GDPR — правила обработки персональных данных в Европе
С 25 мая 2018 года в Европе начинают действовать новые правила обработки персональных данных. Эти правила устанавливает новый регламент защиты персональных данных в ЕС. Он называется GDPR — General Data Protection Regulation.
Этот регламент влияет на все компании, которые работают с данными резидентов Евросоюза, даже если компания зарегистрирована не в европейской стране.
Если вы продаете в Европу, мы рекомендуем обратить внимание на новые правила.
В этой статье:
Что такое GDPR
Новый регламент предоставляет европейцам инструменты для полного контроля над своими персональными данными. У них есть право получать эти данные, исправлять, удалять их и ограничивать к ним доступ. Если вы каким-то образом собираете персональные данные, вы обязаны получать на это явное разрешение от пользователей.
За нарушение правил обработки персональных данных по GDPR — штрафы до 20 млн евро или 4% годового глобального дохода компании.
Что GDPR подразумевает под персональными данными
Персональные данные в GDPR — это любая информация, которая относится к человеку и по которой можно определить его прямо или косвенно. Фактически, это любая информация о человеке: имя, фото, адрес почты, банковские детали, посты в соцсетях, медицинская информация, IP-адрес, коды из аналитики и не только. Определение очень широкое и по факту включает в себя любую информацию о человеке.
Как соответствовать GDPR
Чтобы спокойно продавать в Европу и не переживать из-за GDPR, мы рекомендуем выполнить следующие шаги.
Получать явное согласие покупателей на сбор и обработку их данных
Но новым правилам вам необходимо получать явное согласие пользователей на обработку персональных данных. Вам нужно подготовить понятную политику конфиденциальности с детальной информацией о вашей компании и с описанием, где хранятся и как обрабатываются данные. В политике должно говориться о праве пользователя отозвать согласие на использование персональных данных.
В Эквиде можно настроить магазин так, чтобы покупатели принимали политику конфиденциальности и соглашались с условиями предоставления сервиса, и только потом могли разместить заказ. Для этого включите опцию Требовать согласия с условиями предоставления сервиса при оформлении заказа в панели управления Эквида → Правовые аспекты:
Когда эта опция включена, покупатель может разместить заказ только после того, как примет условия сервиса и политику конфиденциальности. Поэтому размещенный заказ означает явное согласие на сбор и обработку данных.
Обеспечивать покупателям право доступа к своим данным
Этот пункт означает, что вам необходимо обеспечивать покупателям возможность получить копию своих данных в читаемом виде. Если покупатели просят вас выдать им эти данные, Эквид может предоставить сохраненную информацию (эта опция доступна в панели управления Эквида → Правовые аспекты). Помните, что если вы используете в магазине сервисы и приложения, у них тоже может быть доступ к данным покупателя.
Обеспечивать покупателям право удалять, редактировать и ограничивать использование своих данных
По вашей просьбе Эквид может удалить данные покупателей. Опция удаления персональных данных покупателей доступна доступна в панели управления Эквида → Правовые аспекты. Если покупатель просит вас удалить его заказ, по новым правилам вы обязаны это сделать (это тоже можно сделать в панели управления Эквида).
Уведомлять пользователей об утечке данных
По новым правилам компании обязаны уведомлять регулирующие органы и пользователей о любых нарушениях и утечках персональных данных. Такое уведомление нужно отправить в течение 72 часов после обнаружения проблемы.