GDPR — правила обработки персональных данных в Европе

Дата последнего изменения:

С 25 мая 2018 года в Европе начинают действовать новые правила обработки персональных данных. Эти правила устанавливает новый регламент защиты персональных данных в ЕС. Он называется GDPR — General Data Protection Regulation.

Этот регламент влияет на все компании, которые работают с данными резидентов Евросоюза, даже если компания зарегистрирована не в европейской стране.

Если вы продаете в Европу, мы рекомендуем обратить внимание на новые правила.

В этой статье:

Что такое GDPR

Новый регламент предоставляет европейцам инструменты для полного контроля над своими персональными данными. У них есть право получать эти данные, исправлять, удалять их и ограничивать к ним доступ. Если вы каким-то образом собираете персональные данные, вы обязаны получать на это явное разрешение от пользователей.

За нарушение правил обработки персональных данных по GDPR — штрафы до 20 млн евро или 4% годового глобального дохода компании.

Что GDPR подразумевает под персональными данными

Персональные данные в GDPR — это любая информация, которая относится к человеку и по которой можно определить его прямо или косвенно. Фактически, это любая информация о человеке: имя, фото, адрес почты, банковские детали, посты в соцсетях, медицинская информация, IP-адрес, коды из аналитики и не только. Определение очень широкое и по факту включает в себя любую информацию о человеке.

Как соответствовать GDPR

Чтобы спокойно продавать в Европу и не переживать из-за GDPR, мы рекомендуем выполнить следующие шаги.

Получать явное согласие покупателей на сбор и обработку их данных

Но новым правилам вам необходимо получать явное согласие пользователей на обработку персональных данных. Вам нужно подготовить понятную политику конфиденциальности с детальной информацией о вашей компании и с описанием, где хранятся и как обрабатываются данные. В политике должно говориться о правепользователя отозвать согласие на использование персональных данных.

В Эквиде можно настроить магазин так, чтобы покупатели принимали политику конфиденциальности и соглашались с условиями предоставления сервиса, и только потом могли разместить заказ. Для этого включите опцию Требовать согласия с «Условиями предоставления сервиса» в процессе оформления заказа в панели управления Эквида → Настройки → Общие → Правовые документы:

Опция «Я принимаю условия сервиса»

Когда эта опция включена, покупатель можетразместить заказ только после того, как примет условия сервиса и политику конфиденциальности. Поэтому размещенный заказ означает явное согласие на сбор и обработку данных.

Обеспечивать покупателям право доступа к своим данным

Этот пункт означает, что вам необходимо обеспечивать покупателям возможность получить копию своих данных в читаемом виде. Если покупатели просят вас выдать им эти данные, Эквид может предоставить сохраненную информацию. Помните, что если вы используете в магазине сервисы и приложения, у них тоже может быть доступ к данным покупателям.

Обеспечивать покупателям право удалять, редактировать и ограничивать использование своих данных

По вашей просьбе Эквид может удалить данные покупателей. Некоторые данные вы можете удалить сами через контрольную панель. Если покупатель просит вас удалить его заказ, по новым правилам вы обязаны это сделать.

Мы рекомендуем хранить данные покупателей только в электронном виде. Они должны быть зашифрованы и защищены сильным паролем. Пароль лучше генерировать при помощи специальных сервисов: например, LastPass и OnePassword. Очень сложно обеспечить безопасность данных, если они напечатаны (например, на счетах), поэтому данные лучше хранить только в электронном виде.

Уведомлять пользователей об утечке данных

По новым правилам компании обязаны уведомлять регулирующие органы и пользователей о любых нарушениях и утечках персональных данных. Такое уведомление нужно отправить в течение 72 часов после обнаружения проблемы.

Как Эквид подготовился к GDPR

Эквид следует новым правилам GDPR при сборе, хранении, обработке и передаче персональных данных. Все процессы соответствуют GDPR, так как в Эквиде мы сделали следующее:

  • назначили инженера по защите данных; он отвечает за безопасность информации в Эквиде;
  • обучили команду, как работать в соответствии с GDPR;
  • научили команду обрабатывать запросы на предоставление данных пользователям и удаление данных;
  • разработали методы обнаружения, исследования и устранения проблем с персональными данными;
  • работаем только с партнерами, которые могут обеспечить сохранность данных.
К началу
Статья ответила на ваш вопрос?

Пожалуйста, пришлите нам этот вопрос. Мы будем рады ответить по почте.

Отправить вопрос