Работаем с GDPR: кейс, как избежать штрафа в €20 млн

Только выход на международный уровень дает бизнесу реальные возможности для роста, повышения капитализации и привлечения новых платёжеспособных клиентов. Однако глобальный рынок имеет множество «подводных камней» и требований регуляторов, без соблюдения которых можно не только упустить свою прибыль, но и «попасть» на многомиллионные штрафы.

 

 

Сегодня мы расскажем о главном европейском нововведении последних лет – GDPR (General Data Protection Regulation), и о том, как с этим работать не в убыток себе.

GDPR: что это такое?

GDPR или, по-русски, «Общий регламент о защите персональных данных» был принят в Европейском союзе в прошлом году, а вступил в силу в мае 2018 года. Документ призван защитить конечного пользователя интернета от чрезмерного использования корпорациями персональных данных, отслеживания истории посещений сайтов и пр.

Как видим, авторы документа преследуют благие цели, ведь никто из нас не любит, чтобы каждое наше действие отслеживалось, хранилось непонятно где и использовалось для «преследования» нас спамом. Теперь же, без согласия пользователей и уведомления клиентов о типе полученных данных, никто не сможет воспользоваться персональной информацией о жителях ЕС. 

Однако на практике это оказалось серьезным препятствием для бизнеса, так как современные системы таргетирования рекламы, соцсети и даже поисковики не могут показывать целевой аудитории подходящий контент, что снижает конверсию и, соответственно, повышает расходы на рекламу. Даже обычные сайты-визитки стали «заложниками» GDPR.

Более того, за использование персональных данных без учета GDPR бизнесу грозят огромные штрафы, вплоть до €20 млн. или 4% годового оборота. Десятки фирм уже закрылись или погрязли в затяжных судебных разбирательствах.

Главная проблема, что Интернет охватил весь мир, а граждане ЕС могут зайти на любой сайт за пределами Европы. В итоге, GDPR ударил по всей «глобальной паутине». Также не ясна судьба тех данных, которые уже ликвидированные компании собрали на своих клиентов.

Говоря официальным языком, акт о GDPR является экстерриториальным и действует по всей планете, а не только в ЕС, что ставит под удар, в том числе, и страны СНГ. Что уж говорить о бизнесе, если 40% европейских компаний оказались неготовыми к GDPR.

Как работать с GDPR бизнесу: кейс компании Law&Trust International

Наша компания помогает клиентам разобраться в хитросплетениях акта о GDPR и защитить бизнес от серьезнейших санкций, вплоть до ликвидации юрлица. У специалистов Law&Trust International уже накопилось достаточно практики и кейсов, позволяющих нам дать ряд важных практических советов собственникам и менеджменту предприятий.

Например, к нам недавно обратилась фирма-разработчик программного обеспечения, которой нужно было гармонизировать сайт с требованиями GDPR. Их сайт, как и подавляющее большинство подобных интернет-ресурсов, собирал следующую информацию о пользователях:

• IP-адрес устройства, с которого сайт был посещен;
• технические характеристики устройства и браузера;
• полное имя пользователя, дата его рождения и другие персональные данные (при регистрации). 

Сбор и хранение этой информации, без согласия пользователя, грозит большими рисками. Чтобы избежать штрафов, нашему клиенту пришлось менять не только настройки сайта, но и перенастраивать архитектуру мобильного приложения. Вот какие коррективы он внес по нашим рекомендациям:

• все посетители сайта теперь видят развернутое уведомление о том, какие персональные данные (ПД) будут собраны и для чего;
• перед работой с сайтом пользователь обязан ознакомиться с политикой конфиденциальности и дать согласие на использование компанией его ПД; 
• юридические документы компании были адаптированы к нормам GDPR.

Как провести экспресс-аудит своего бизнеса

Чтобы не быть оштрафованным, рекомендуем вам прямо сейчас обратиться к специалистам. Если их нет поблизости, то помните о следующих важных нюансах:

1. здраво оценивайте риски при обработке персональных данных;
2. соблюдайте требования оформления персональных данных;
3. учитывайте критерии GDPR при разработке ПО;
4. всегда получайте согласие пользователя на обработку данных;
5. будьте готовы, что пользователь передумает, и вам придется оперативно удалять его данные;
6. всегда документально подтверждайте сбор и обработку ПД;
7. получайте согласие родителей на обработку ПД детей;
8. определите заранее орган ЕС, который ответственен за ваш сегмент рынка;
9. позаботьтесь о наличии представителя на территории ЕС для связи с регулятором;
10. в идеале (в некоторых случаях обязательно) – назначьте в компании сотрудника, который будет контролировать работу с ПД и взаимодействовать с регулятором.

Призываем бизнес не быть пассивным и своевременно реагировать на изменения в сфере защиты персональных данных, иначе вам грозят огромные штрафы и даже закрытие компании. Чем раньше вы к нам обратитесь – тем больше средств сэкономите в последствии.

Получите подробную консультацию по адаптации вашего бизнеса к требованиям GDPR у наших специалистов. Ждем Вас.