федеральный закон №152 «О персональных данных». Он касается в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
Этот закон устанавливает требования к использованию персональных данных, включая получение согласия субъекта на обработку, обеспечение безопасности и конфиденциальности, а также определяет ответственность за нарушение этих требований.
О другом законе, влияющем на маркетинг и рекламу, читайте в статье «Закон „О государственном языке Российской Федерации»: что делать рекламодателям».
Теперь разберем сходства и различия двух законодательных актов.
Понятие персональных данных. В отличие от GDPR, в 152-ФЗ не совсем четко прописано, что конкретно относится персональным данным:
Зато есть другое интересное понятие – «обезличивание данных»:
К обезличенным ПД в РФ меньше требований: их разрешается использовать в маркетинговых целях, в том числе продавать и передавать третьим лицам без согласия субъекта данных.
Запрос на получение собственных ПД. По GDPR и по 152-ФЗ гражданин имеет право запросить не только свои данные, но и отчет о том, как они обрабатывались. Кроме того, субъект может вносить изменения и даже удалять эти сведения.
Разница лишь в том, что в законе «О персональных данных» человеку разрешено запрашивать любые данные о себе, а в GDPR – только данные на момент запроса.
Утечка данных. В российском законе не прописан механизм действий при утечке личных данных, как нет информации о последствиях для операторов-нарушителей. Там лишь подчеркнуто право субъекта на компенсацию материального ущерба и морального вреда.
В европейском регламенте есть четкий регламент для компаний, которого они обязаны придерживаться, если нарушили конфиденциальность пользователей. Также в GDPR прописаны размеры штрафов для нарушителей.
В целом, оба закона о защите данных не конфликтуют между собой и, скорее, дополняют друг друга.
Кодекс этики использования данных
В 2019 году крупные компании России, такие как Яндекс, Сбер, Тинькофф, МТС и другие, подписали «российскую версию» GDPR – Кодекс этики использования данных. Это свод рекомендуемых правил по работе с личными данными клиентов – компании обязуются руководствоваться им в дополнение к ФЗ «О персональных данных».
Основные принципы Кодекса:
- Законность – данные должны собираться и использоваться в соответствии с законодательством;
- Этика сбора и хранения информации – с использованием технических средств, гарантирующих безопасность и защиту в интернете;
- Согласие – субъекты данных должны дать свое согласие на обработку своих данных;
- Ответственность – зачисление в Реестр недобросовестных участников рынка при нарушении положений Кодекса и другие меры ответственности.
Как GDPR влияет на маркетинг
GDPR оказывает влияние на маркетинг, требуя от компаний получения согласия пользователей на обработку данных и их более эффективного использования. С одной стороны, это стимулирует развитие новых технологий работы с персональной информацией, с другой – создает проблемы при сборе данных.
GDPR, как и местные законы о защите персональных данных, влияет на маркетинг:
- заставляет бизнес корректировать маркетинговые стратегии – в первую очередь учитывать интересы пользователей и применять этичные способы продвижения;
- способствует развитию новых технологии – для защиты и сбора данных в соответствии с GDPR необходимо внедрять новые ПО и инструменты автоматизации, что стимулирует развитие новых технологий: защищенное соединение, протоколы SSL и др.;
- сказывается на бюджетировании – организациям приходится вкладывать средства в обучение сотрудников, разработку систем защиты данных и обеспечение соответствия законодательству;
- побуждает искать новые возможности для сегментации аудитории – GDPR ограничивает использование личных данных для маркетинговых целей, что приводит к изменению подходов к таргетированию и сегментации аудитории. Так, компании не могут использовать персональную информацию о пользователях для рекламы без их согласия и обязаны обосновать целесообразность сбора данных.
Как этично использовать данные клиентов по GDPR
Чтобы обрабатывать данные пользователей, нужно получить их согласие и убедиться, что они прочитали политику конфиденциальности. Для этого на многих сайтах и приложениях есть ограничительная функция, которая не позволяет пользоваться ресурсом, пока человек не поставит галочку о том, что ознакомился с политикой конфиденциальности.
При этом политика конфиденциальности должна содержать информацию:
- какие данные собираются;
- с какой целью;
- как собираются, обрабатываются и используются;
- кому передаются;
- как и сколько хранятся;
- куда обращаться по вопросам ПД;
- какие права есть у пользователя, чьи ПД используют.
Советы по использованию данных по GDPR
Подготовили несколько рекомендаций, как не нарушить положения GDPR.
Совет 1. Разберитесь, какие персональные данные собирает ваш сайт. Есть ли среди них данные несовершеннолетних, как вы добиваетесь безопасности, где храните полученные сведения. Проведите аудит используемых данных: надежные ли у вас подрядчики, как долго храните данные и можно ли часть удалить.
Совет 2. Определите, зачем вы собираете данные. Согласно GDPR, законные основания – это согласие субъекта, условия контракта, требование суда и закона, общественный интерес. Пропишите в политике конфиденциальности причины сбора данных, чтобы защитить компанию с юридической точки зрения.
Совет 3. Доработайте форму сбора данных. Если на сайте есть всплывающее окно с просьбой заполнить данные о себе, прикрепите к нему ссылку на политику конфиденциальности, а также кнопку согласия на обработку ПД. Обратите внимание, что по положениям GDPR у пользователя должен быть выбор, соглашаться ли на обработку, и четкое понимание, зачем это делать.
Совет 4. Проверьте CMS на соответствие GDPR. В WordPress, Битрикс24, Joomla, Wix и других крупных CMS интегрировано ПО для соблюдения европейского регламента. Если вы используете данные клиентов для аналитики, SEO-оптимизации или рекомендаций контента, убедитесь, что CMS не нарушает положения GDPR.
Совет 5. Будьте осторожны с email-рассылками. Если в списке адресатов есть граждане или жители ЕС, убедитесь, что они давали согласие на рассылку. Также согласие на рассылку необходимо получить от новых пользователей, которые регистрируются на сайте – например, можно добавить в окне регистрации флажок о согласии получать новости и специальные предложения на email.
Совет 6. Обеспечьте защиту данных. Персональные данные клиентов находятся на серверах компании, которая обслуживает сайт. GDPR предписывает хранить полученные личные сведения пользователей на территории ЕС или в SaaS-сервисах, отвечающих европейским законам о данных.
Инструменты и технологии для соблюдения GDPR
Специальных инструментов для соблюдения требований GDPR нет, но есть сервисы и ПО, которые помогают соблюдать регламент:
- системы управления доступом, или СКУД – для контроля доступа к личным данным. Например: Sigur, Bolid и др.;
- системы мониторинга данных – чтобы контролировать, как используются данные, определять несанкционированный доступ и предотвращать утечки данных. Кроме того, системы мониторинга данных помогают обнаружить такие нарушения, как злоупотребление данными, угрозы конфиденциальности и др. Популярные системы мониторинга: MONQ, Nagios Monitoring, Dotcom-Monitor;
- технологии шифрования – для защиты данных от несанкционированного доступа. Шифрование помогает поддерживать конфиденциальность, целостность и подлинность данных и защищает от взлома. Одними из самых надежных технологий шифрования считаются криптографические средства, такие как ZuluCrypt, VeraCrypt, GnuPG и др.;
- облачные хранилища – для хранения данных на удаленных серверах, что усиливает безопасность и защиту от утечек. Кроме того, облачные провайдеры предлагают услуги по шифрованию данных, а также выполняют резервное копирование. Таким образом, данные подлежат восстановлению в случае потери или повреждения. Например, регламенту GDPR соответствуют такие облачные хранилища, как Яндекс Диск, Google Drive, Dropbox и OneDrive;
- CMS – соответствующие GDPR системы управления контентом упрощают управление данными и располагают встроенными функциями резервного копирования, восстановления и шифрования. Например, WordPress, Joomla, Bitrix24.
Вывод
Чтобы соответствовать правилам GDPR и европейским нормам защиты данных в сети, используйте надежные технологии шифрования, облачные хранилища и системы управления контентом. Так вы повысите безопасность данных и не нарушите требования законодательства. Таким образом, данные клиентов будут защищены и компания не столкнется с негативными последствиями для репутации.
