СтатьяGDPR для веб-сайтов в США: все, что вам нужно знать

Опубликовано: 2022-08-12

Большинство из нас помнят великое безумие GDPR в 2018 году. Скорее всего, вы были перегружены информацией о Европейском союзе (ЕС) и его новом Общем регламенте по защите данных (GDPR). Это радикальное постановление вступило в силу 25 мая 2018 года.

Когда я впервые начал собирать информацию для этой статьи, я был удивлен количеством «экспертных» источников. Многие ссылки, которые появляются в верхней части страниц результатов поисковой системы Google, кажутся «официальными» сайтами.

Они просто рекламируют микросайты для консультантов, чтобы заработать денег. Хотя это верно для рекламы, это в равной степени относится и к органическим результатам. Часть информации на этих сайтах неплохая, но почти во всех случаях она неполная и мотивы авторов неясны.

Чтобы избежать всей этой путаницы и неправильного направления, я решил обратиться к единственному авторитетному источнику: веб-сайту Европейской комиссии. Мои факты и рекомендации основаны непосредственно на тексте Регламента 2016/679 (GDPR), и я обильно цитирую его в этой статье.

Наряду с текстом регламента я изучил заявления сторонних поставщиков услуг, таких как Google и Pardot, в разделе «Осложнения третьих лиц» ниже, но только в том, что касается услуг тех компаний, которыми пользуются многие из наших клиентов.

Моя целевая аудитория состоит из представителей компаний (государственных и частных), базирующихся в США, которые в той или иной степени ведут бизнес в ЕС. Моя цель — помочь им понять, что им нужно делать на своих корпоративных веб-сайтах, чтобы соответствовать новым правилам.

Если ваша компания базируется за пределами США, имеет дело с конфиденциальными данными (например, медицинскими записями), собирает данные о детях, является государственным учреждением или поставщиком услуг для государственных учреждений, то прекратите читать сейчас... Это не для вас.

Чтобы было ясно, я не юрист, и ничто здесь не должно интерпретироваться как юридическая консультация.

Что такое GDPR?

Право на неприкосновенность частной жизни в странах-членах ЕС поддерживается на очень высоком уровне, и бремя, которое ложится на тех, кто собирает данные, больше, чем здесь, в Штатах. Это не новая ситуация. До GDPR в ЕС была принята Директива о защите данных (DPD), которая была принята в 1995 году и в которой были сформулированы многие из тех же принципов, что и в GDPR. И DPD, и GDPR основаны на Хартии основных прав Европейского Союза, которая довольно просто гласит:

Каждый имеет право на защиту персональных данных, касающихся его или ее – Хартия основных прав Европейского Союза, статья 8(1)

Фундаментальный дух GDPR заключается в том, что все «физические лица» (подробнее об этом термине позже) имеют право знать, когда их данные собираются, и право отказаться от такого сбора данных. Если они дадут согласие на коллекция , они имеют право управлять тем, как используются эти данные, отозвать свое согласие и даже удалить позже все свои текущие и исторические данные.

Есть также определенные ожидания, возлагаемые на «контроллеров» и «обработчиков» данных (подробнее об этих терминах позже) в отношении управления и процессов, предназначенных для защиты данных пользователей. И, наконец, есть действия, которые должен предпринять контролер в случае утечки данных.

Одним из лучших ресурсов для понимания духа GDPR является его преамбула. Он написан простым и понятным языком, что делает его более понятным, чем большинство юридических документов. Тем не менее, этот простой язык не полностью передает абсолютную букву закона и не заменяет фактическое регулирование.

В отличие от DPD, правила GDPR распространяются на все государства-члены. От государств-членов не требуется выполнять регламент до того, как он будет считаться вступившим в силу. Но GDPR не исключает дополнительные законы государств-членов, которые могут пойти еще дальше в защите определенных типов конфиденциальных персональных данных, таких как медицинские записи.

GDPR распространяется на все компании, ведущие бизнес в ЕС, независимо от их местонахождения. Доступ пользователя к вашему веб-сайту из ЕС не свидетельствует о вашем намерении вести бизнес в ЕС. Однако если вы активно занимаетесь бизнесом в ЕС, вам необходимо соблюдать GDPR.

Еще одно примечание: GDPR не заменяет и не отменяет Закон ЕС о файлах cookie. Этот нормативный акт действует до сих пор.

Кто и что защищает?

Физические лица, проживающие в ЕС, защищены GDPR. Постановление вступает в силу до Brexit, поэтому на данный момент GDPR включает Великобританию. Физическое лицо можно просто рассматривать как индивидуальное человеческое существо. Юридическое лицо, напротив, может быть просто юридическим лицом. Защита GDPR не распространяется на людей за пределами Европейского Союза.

Любая информация, которая может быть связана с одним человеком, независимо от того, известна ли его личность в настоящее время, считается «Персональными данными».

«персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или на один или несколько факторов, характерных для физического, физиологического, генетическая, умственная, экономическая, культурная или социальная идентичность этого физического лица; – Статья 4(1) Общего регламента по защите данных

«Идентифицируемый» — это термин, к которому мы должны обратиться. Нет необходимости, чтобы мы в настоящее время знали личность человека. Наличие средств (файл cookie, IP-адрес и т. д.) для связывания данных с физическим лицом в более позднее время делает его или ее данные защищенными в соответствии с критериями GDPR.

Регламент избегает обращения к конкретным методам сбора данных (за исключением использования в примерах), поэтому он не зависит от технологии. Учитывая темпы инноваций в области сбора данных, это необходимо, чтобы GDPR мог оставаться относительно перспективным. Файлы cookie, IP-адреса, профили браузера, API-интерфейсы RESTful с пользовательскими данными в пути и любые другие хитроумные методы, которые могут быть придуманы в будущем, подпадают под действие GDPR.

Кто несет ответственность за соблюдение?

Вы . Ваша организация является «контролером» вашего веб-сайта и несет полную ответственность за обеспечение того, чтобы персональные данные обрабатывались в соответствии с GDPR. Когда вы решите использовать стороннюю услугу на своем веб-сайте, которая не соответствует требованиям, вы виноваты.

«Контролер» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; – Статья 4(7) Общего регламента по защите данных

Любая служба, добавляемая на ваш веб-сайт (например, Google Analytics, Pardot и т. д.), также должна соответствовать GDPR. Даже если вы считаете, что добавляемая вами служба не собирает личные данные, вы должны быть осторожны.

Многие бесплатные услуги будут включать некоторую форму сбора данных, которая позже будет использоваться для рекламных сетей. В 2011 году я провел несколько тестов и нашел «бесплатные» виджеты для обмена в социальных сетях, такие как встроенные компоненты отслеживания ShareThis или AddToAny для нескольких рекламных сетей. В одном случае один виджет общего доступа позволял отслеживать полдюжины рекламных сетей.

Вы должны тщательно проверять каждое приложение и сервис, которые вы размещаете на своем веб-сайте. Если части вашего веб-сайта размещаются у третьих лиц (например, отдела по работе с персоналом или по связям с инвесторами), вы должны убедиться, что эти поставщики и любые третьи лица, которых они используют, соблюдают GDPR.

Вы также должны проверять любые третьи стороны, которые не обязательно собирают данные на вашем веб-сайте, но каким-то образом доверили собранные данные. Консультанты по аналитике могут попасть в эту категорию.

Все эти третьи стороны являются «обработчиками» данных ваших пользователей.

«обработчик» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера; – Статья 4(8) Общего регламента по защите данных

Если в вашей компании работает менее 250 человек, и вы не собираете конфиденциальные личные данные, которые могут привести к риску нарушения прав и свобод людей, то существует некоторая снисходительность в отношении записей об обработке данных, что снижает вашу нагрузку. Вы не освобождаетесь от соблюдения GDPR, но к вам не применяются те же стандарты, что и к более крупным организациям.

Правовая основа для обработки

Чтобы сбор любых персональных данных был приемлемым в соответствии с GDPR, он должен соответствовать хотя бы одному из шести критериев. GDPR гласит в статье 6(1):

  1. Обработка является законной только в том случае и в той степени, в которой применяется по крайней мере одно из следующего:

    (a) субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

    (b) обработка необходима для выполнения договора, к которому относится субъект данных. партия или для принятия мер по запросу субъекта данных до заключения договора;

    (c) обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер;

    (d) обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;

    (e) обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;

    (f) обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы превалируют над интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности где субъектом данных является ребенок.

Из этих шести баз только первая применима к большинству веб-сайтов наших клиентов. Для разделов карьеры и электронной коммерции или любой услуги, где требуется вход в систему, также может применяться принцип (B).

Удостоверение личности

Это очень важная концепция при определении того, какие типы сбора данных не требуют правовой основы в соответствии с GDPR. В каком-то смысле идентификацию легко понять... Можем ли мы связать эти данные с физическим лицом? Если это так, то очевидно, что этот человек защищен GDPR.

Что произойдет, если мы отследим анонимного человека с помощью файла cookie или какой-либо другой технологии отслеживания? Даже если это лицо анонимно, позже можно идентифицировать его или ее путем сбора дополнительных данных. Таким образом, этот человек защищен.

Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации. Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут быть использованы для создания профилей физических лиц и их идентификации. – Преамбула GDPR (30)

Причина в том, что мы никогда не сможем собирать данные об отдельных пользователях без предварительного согласия на это. Если бы мы собирали данные, а затем связывали их с физическим лицом позднее, мы бы нарушили этот принцип.

Права пользователей

Согласие должно быть получено до сбора персональных данных. И все данные, относящиеся к указанному согласию, должны храниться, в том числе, в частности, когда было дано согласие и на какие формы обработки согласился пользователь. И наоборот, если пользователь отзывает согласие на сбор некоторых или всех персональных данных, этот отзыв также должен быть зарегистрирован.

«согласие» субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, которым он или она заявлением или четким утвердительным действием выражает согласие на обработку относящихся к нему персональных данных. или ее; – Статья 4(11) Общего регламента по защите данных

Обратите внимание, что у некоторых третьих сторон может быть свой собственный механизм для получения согласия, но разрешение этим службам внедряться в ваш пользовательский опыт будет дезориентировать людей. Если вы не используете одного стороннего поставщика для хранения информации о ваших пользователях, мы предлагаем создать свой собственный единый простой механизм согласия, который будет четким и лаконичным. Он должен использоваться для управления всеми различными средствами сбора данных на вашем веб-сайте, в том числе третьими лицами.

«согласие» должно быть выражено четким утвердительным актом, устанавливающим свободно данное, конкретное, информированное и недвусмысленное указание на согласие субъекта данных на обработку относящихся к нему персональных данных, например, в виде письменного заявления, в том числе с помощью электронных средств. или устное заявление. – Преамбула GDPR (32)

Пользователи имеют право на доступ к своим данным, исправление своих данных, и, когда законная основа для обработки данных больше не существует (например, пользователь отзывает согласие или больше не является клиентом), субъект данных имеет право быть забыл. Сюда входят контроллеры, уведомляющие процессоры, которые также могут хранить собранные пользовательские данные.

Кроме того, персональные данные следует забыть, когда они больше не нужны для правового основания, на котором они были собраны, или для целей, для которых было дано согласие.

Защита данных и сертификация

GDPR требует, чтобы контроллеры данных (то есть вы) и обработчики данных предпринимали соответствующие шаги (как технические, так и организационные) для защиты персональных данных.

Чтобы иметь возможность продемонстрировать соблюдение настоящего Регламента, контролер должен принять внутреннюю политику и внедрить меры, которые соответствуют, в частности, принципам защиты данных по дизайну и защите данных по умолчанию. Такие меры могут состоять, в частности, в минимизации обработки персональных данных, скорейшей псевдонимизации персональных данных, прозрачности в отношении функций и обработки персональных данных, предоставлении возможности субъекту данных контролировать обработку данных, предоставлении контролеру возможности создавать и улучшать функции безопасности. – Преамбула Общего регламента по защите данных (78)

Эти меры должны также включать ограниченный доступ, шифрование и другие передовые методы обеспечения безопасности данных. Авторы GDPR призывают контролеров и процессоров идентифицировать и соблюдать сертификаты защиты данных, такие как ISO / IEC 27018 Кодекс практики для защиты личной информации.

В целях повышения прозрачности и соответствия настоящему Регламенту следует поощрять создание механизмов сертификации и пломб и знаков защиты данных, позволяющих субъектам данных быстро оценивать уровень защиты данных соответствующих продуктов и услуг. – Преамбула GDPR (100)

Псевдонимизация

В своем исследовании я обнаружил, что псевдонимизация была наиболее неправильно понятой концепцией GDPR. Псевдонимизация — это не то же самое, что анонимизация; это просто действие по удалению свойств из набора данных, которое делает пользовательские записи идентифицируемыми и сохраняет эти свойства в отдельном источнике данных с использованием той или иной формы уникального идентификатора. Псевдонимизированные данные могут быть согласованы с этим отдельным источником данных для идентификации отдельных пользователей.

«псевдонимизация» означает обработку персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам. обеспечить, чтобы персональные данные не относились к идентифицированному или идентифицируемому физическому лицу; - Статья 4(5) Общего регламента по защите данных

Псевдонимизация собранных данных не создает правовых оснований для обработки пользовательских данных. Однако это лучшая практика для безопасного хранения пользовательских данных, особенно когда эти данные хранятся у процессора или другой третьей стороны. Например, вы можете использовать уникальный идентификатор в наборе данных процессора, который можно объединить с вашим собственным набором данных для идентификации пользователя.

Раскрытие информации об утечке данных

В случае утечки персональных данных контролеры обязаны уведомить свой надзорный орган в течение 72 часов с момента получения информации об этом. Поскольку вы являетесь частью компании, базирующейся в США, надзорным органом будет орган (государства)-члены, в которых проживает субъект (субъекты) данных.

«нарушение безопасности персональных данных» означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к переданным, сохраненным или иным образом обработанным персональным данным; – Статья 4(12) Общего регламента по защите данных

Контроллеры также обязаны уведомлять затронутых субъектов данных в случае нарушения, хотя сроки такого уведомления могут зависеть от мер, необходимых для предотвращения продолжающихся или подобных нарушений данных. В руководящих принципах просто говорится, что с субъектами данных следует связаться без неоправданной задержки.

Штрафы

Штрафы за нарушение GDPR можно разделить на две категории:

  1. Штрафы, наложенные надзорными органами
  2. Компенсация субъектам данных, чьи права были нарушены

Большинство статей, которые я читал, как правило, посвящены штрафам, которые могут быть наложены надзорными органами.

И легко понять, почему.

Штрафы могут достигать 20 000 000 евро или до 4% от общего мирового годового оборота за предыдущий финансовый год. Это страшные цифры.

Но важно понимать, что эти штрафы являются верхним пределом, предназначенным для самых вопиющих и разрушительных ситуаций. При определении размера штрафа учитываются многие факторы.

При решении вопроса о наложении административного штрафа и определении размера административного штрафа в каждом отдельном случае учитываются:

  1. характер, серьезность и продолжительность нарушения с учетом характера объема или цели соответствующей обработки, а также количества затронутых субъектов данных и уровня понесенного ими ущерба;
  2. умышленный или неосторожный характер нарушения;
  3. любые действия, предпринятые контролером или обработчиком для уменьшения ущерба, нанесенного субъектам данных;
  4. степень ответственности контролера или обработчика с учетом технических и организационных мер, реализованных ими в соответствии со статьями 25 и 32;
  5. любые соответствующие предыдущие нарушения со стороны контроллера или процессора;
  6. степень сотрудничества с надзорным органом для устранения нарушения и смягчения возможных неблагоприятных последствий нарушения;
  7. категории персональных данных, затронутых нарушением
  8. способ, которым о нарушении стало известно надзорному органу, в частности, уведомил ли контролер или обработчик о нарушении, и если да, то в какой степени;
  9. если меры, указанные в Статье 58(2), ранее были предписаны в отношении соответствующего контролера или обработчика в отношении того же предмета, соблюдение этих мер;
  10. соблюдение утвержденных кодексов поведения в соответствии со статьей 40 или утвержденных механизмов сертификации в соответствии со статьей 42; а также
  11. любой другой отягчающий или смягчающий фактор, применимый к обстоятельствам дела, такой как полученная финансовая выгода или убытки, которых удалось избежать, прямо или косвенно, в результате нарушения.

– Статья 83(2) Общего регламента по защите данных

Более неизвестно, какой может быть компенсация для субъектов данных, чьи права были нарушены. Маловероятно, что какое-либо нарушение GDPR затронет только одного человека, поэтому разумно ожидать какой-либо формы группового судебного разбирательства.

Национальные правила государств-членов ЕС сильно различаются в отношении вопросов группового судебного разбирательства (групповой иск). Таким образом, прогнозирование последствий до того, как постановление вступит в силу, лучше оставить профессиональным юристам. Возможно, еще лучше, ясновидящие, вглядывающиеся в хрустальные шары.

Некоторые распространенные сценарии

Суть в том, что соблюдение GDPR не должно быть таким сложным. Хотя есть несколько основных шагов, которые вам необходимо предпринять, рекомендации ясны и измеримы. Если вы вели бизнес в ЕС, но не соблюдали Директиву о защите данных, вам придется немного наверстать упущенное. Но подчеркну, что это не так уж и плохо.

Есть несколько общих сценариев, общих для почти всех предприятий, которые обслуживает BrandExtract. Как правило, мы стараемся уберечь наших клиентов от ситуаций, требующих получения согласия или управления личными данными, за исключением случаев, когда это абсолютно необходимо. Но есть ситуации, когда это имеет смысл. Вот несколько конкретных ситуаций с рекомендациями:

Гугл Аналитика

Позиция BrandExtract заключается в том, что сбор и хранение полного IP-адреса пользователя не нужны для качественной аналитики. А анонимизации IP-адреса путем отбрасывания последнего октета IPv4-адресов и последних 80 бит IPv6-адресов достаточно, чтобы исключить возможность идентификации пользователя со стороны Google.

Это можно легко сделать в Google Analytics, используя функцию анонимизации IP-адресов, встроенную в библиотеку JavaScript GA. Его можно просто вызвать для всех пользователей, независимо от того, заходят ли они на ваш сайт из ЕС или нет. Когда используется анонимизация IP-адреса, никакие идентифицируемые личные данные не записываются на серверах Google.

Кроме того, можно отключить использование файла cookie Google Analytics на вашем веб-сайте. Это приведет к потере некоторых аналитических данных (мы находимся в процессе тестирования, чтобы увидеть, что будет потеряно). Но благодаря анонимизации IP-адреса и удалению файла cookie нам больше не нужно собирать согласие на использование Google Analytics, поскольку пользователь больше не может быть идентифицирован.

По-прежнему можно использовать Google Analytics с файлами cookie, но перед этим необходимо получить согласие. Также обратите внимание, что Google пообещал инструменты для удаления данных отдельных пользователей из аналитики, чтобы обеспечить соответствие. Они должны быть готовы к 25 мая.

Файлы журнала веб-сервера

По умолчанию все запросы к вашему веб-серверу записываются в лог-файлы. Каждая запись включает в себя IP-адрес пользователя, который считается персональными данными, поскольку впоследствии его можно будет использовать для ретроактивного отслеживания действий этого пользователя, если он или она будут впоследствии идентифицированы. Запись IP-адреса должна быть отключена или IP-адрес должен быть анонимным.

Пардо

Как и Google, Pardot придерживается позиции, что вы являетесь контроллером, а он процессором. Предложение услуг Pardot зависит от способности идентифицировать пользователя. Поэтому, если вы собираетесь использовать услуги Pardot на своем веб-сайте, у вас должно быть законное основание для обработки данных пользователя.

У Pardot еще нет инструментов для сбора или удаления пользовательских данных, и они не ожидают, что эти инструменты будут готовы к установленному сроку. Все запросы на данные и запросы на забвение должны быть сделаны через службу поддержки Pardot.

Хабспот

Части предложения услуг Hubspot включают формы приема и отслеживание пользователей. Если вы не используете никаких сторонних поставщиков для отслеживания пользователей, вы можете рассмотреть возможность использования механизма сбора согласия Hubspot. Эта новая функция должна быть реализована к 25 мая.

Если вы используете других поставщиков в дополнение к Hubspot или храните пользовательские данные в своих собственных системах, вам необходимо создать собственный механизм получения согласия на все способы хранения пользовательских данных.

Рекламная рассылка

Если вы пользуетесь услугами поставщика маркетинговых услуг по электронной почте или имеете собственный механизм отслеживания ответов пользователей по электронной почте, вы должны получить согласие или юридическое основание, прежде чем отправлять электронное письмо. Для кампаний по электронной почте вам потребуются установленные отношения с субъектом данных, которые включают правовую основу для обработки.

Размещенные шрифты и другие активы

Это легко... Если вы беспокоитесь о GDPR, не используйте третьих лиц для размещения шрифтов вашего веб-сайта, библиотек javascript или других ресурсов. Если определенный шрифт доступен только через сторонний хост, просто используйте другой шрифт.

Все поставщики будут иметь свои собственные условия обслуживания и уровни соответствия, которые потребуют постоянного мониторинга, чтобы убедиться, что их политики не меняются. Постарайтесь избежать этих хлопот и риска.

Службы обмена (ShareThis, AddToAny и т. д.)

Они ужасны, не используйте их. Еще до появления заслуживающих внимания событий GDPR, BrandExtract всегда уводил наших клиентов от этих паразитов, замаскированных под услуги. Вашим пользователям не нужна возможность поделиться вашей веб-страницей в 47 социальных сетях, о которых никто никогда не слышал. BrandExtract имеет собственный код для совместного использования на всех основных платформах, которые действительно важны для вашего бизнеса.

Персонализация

Этот тоже несложный. Любые сценарии персонализации, кроме широкой геолокации по континентам или странам, требуют идентификации пользователя, и у вас должно быть согласие пользователя. Обойти это просто невозможно.

Ресурсы

  • Веб-сайт Европейской комиссии
  • Текст GDPR
  • Анонимизация IP в Analytics
  • Отключение файлов cookie аналитики

Правила GDPR могут быть подавляющими. Надеюсь, мы помогли собрать воедино все, что вам нужно знать. Если вы планируете провести аудит своего сайта, мы будем рады пообщаться. Мы узнаем еще больше о GDPR с нашей командой экспертов в нашем выпуске подкаста GDPR. Вот несколько советов и ресурсов, которые помогут вам получить больше информации о веб-и цифровых возможностях для вашего бренда:

  • Узнайте, что нужно, чтобы сделать ваш сайт доступным.
  • Узнайте о ключах к безопасности веб-сайта и о том, как обеспечить безопасность вашего сайта.
  • Посмотрите, как создать привлекательный (и конвертирующий) бизнес-сайт.