Как GDPR влияет на ваш бизнес

Что такое GDPR

Общий регламент по защите данных (GDPR) — это новый закон, касающийся защиты персональных данных и конфиденциальности всех граждан и резидентов Евросоюза. Он определяет, как компании (в том числе GoDaddy) собирают и обрабатывают персональные данные пользователей из ЕС. Регламент вступил в силу 25 мая 2018 года. В Центре конфиденциальности вы найдете более подробное описание GDPR, а также информацию о том, как GoDaddy выполняет его требования.

GoDaddy не занимается юридическими консультациями

В этой статье мы постараемся дать вам общее представление о регламенте. Обратите внимание, что GoDaddy не занимается оказанием юридических услуг, и эта статья не является исчерпывающим руководством по GDPR, поскольку в новом законе много нюансов. Если у вас есть вопросы, связанные с требованиями GDPR (и других законов о конфиденциальности), мы настоятельно рекомендуем обратиться к юристу.

Мы не даем советов по ведению бизнеса

Требования регламента могут отличаться в зависимости от сферы деятельности вашей компании. В этой статье мы предлагаем свой взгляд на GDPR, но он не может считаться универсальным решением, применимым во всех случаях. В регламенте есть несколько положений, которые могут трактоваться по-разному в зависимости от конкретной ситуации. Мы обратим на них внимание ниже.

Отличие GDPR от других законов о конфиденциальности

Общий регламент по защите данных схож со многими другими законами о конфиденциальности. Однако его действие распространяется не только на страны Евросоюза, но и на все компании, которые так или иначе собирают, обрабатывают и хранят персональные данные граждан и резидентов ЕС. За несоблюдение требований GDPR предусмотрен штраф до 20 миллионов евро или 4% от годового дохода. Учитывая более широкую сферу применения и более высокие штрафы, внимание СМИ к регламенту вполне объяснимо. Кроме того, согласно новому закону компании обязаны предоставить своим клиентам определенные права (например, "право на забвение" или "право на экспорт данных"), а также внедрить некоторые внутрикорпоративные изменения.

Касается ли новый закон моей компании?

Если ваша компания находится в Европейской экономической зоне или вы продаете товары и услуги пользователям из ЕС, то, скорее всего, касается. В противном случае — вероятно, нет. Чтобы выяснить этот вопрос наверняка, обратитесь к юристу.

Соответствие продуктов и услуг GoDaddy, приобретенных вами, требованиям GDPR

No products or services are alone 'GDPR compliant'. However, when properly configured for your particular business needs, and used in combination with other measures, policies and processes you implement as necessary to your specific business (some of which are described below), they can be used in a GDPR-compliant manner. No one knows your business better than you. Though GoDaddy hopes to offer the tools and resources to help your business attain GDPR compliance, and we are here for you, we are not suited to ensure your compliance with any laws applicable to your business.

Основные понятия GDPR

Основная задача GDPR — обеспечить защиту и конфиденциальность персональных данных пользователей. Прежде всего, необходимо рассмотреть ключевые понятия регламента. Они помогут определить обязанности сторон в процессе обработки персональной информации.

  • Субъект данных — человек, предоставляющий персональные данные. Это может быть клиент, сотрудник или посетитель вашего веб-сайта (если вы используете файлы cookie и похожие технологии).
  • Data Controller: The party that determines the purposes and means for processing personal data.
  • Обработчик данных — это компания, которая обрабатывает персональные данные по поручению контролера.
  • Обработка — это любая операция или набор операций, которые выполняются с персональными данными при помощи средств автоматизации или без таковых, например сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультирование, использование, раскрытие путем передачи, разглашение или передача доступа другим путем, упорядочивание или комбинирование, ограничение доступа, удаление или уничтожение.
  • Персональные данные — любая информация, с помощью которой можно напрямую или косвенно идентифицировать человека (GDPR распространяется только на персональные данные). Например, имя, идентификационный номер, местоположение, онлайн-идентификатор и т. д.

What do these definitions mean for me?

In our relationship, there are times when we are a Data Controller (when we collect data from you for the purpose of selling you our products and services - such as your name, address, email, telephone and credit card information), and times when we are a Data Processor and you are the Data Controller (such as when you use our hosted services for your own business purposes and information happens to be passed on to our servers so that we can provide, manage and maintain the services for you (more on all this below)).

Конкретные требования GDPR

Официальный текст GDPR содержит 261 страницу, 173 перечня, 99 статей — это сложный документ, который охватывает множество аспектов. Мы расскажем об основных его принципах.

  • Прозрачность

    Вам необходимо простым и понятным языком рассказать своим клиентам, как вы собираете персональные данные и для чего их используете. Это один из важнейших элементов любого закона о конфиденциальности данных (включая GDPR).

    Наверное, вы уже получили огромное количество писем с темой "Мы обновили нашу Политику конфиденциальности"? И это не случайно. Согласно требованиям GDPR компании обязаны сделать свою Политику конфиденциальности (в том числе информацию о сборе и хранении персональных данных) понятной и доступной для пользователей. Кроме того, пользователям необходимо объяснить, какие права у них есть и как они могут связаться с вами.

    GoDaddy предоставляет своим клиентам необходимые инструменты для добавления Политики конфиденциальности на веб-сайт, а в некоторых случаях даже готовые шаблоны. Однако мы не знакомы со спецификой вашего бизнеса, поэтому не можем составить для вас Политику конфиденциальности, которая бы полностью соответствовала требованиям GDPR.

  • Право на выбор данных для предоставления

    Понятная Политика конфиденциальности — отличное начало! Однако если вы просите у клиентов больше персональных данных, чем требуется для оказания услуг или продажи товаров, то вы обязаны предоставить им право отказаться от предоставления дополнительной информации о себе.

    Например, компании часто собирают адреса электронной почты и номера телефонов, чтобы поддерживать связь со своими клиентами, или используют файлы cookie и похожие технологии (пиксели, скрипты и т. д.) для получения информации о посетителях веб-сайтов. Вы наверняка видели предупреждения об использовании файлов cookie или уведомления со ссылкой на Политику конфиденциальности. Подобные баннеры — отличное решение. Благодаря им вы не только рассказываете пользователям, с помощью каких инструментов собираете информацию, но и даете им право отказаться от отслеживания их действий.

    Согласно требованиям GDPR вы обязаны дать пользователю право согласиться на сбор информации или отказаться от него, причем сделать это в явной форме. Например, обычные уведомления или клетки с заранее установленными флажками не позволяют убедиться, что пользователь дал свое согласие на обработку данных. Клетка должна быть пустой, чтобы субъект данных сам установил в ней флажок.

    Вы должны дать клиентам право управлять своими персональными данными и перепиской, чтобы при желании они могли отозвать свое согласие на обработку личной информации.

  • Право на забвение

    Как мы уже отмечали, GDPR похож на другие законы о конфиденциальности. Однако одним из его отличительных признаков является "право на забвение".

    Это значит, что пользователь может попросить компанию удалить его персональные данные. Компания, в свою очередь, обязана удалить эти данные из системы, кроме случаев, когда они необходимы для ведения законной деятельности, а также дел, которые требуют бухгалтерского или юридического сопровождения.

    Например, если клиент решит отказаться от ваших услуг, он может сделать запрос на удаление своих данных из вашей системы. Вы обязаны рассмотреть его запрос (за редкими исключениями, когда в дело вмешиваются другие обстоятельства).

    По условиям нашего Дополнительного соглашения об обработке данных, GoDaddy обязуется внимательно рассмотреть ваш запрос на удаление персональных данных клиента и исполнить его.

  • Право на экспорт данных

    Право на экспорт данных — это еще один пункт, который есть только в GDPR. Суть его в том, что пользователи могут запрашивать персональные данные, имеющиеся у компании, и использовать их в других сервисах.

    Предположим, что вы занимаетесь организацией мероприятий. Клиент предоставил вам все свои контактные данные и обозначил предпочтения, однако затем решил нанять другого организатора. Если вы находитесь в Европейской экономической зоне, то у вашего клиента есть право получить электронную копию своих персональных данных для облегчения работы с новым организатором. Компания GoDaddy готова помочь вам с подобными запросами, если персональные данные вашего клиента могут быть экспортированы из предоставляемых нами продуктов или услуг.

  • Проектируемая конфиденциальность

    Под проектируемой конфиденциальностью (или конфиденциальностью по умолчанию) понимается то, что к получаемым, обрабатываемым, сохраняемым или используемым персональным данным применяются все необходимые меры предосторожности. Собирается только самая необходимая информация, она зашифровывается и хранится в безопасном месте, к которому имеют доступ только прошедшие специальное обучение люди. Кроме того, прежде чем отправить персональные данные пользователей третьим лицам, компания должна убедиться, что они также используют надлежащие меры безопасности.

    Это можно сравнить с визитом к врачу. Предполагается, что вся информация о вашем здоровье и назначенном лечении будет недоступна посторонним. Мы рекомендуем с такой же осторожностью относиться к персональным данным пользователей.

    Вы сами должны оценить, способны ли продукты и услуги GoDaddy обеспечить надлежащий уровень защиты и конфиденциальности данных. Мы делаем все возможное для того, чтобы они одинаково хорошо работали в любых ситуациях. Тем не менее решение об их соответствии всем необходимым требованиям в вашем конкретном случае принимаете именно вы.

  • Своевременные уведомления об утечке данных

    В случае утечки персональных данных компании обязаны в течение 72 часов сообщить об этом надзорному органу. Чтобы узнать, какие именно шаги следует предпринять в таком случае, обратитесь к юристу.

Резюме

Как было отмечено выше, в большинстве случаев GoDaddy выступает в качестве обработчика ваших данных. Мы обрабатываем информацию исключительно в рамках наших обязательств по предоставлению услуг. Хотите использовать наши сервисы для сбора данных, чтобы увеличить продажи? Нет проблем. Мы убедимся в том, что эти сведения будут обрабатываться и храниться в соответствии со всеми нормами безопасности.

As the Data Controller, you control how the data is used and stored, and we will only process it per the terms of our Data Processing Addendum in providing and maintaining the services on your behalf. This means you need to pay close attention to your internal policies and employee access of records, including how you share data with 3rd parties and how easily someone could access the data subject's information.

Из этой статьи очевидно, что основным назначением GDPR (и других законов о конфиденциальности) является надлежащая защита данных, которые мы собираем и используем в рамках своего бизнеса.


Помогла ли вам эта статья?
Благодарим вас за отзыв. Чтобы связаться с сотрудником службы поддержки клиентов, позвоните по номеру этой службы или воспользуйтесь опцией чата выше.
Мы рады вам помочь! У вас остались вопросы?
Приносим извинения. Расскажите нам, какие затруднения вы испытываете или почему рекомендованное решение не помогло устранить проблему.