GDPR на носу – прекращаем панику и начинаем спасаться +7


Судя по нарастающей в сети панике, очень многие либо только узнали о GDPR, либо оттянули удовольствие до предела.


Уже 25 мая угроза штрафа в 20 млн Евро или 4% от мирового оборота (что из этого больше) станет реальностью – впадать в панику или не впадать? Поскольку я уже ливанул ведро бензина в огонь, чувствую себя обязаным показать дорогу к пожарному выходу, не дожидаясь анонсированного в предыдущей статье события. Зарание прошу прощения за шероховатости – экспромт, очень fast и очень dirty, зато полезность зашкаливает (надеюсь).

С одной стороны, угроза вполне реальна. С другой, вряд ли 25 мая еврокоммиссары в пыльных шлемах ворвутся в офисы всех без исключения нарушителей – на такую честь могут рассчитывать только самые матёрые негодяи «с репутацией», уровня Facebook. Чего же опасаться и как парировать угрозы, если под вашей ответственностью проект из второго миллиона по популярности – то есть широко известный в узких круах, как группа Fleshgod Apocalypse?

Ответ подсказали наши немецкие коллеги по опыту вступления в силу закона об Impressum. Оказалось, что у них нашлось изрядное количество безработных юристов, охочих до лёгких денег – они массово находили нарушителей и крупным оптом их тиранили. То есть, я считаю главной угрозой проектам третьего-десятого эшелона не тщательное разбирательство со стороны евробюрократии, а нападение частной инициативы с поверхностным поиском типичных проблем и рассылкой шаблонных претензий.

Поэтому:

  • Первый приоритет – устранение грубых нарушений основных принципов GDPR.
  • Второй – устранение тех нарушений, которые легко обнаружить, особенно автоматизированным сканированием.

Устранение нарушений основных принципов GDPR


Выпишите все персональные данные, которые вы собираете, цели и способы их использования – каждую комбинацию «набор данных + цель + способ использования» отдельно.

Если какие-то персональные данные собираются «на всякий случай» «вдруг пригодятся» – это серьёзное нарушение, избавьтесь от них.

Определите законное основание для каждой комбинации – GDPR определяет 6 возможных законных оснований:

  • Согласие (consent)
  • Контракт
  • Требование закона
  • Жизненные интересы физических лиц
  • Общественные интересы
  • Законные интересы контроллера (т.е. ваши)

Это очень важная тема – выбирайте тщательно.

Разберём самые полезные для нас:

Согласие (consent)


Согласие в терминах GDPR – штука очень и очень непростая:
Согласие должно быть:

  • Выделенным: запросы на согласие должны быть отделены от других условий. Согласие не должно быть предварительным условием регистрации на услугу, если это не требуется для этой услуги.
  • Активным: предварительно отмеченные флажки ввода недействительны – используйте не отмеченные флажковые поля или аналогичные активные методы выбора (например, выбор двух равнозначных вариантов).
  • Гранулярные: дают раздельные варианты для отдельного согласования для разных типов обработки, где это необходимо.
  • Персонифицировано: назовите свою организацию и любые третьи стороны, которые будут полагаться на согласие. Даже четко определенные категории сторонних организаций не будут приемлемыми в рамках GDPR.
  • Документировано: ведите учет, чтобы продемонстрировать, на что согласился человек, включая то, что им сказали, и когда и как они согласились.
  • Легко отозвать: сообщите людям, что они имеют право отозвать свое согласие в любое время, и как это сделать. Должно быть так же легко отозвать, как и дать согласие. Это означает, что вам понадобятся простые и эффективные механизмы отзыва.
  • Без дисбаланса в отношениях: согласие не будет дано свободно, если есть дисбаланс в отношениях между физическим лицом и контролером – это сделает согласие особенно трудным для государственных органов и для работодателей, которые должны искать альтернативную законную основу.

В целом тема хорошо раскрывается в ICO's GDPR Consent Guidance (draft) – собственно, это я одну страничку оттуда привёл.

Контракт


Довольно очевидно – если у вас деловые отношения (любого вида – продаёте товары, оказываете услуги, нанимаете на работу и т.д.) с физическим лицом, то вы имеете право собирать и обрабатывать те персональные данные, которые необходимы вам для выполнения ваших обязательств. Это законное основание также покрывает ситуацию, когда физическое лицо ещё только предприняло некие шаги (например, прислало запрос) направленные на установление отношений.

Законные интересы контроллера


Опять непростая тема:
Вы можете обрабатывать личные данные без согласия владельца персональных данных, если у вас есть подлинная и законная причина (включая коммерческую выгоду), если только это не перевешивает вред правам и интересам личности.
То есть вы можете провести оценку баланса ваших интересов против риска для физического лица и решить, что ваши интересы важнее. Разумеется, придётся это задокументировать и, при случае, отстаивать.

Устранение легко обнаруживаемых нарушений


Что легко обнаружить (в том числе автоматически), например, в онлайн-проектах:

  • Отслеживание поведения без согласия.
  • Неправильную форму согласия.
  • Согласие по умолчанию.
  • Запрос лишних персональных данных (например, слишком много обязательных полей с персональными данными в формах).

Стоит всё это исправить – паучки уже могут стоять под парами, ожидая часа Ч…




К сожалению, не доступен сервер mySQL