Общий регламент по защите данных (GDPR): что нужно знать российским онлайн-продавцам
29 мая 2018, Анна Конева, Эквид

Общий регламент по защите данных (GDPR): что нужно знать российским онлайн-продавцам

25 мая 2018 года начал действовать Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), новый закон о защите персональных данных всех граждан Европейского союза.

Даже если вы продаете только по России, нельзя быть уверенным, что в ваш интернет-магазин не попадет гражданин Евросоюза. Он вводит свой email при покупке или подписывается на рассылку, и вы тут же попадаете под действие регламента. Тем, кто не соблюдает правила, грозит штраф до 20 миллионов евро или от 2 до 4% годового глобального дохода компании.

Рассказываем, что делать, чтобы не было проблем с GDPR. Требования регламента могут меняться в зависимости от бизнеса, если вы уже продаёте свои товары в Европу, проконсультируйтесь с юристом.

Как работает GDPR

Общий регламент по защите данных дает гражданам Европейского союза право полностью контролировать данные, которые собирают интернет-магазины и другие онлайн-сервисы.

Теперь при сборе персональных данных европейцев компания обязана получить на это явное разрешение от пользователей, предоставить информацию о собранных данных, исправить, удалить их и ограничивать к ним доступ по первому требованию пользователя.

Что понимают под личными данными в GDPR?

Любая информация, с помощью которой можно напрямую или косвенно идентифицировать человека: имя, email, дата рождения, пол, возраст, место жительства, IP-адрес. Если вы собираете данные, которые относятся к личной, профессиональной или общественной жизни человека, вы должны соблюдать требования GDPR.

Как GDPR повлияет на мой бизнес?

Вы несете полную ответственность за личные данные граждан ЕС, которые они вам предоставляют, а также обязаны обеспечить им возможность контролировать то, как эта информация используется.

  • Вы должны всегда получать согласие на сбор любых данных пользователей, для чего бы они вам не понадобились: маркетинг, продажи, бухгалтерский учет и так далее.
  • Вы должны обеспечить покупателям простой способ доступа, изменения и удаления информации, которой они с вами поделились.
  • Вы (или ваш сотрудник) становитесь ответственны за хранение данных, сообщение информации об утечке данных и нарушениях GDPR в Международную организацию по сертификации.

Нарушение GDPR может стоить вам целое состояние (до 20 миллионов евро или 4% от годового мирового оборота компании). С другой стороны, практика исполнения решений ЕС в РФ развита не очень хорошо. Если Комиссия ЕС наложит штраф на российскую компанию, возможно до его реального исполнения не дойдёт. Но на территории ЕС работа будет затруднена.

Нельзя быть уверенным на 100%, что ни один гражданин ЕС не зайдет на ваш сайт или мобильное приложение. Поэтому стоит позаботиться о таком способе сбора и хранения личных данных, который удовлетворяет требование регламента. Есть вероятность, что другие страны (в том числе Россия) в будущем придут к тем же правилам. В этом случае вы уже будете готовы.

Как соответствовать GDPR

Если у вас есть клиенты из ЕС, проконсультируйтесь с юристом. Если таких клиентов пока нет, но вы не хотите переживать из-за GDPR, выполните наши рекомендации:

Сообщите сотрудникам об изменениях

Разошлите всем эту статью и проинструктируйте каждого, кто как-то связан с личными данными.

Проверьте досконально, какие данные вы собираете

Вы должны записать все до мелочей: как данные покупателей поступают в вашу организацию, как используются и как покидают её. Документируйте:

  • Какие личные данные вы храните (например, имена, электронные адреса).
  • В каком формате данные поступают к вам (например, онлайн или на бумаге).
  • Откуда они к вам поступают (например, по телефону, через услуги третьих лиц, соцсети).
  • Как вы их храните (например, в облачном хранилище, пользуетесь услугами третьих лиц, в своем офисе).
  • Как вы их используете (например, как долго они хранятся, с кем вы ими делитесь).

Это необходимо, чтобы понять, кто несет ответственность за данные покупателей на каждой стадии. Ревизия информации поможет вам оценить все риски, связанные с потоком данных.

Обновите свою Политику конфиденциальности

Регламент обязывает написать Политику конфиденциальности простым и понятным языком и дать доступ к ней на вашем сайте.

Документ должен быть обязательно, а вот объяснить его смысл покупателям можно разными способами, например, с помощью видео:

Интересный подход к обновлению Политики конфиденциальности от ASOS: видео, в котором объясняется, какие данные покупателей используются и зачем

Интересный подход к обновлению Политики конфиденциальности от ASOS: видео, в котором объясняется, какие данные покупателей используются и зачем

Вот что нужно написать в Политике конфиденциальности, чтобы она соответствовала GDPR (распишите все как можно подробнее):

  • Какие данные вы собираете.
  • Почему они вам нужны (на законных основаниях, например, для информированного согласия).
  • Как вы их получаете (по телефону, по электронной почте и так далее, вручную или автоматически).
  • Как долго вы будете их хранить (на законных основаниях, например, пока не истечет срок действия гарантии товара).
  • С кем вы ими делитесь (включая любые сторонние службы).
  • Как пользователи могут получать доступ к своим данным, изменять или удалять их.
  • Как они могут отказаться от вашей рекламной рассылки.

Вы должны уведомить покупателей обо всех изменениях в Политике конфиденциальности (например, с помощью рассылки). Не забывайте сообщать об обновлении документа и вашим сотрудникам.

Получите явное согласие покупателей на сбор и обработку их данных

На странице подписки на рассылку, в корзине разместите форму с галочкой. В ней должно быть четко прописано, на что пользователи дают согласие, и кому они его дают.

Нельзя ставить галочку в форме по умолчанию, пользователь должен кликнуть на неё сам.

Регистрируя почтовый ящик на Яндексе, пользователь видит, на что дает согласие, и должен поставить эту галочку сам

Регистрируя почтовый ящик на Яндексе, пользователь видит, на что дает согласие, и должен поставить эту галочку сам

Чтобы добавить форму согласия в Эквид-магазине, используйте инструкцию.

Дайте пользователям возможность получать доступ к своим персональным данным, изменять и удалять их

В соответствии с GDPR, вы должны предоставить клиентам копию их личных данных, которые храните. Это касается не только интернет-магазина, но и всех сервисов, которые вы используете. Например, сервис почтовой или смс рассылки.

Данные клиентов своего Эквид-магазина вы можете найти в панели управления. В случае дополнительных вопросов от пользователей Эквид предоставит вам информацию, которую хранит.

У вас должна быть возможность быстро исправить неточные данные клиента и позволить клиентам обновлять свои предпочтения обмена данными. Например, отписаться от вашей рассылки должно быть легко. Добавьте ссылку «Отписаться» в каждое ваше письмо. Оперативно реагируйте на прямые запросы: если клиент просит вас обновить свою фамилию или email в вашей почтовой базе, вы должны сделать это в течение 30 дней.

Если пользователь просит удалить его данные, по GDPR вы также обязаны это сделать.

Обеспечьте безопасность данных

Данные пользователей, которые хранятся в Эквиде, защищены. Вам не нужно о них беспокоиться. Однако, есть несколько мер предосторожности:

  1. Никогда не сообщайте свой логин и пароль от Эквид-магазина другим людям. Если вам нужно открыть кому-то доступ, используйте Аккаунты сотрудников. Все пароли должны быть надежными.
  2. Прежде чем добавить Эквид-магазин на ваш сайт, убедитесь, что он использует протокол HTTPS и сквозное шифрование данных.

Пользуйтесь услугами только тех сервисов и сторонних приложений, которые соответствуют требованиям GDPR. Если вам стало известно об утечке персональных данных, сообщите об этом своим клиентам в течение 72 часов.

Как Эквид подготовился к GDPR

Эквид собирает, хранит, обрабатывает и делится личными данными, основываясь на рекомендациях GDPR. Для соблюдения регламенты мы сделали следующее:

  • назначили инженера по защите данных, он отвечает за безопасность информации в Эквиде;
  • обучили команду, как работать в соответствии с GDPR;
  • научили команду обрабатывать запросы на предоставление данных пользователям и удаление данных;
  • разработали методы обнаружения, исследования и устранения проблем с персональными данными;
  • работаем только с партнерами, которые могут обеспечить сохранность данных.

***

Если вы используете надежные облачные сервисы, как Эквид, соответствовать GDPR будет проще. Тем, кто полагается на внутренние серверы или заказное программное обеспечение, придется самим организовывать весь процесс хранения данных.

Мы постарались привести Эквид в полное соответствие GDPR, чтобы помочь вам подготовить свой интернет-магазин к переменам.

Об авторе
Анна Конева — контент-маркетолог и редактор в Эквиде. Разбирается в интернет-рекламе и статистике. Любит большие города, пасту и фильмы Вуди Аллена.