Блог Ecom Today | 7 июня, 2022

ЧТО ТАКОЕ GDPR И КАК ПРАВИЛЬНО СОБИРАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

ЧТО ТАКОЕ GDPR И КАК ПРАВИЛЬНО СОБИРАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Если вы собираетесь работать с резидентами Евросоюза, вы должны знать, что такое GDPR
25 мая 2018 года начали действовать правила обработки личных данных GDPR (General Data Protection Regulation). Требования, вступившие в силу, дают возможность резидентам ЕС быть уверенными в сохранности персональных данных, а также в том, что их не используют в каких-либо противозаконных целях. Также они упрощают процессы, происходящие в экономической сфере при взаимодействии партнеров или клиентов из разных стран.

Если вы собираетесь работать с резидентами Евросоюза или уже работаете с ними, вы должны знать все об этом законе: что такое GDPR, какие данные являются персональными, как соблюдать требования, чтобы не попасть под санкции и не выплачивать штраф — именно об этом мы и расскажем в нашей статье.
25 мая 2018 года начали действовать правила обработки личных данных GDPR (General Data Protection Regulation). Требования, вступившие в силу, дают возможность резидентам ЕС быть уверенными в сохранности персональных данных, а также в том, что их не используют в каких-либо противозаконных целях. Также они упрощают процессы, происходящие в экономической сфере при взаимодействии партнеров или клиентов из разных стран.

Если вы собираетесь работать с резидентами Евросоюза или уже работаете с ними, вы должны знать все об этом законе: что такое GDPR, какие данные являются персональными, как соблюдать требования, чтобы не попасть под санкции и не выплачивать штраф — именно об этом мы и расскажем в нашей статье.

Что такое GDPR?

Наверное, каждый пользователь интернета и современных гаджетов хоть раз в жизни задумался, где хранятся отпечатки его пальцев и фотография, необходимая для разблокировки телефона. Или зачем при покупке товара в интернет-магазине иногда нужно прописывать в анкете дату своего рождения. Зачем и кому нужна эта информация? Может ли кто-нибудь воспользоваться ей ради своих целей? Как компания находит вашу почту, чтобы выслать заманчивое предложение о грядущих скидках и акциях?

Очень часто мы передаем свои персональные данные и в реальной жизни. К примеру, во время знакомства с новым человеком, при записи на прием к врачу, чтобы получить консультацию и соответствующее лечение, во время приема на работу, а также при ее поиске. Мало кто беспокоится о судьбе своих данных. На самом же деле, получая комфорт, безопасность в обмен на конфиденциальную информацию, вы очень рискуете, ведь недобросовестные компании могут использовать персональные данные против вас.
Что такое GDPR?
Наверное, каждый пользователь интернета и современных гаджетов хоть раз в жизни задумался, где хранятся отпечатки его пальцев и фотография, необходимая для разблокировки телефона. Или зачем при покупке товара в интернет-магазине иногда нужно прописывать в анкете дату своего рождения. Зачем и кому нужна эта информация? Может ли кто-нибудь воспользоваться ей ради своих целей? Как компания находит вашу почту, чтобы выслать заманчивое предложение о грядущих скидках и акциях?

Очень часто мы передаем свои персональные данные и в реальной жизни. К примеру, во время знакомства с новым человеком, при записи на прием к врачу, чтобы получить консультацию и соответствующее лечение, во время приема на работу, а также при ее поиске. Мало кто беспокоится о судьбе своих данных. На самом же деле, получая комфорт, безопасность в обмен на конфиденциальную информацию, вы очень рискуете, ведь недобросовестные компании могут использовать персональные данные против вас.
Недобросовестные компании могут использовать персональные данные против вас
В Европе решили сократить количество случаев и жалоб, когда пользователи страдали из-за некорректного к ним отношения со стороны продавцов, медицинских работников, сотрудников из сферы услуг. В итоге 27 апреля 2016 года приняли Общий Регламент защиты данных, или GDPR. Использоваться новый закон начал после двухлетнего перерыва, чтобы люди, имеющие отношение к бизнесу, смогли настроиться на нововведения и подготовиться к ним. Правила GDPR дополнили существующие нормы касательно защиты личных данных во всех европейских странах.
В Европе решили сократить количество случаев и жалоб, когда пользователи страдали из-за некорректного к ним отношения со стороны продавцов, медицинских работников, сотрудников из сферы услуг. В итоге 27 апреля 2016 года приняли Общий Регламент защиты данных, или GDPR. Использоваться новый закон начал после двухлетнего перерыва, чтобы люди, имеющие отношение к бизнесу, смогли настроиться на нововведения и подготовиться к ним. Правила GDPR дополнили существующие нормы касательно защиты личных данных во всех европейских странах.

Как вывести свой бренд на международный рынок?

Скачайте наш подробный авторский гайд и узнайте, как пошагово начать продавать товары онлайн в Европу и США.

Что относится к персональным данным по GDPR?

В вопросах, которые относятся к действию Регламента, немаловажную роль играет само определение, что представляют собой персональные данные. Ведь нормы GDPR направлены именно на защиту личной информации каждого пользователя сети.

Персональные данные согласно GDPR ― важная информация, включающая имя, фамилию, номер телефона, налоговый номер, ник в социальной сети. Кроме этого к персональным данным относится:

  • номер паспорта;
  • адрес проживания;
  • адрес электронной почты;
  • логин на определенном сайте, указанный при регистрации;
  • IP-адрес;
  • номер банковской карты;
  • номер личного транспорта.

Почерк человека, а также его фотографии, видеозаписи, сделанные на телефон или камеру считаются индивидуальными данными, так как они относятся к той или иной личности, идентифицируют ее. Важно помнить, что отдельные данные о болезнях человека, о поисковых запросах, семейном статусе, проведенных транзакциях в электронном кошельке ― просто информация и ничего более. Ее вполне можно считать анонимной до того момента, пока не будет определен идентификатор ― сама личность, к которой она относится.
Что относится к персональным данным по GDPR?
В вопросах, которые относятся к действию Регламента, немаловажную роль играет само определение, что представляют собой персональные данные. Ведь нормы GDPR направлены именно на защиту личной информации каждого пользователя сети.

Персональные данные согласно GDPR ― важная информация, включающая имя, фамилию, номер телефона, налоговый номер, ник в социальной сети. Кроме этого к персональным данным относится:

  • номер паспорта;
  • адрес проживания;
  • адрес электронной почты;
  • логин на определенном сайте, указанный при регистрации;
  • IP-адрес;
  • номер банковской карты;
  • номер личного транспорта.

Почерк человека, а также его фотографии, видеозаписи, сделанные на телефон или камеру считаются индивидуальными данными, так как они относятся к той или иной личности, идентифицируют ее. Важно помнить, что отдельные данные о болезнях человека, о поисковых запросах, семейном статусе, проведенных транзакциях в электронном кошельке ― просто информация и ничего более. Ее вполне можно считать анонимной до того момента, пока не будет определен идентификатор ― сама личность, к которой она относится.
Персональные данные согласно GDPR ― информация, включающая имя, фамилию, номер телефона, налоговый номер, ник в социальной сети
К примеру, личными данными можно считать то, что описывает субъекта: Ивану Иванову 40 лет, он работает графическим дизайнером. В указанном случае персональная информация ― не только инициалы, но также род деятельности, возраст. Если же вам известно только то, что человека зовут Иваном и ему 40 лет, эта информация перестает быть личной, так как таких людей в городе могут быть десятки, а то и сотни.
К примеру, личными данными можно считать то, что описывает субъекта: Ивану Иванову 40 лет, он работает графическим дизайнером. В указанном случае персональная информация ― не только инициалы, но также род деятельности, возраст. Если же вам известно только то, что человека зовут Иваном и ему 40 лет, эта информация перестает быть личной, так как таких людей в городе могут быть десятки, а то и сотни.

Как соблюдать GDPR?

Чтобы соблюдать правила GDPR, необходимо придерживаться следующего:

  • Разместить на своем сайте или в интернет-магазине информацию о сборе чужих данных. Пользователь обязан знать о том, что ваша компания может использовать его личную информацию (в том числе и cookies), после чего согласиться на условия или отказаться от посещения сайта. Рассказать об этом можно при помощи всплывающего окна или бампера, на котором можно прописать нюансы политики конфиденциальности вашей компании.

  • Спросить у пользователей, согласны ли они на то, чтобы ваша компания собирала их данные с последующей обработкой. Посетитель должен подтвердить свое согласие, поставив галочку в определенном поле. Галочку никто не сможет нажать, кроме самого клиента.

  • Ввести double opt-in. В законе GDPR нет ничего о том, что вы обязаны вводить на сайте подтверждение подписки, однако лучше все же сделать это. Скорее всего, вы не раз получали письма на электронную почту, позволяющие подтвердить свою регистрацию на том или ином сайте. Подобный прием позволяет избежать жалоб со стороны клиентов и иметь только осознанных подписчиков.

  • Предоставлять данные пользователя и удалять их, как только он того захочет. Если посетитель захотел увидеть личные данные, которые вы собрали о нем, вы обязаны их ему показать ― например, переслать на почту. Если же пользователь просит, чтобы вы удалили его данные, вы обязаны это сделать.
Как соблюдать GDPR?
Чтобы соблюдать правила GDPR, необходимо придерживаться следующего:

  • Разместить на своем сайте или в интернет-магазине информацию о сборе чужих данных. Пользователь обязан знать о том, что ваша компания может использовать его личную информацию (в том числе и cookies), после чего согласиться на условия или отказаться от посещения сайта. Рассказать об этом можно при помощи всплывающего окна или бампера, на котором можно прописать нюансы политики конфиденциальности вашей компании.

  • Спросить у пользователей, согласны ли они на то, чтобы ваша компания собирала их данные с последующей обработкой. Посетитель должен подтвердить свое согласие, поставив галочку в определенном поле. Галочку никто не сможет нажать, кроме самого клиента.

  • Ввести double opt-in. В законе GDPR нет ничего о том, что вы обязаны вводить на сайте подтверждение подписки, однако лучше все же сделать это. Скорее всего, вы не раз получали письма на электронную почту, позволяющие подтвердить свою регистрацию на том или ином сайте. Подобный прием позволяет избежать жалоб со стороны клиентов и иметь только осознанных подписчиков.

  • Предоставлять данные пользователя и удалять их, как только он того захочет. Если посетитель захотел увидеть личные данные, которые вы собрали о нем, вы обязаны их ему показать ― например, переслать на почту. Если же пользователь просит, чтобы вы удалили его данные, вы обязаны это сделать.
Если вы потеряли чужие данные или был совершен взлом, вы должны рассказать об этом своим клиентам в течение 5 дней
  • Сообщать пользователю об утере его данных. Если случилась авария на сайте, вы потеряли чужие данные, произошла их утечка, был совершен взлом, вы должны рассказать об этом своим клиентам и посетителям в течение 5 дней.

  • Отписывать во всех карточках. Если у вас есть карточки, в которых указан одинаковый e-mail, то если этот электронный адрес отпишется от рассылки, это должно распространяться на все карточки. В случае, если пользователь пропишет свой новый mail и он будет указан в существующей карточке, то посетителю отправится письмо double opt-in, после чего нужно будет подтверждать регистрацию.
  • Сообщать пользователю об утере его данных. Если случилась авария на сайте, вы потеряли чужие данные, произошла их утечка, был совершен взлом, вы должны рассказать об этом своим клиентам и посетителям в течение 5 дней.

  • Отписывать во всех карточках. Если у вас есть карточки, в которых указан одинаковый e-mail, то если этот электронный адрес отпишется от рассылки, это должно распространяться на все карточки. В случае, если пользователь пропишет свой новый mail и он будет указан в существующей карточке, то посетителю отправится письмо double opt-in, после чего нужно будет подтверждать регистрацию.

Где действует GDPR?

Продажа товаров за границу вынуждает каждого владельца бизнеса задуматься о соответствии GDPR, ведь если вы принимаете международные платежи, то так или иначе связаны со странами Евросоюза, а они находятся под Регламентом.

Если говорить о формальностях, то компании России не обязаны строго соблюдать правила GDPR, так как у отечественных предпринимателей есть свой закон ― N 152-ФЗ «О персональных данных». Но следует помнить о том, что общепринятый регламент, направленный на защиту личных данных, действует не только исключительно внутри стран ЕС. Он распространяется на всех их резидентов, в какой точке мира они бы ни находились. Россияне могут иметь второе гражданство в той или иной стране Евросоюза ― и в таком случае владельцы компаний должны соблюдать GDPR.

То же касается и ситуаций, когда компания ищет клиентов за пределами своей страны и собирает данные резидентов Евросоюза — она обязана делать это согласно требованиям GDPR. К примеру, если российская транспортная компания продает билет клиенту, живущему в Германии, она должна позаботиться о сохранности его данных.
Где действует GDPR?
Продажа товаров за границу вынуждает каждого владельца бизнеса задуматься о соответствии GDPR, ведь если вы принимаете международные платежи, то так или иначе связаны со странами Евросоюза, а они находятся под Регламентом.

Если говорить о формальностях, то компании России не обязаны строго соблюдать правила GDPR, так как у отечественных предпринимателей есть свой закон ― N 152-ФЗ «О персональных данных». Но следует помнить о том, что общепринятый регламент, направленный на защиту личных данных, действует не только исключительно внутри стран ЕС. Он распространяется на всех их резидентов, в какой точке мира они бы ни находились. Россияне могут иметь второе гражданство в той или иной стране Евросоюза ― и в таком случае владельцы компаний должны соблюдать GDPR.

То же касается и ситуаций, когда компания ищет клиентов за пределами своей страны и собирает данные резидентов Евросоюза — она обязана делать это согласно требованиям GDPR. К примеру, если российская транспортная компания продает билет клиенту, живущему в Германии, она должна позаботиться о сохранности его данных.

Чем грозит невыполнение правил GDPR?

Как продавать товары за границу и не попасть под санкции? Если не соблюдать GDPR, продажа за рубеж через интернет превратится в гонки с препятствиями или хождение по острому лезвию. Компании, которые не прибегают к правилам и нормативам GDPR, рано или поздно заплатят штраф, достигающий 20 млн евро. Сумма штрафа будет составлять 4% от годового оборота фирмы.
Чем грозит невыполнение правил GDPR?
Как продавать товары за границу и не попасть под санкции? Если не соблюдать GDPR, продажа за рубеж через интернет превратится в гонки с препятствиями или хождение по острому лезвию. Компании, которые не прибегают к правилам и нормативам GDPR, рано или поздно заплатят штраф, достигающий 20 млн евро. Сумма штрафа будет составлять 4% от годового оборота фирмы.
За несоблюдение GDPR были оштрафованы многие крупные компании
Степень наказания может варьироваться, так как она зависит от количества пострадавших пользователей, от величины ущерба, который был им нанесен. Также учитывается то, умышленно или нечаянно было совершено преступление.

Как бы там ни было, увеличение конверсии, рост продаж, появление новых клиентов ― все это станет для компании недостижимой мечтой, так как ее репутация обрушится. Люди перестанут ей доверять, будут опасаться передавать личные данные. При несоблюдении GDPR вы рискуете потерять клиентов и надежных партнеров навсегда.

И это не просто слова — за несоблюдение GDPR были оштрафованы многие крупные компании. Вот несколько реальных примеров совершенных ошибок:

  • Авиакомпанию British Airways оштрафовали на 204 110 000 €, потому, что ее взломали и украли личные данные 500 тысяч клиентов. В украденную информацию входили адреса электронной почты и даже номера банковских карт, индивидуальные коды CVV. Это один из крупнейших штрафов, назначенных за несоблюдение Регламента.

  • Компанию Google LLC оштрафовали на 50 000 000 €, так как она использовали личные данные клиентов в целях рекламы. Специалисты решили, что компания недостаточно рассказала посетителям о том, как и в каких целях будет использоваться их персональная информация.

  • Австрийскую почтовую компанию Österreichische Post AG оштрафовали на 18 000 000 €. Она занималась незаконной продажей личной информации ― передавала конфиденциальные данные третьим лицам, что делать запрещено.
Степень наказания может варьироваться, так как она зависит от количества пострадавших пользователей, от величины ущерба, который был им нанесен. Также учитывается то, умышленно или нечаянно было совершено преступление.

Как бы там ни было, увеличение конверсии, рост продаж, появление новых клиентов ― все это станет для компании недостижимой мечтой, так как ее репутация обрушится. Люди перестанут ей доверять, будут опасаться передавать личные данные. При несоблюдении GDPR вы рискуете потерять клиентов и надежных партнеров навсегда.

И это не просто слова — за несоблюдение GDPR были оштрафованы многие крупные компании. Вот несколько реальных примеров совершенных ошибок:

  • Авиакомпанию British Airways оштрафовали на 204 110 000 €, потому, что ее взломали и украли личные данные 500 тысяч клиентов. В украденную информацию входили адреса электронной почты и даже номера банковских карт, индивидуальные коды CVV. Это один из крупнейших штрафов, назначенных за несоблюдение Регламента.

  • Компанию Google LLC оштрафовали на 50 000 000 €, так как она использовали личные данные клиентов в целях рекламы. Специалисты решили, что компания недостаточно рассказала посетителям о том, как и в каких целях будет использоваться их персональная информация.

  • Австрийскую почтовую компанию Österreichische Post AG оштрафовали на 18 000 000 €. Она занималась незаконной продажей личной информации ― передавала конфиденциальные данные третьим лицам, что делать запрещено.

Что делать резиденту России касательно GDPR?

GDPR содержит правила и законы касательно сбора, обработки и хранения данных, распространяемые и на резидентов России, если они осуществляют продажу товаров в интернет-магазине не только в пределах своей страны, но и в страны ЕС. Российским бизнесменам нужно строго соблюдать GDPR в следующих случаях:

  • вы продвигаете свой товар на территории стран ЕС, в связи с чем обрабатываете персональные данные зарубежных граждан;

  • вы обрабатываете личные данные по поручению другого оператора из ЕС, но живете в РФ;

  • вы представляете компанию, которая предлагает купить товары или воспользоваться услугами через Интернет с помощью заполнения анкет, получения cookie-файлов.

При несоблюдении GDPR компании грозит штраф, поэтому будьте максимально внимательны и аккуратны при работе с личными данными.
Что делать резиденту России касательно GDPR?
GDPR содержит правила и законы касательно сбора, обработки и хранения данных, распространяемые и на резидентов России, если они осуществляют продажу товаров в интернет-магазине не только в пределах своей страны, но и в страны ЕС. Российским бизнесменам нужно строго соблюдать GDPR в следующих случаях:

  • вы продвигаете свой товар на территории стран ЕС, в связи с чем обрабатываете персональные данные зарубежных граждан;

  • вы обрабатываете личные данные по поручению другого оператора из ЕС, но живете в РФ;

  • вы представляете компанию, которая предлагает купить товары или воспользоваться услугами через Интернет с помощью заполнения анкет, получения cookie-файлов.

При несоблюдении GDPR компании грозит штраф, поэтому будьте максимально внимательны и аккуратны при работе с личными данными.
Воспользуйтесь бесплатным 14-дневным пробным периодом, чтобы протестировать все возможности Shopify
Воспользуйтесь бесплатным 14-дневным пробным периодом, чтобы протестировать все возможности Shopify

Понравилась статья? Поделитесь ей с друзьями

ЧИТАЙТЕ ТАКЖЕ

УДОБНЫЙ ПОИСК ПО САЙТУ

Введите интересующий вас вопрос, название услуги или статьи.

Полезные ссылки

ru.ecomlife.pro/services – дропшиппинг-бизнес, разработка и аудит интернет-магазинов на платформе Shopify, регистрация компании за рубежом и другие услуги.

@shopifypro – cамое быстрорастущее сообщество о Ecommerce и Dropshipping.

@ecomtoday – информационный канал со статьями и актуальными новостями.

Больше интересного контента в нашем Instagram-аккаунте и на Youtube-канале.

ИЩеТЕ УНИКАЛЬНЫЙ КОНТЕНТ?

Подпишитесь на нашу авторскую еженедельную рассылку эксклюзивных материалов на тему электронной коммерции!
В нашем Ecommerce Community мы объединяем всех тех, кто интересуется продажей товаров в интернете с помощью платформы Shopify, а также стремится расширять свой кругозор в этой сфере.

присоединяйтесь
к ecommerce community

КОМПАНИЯ
© 2022 Ecom Today. Все права защищены
COMMUNITY
ИНФОРМАЦИЯ
FAQ
Подпишитесь на рассылку
Подпишитесь на нашу авторскую еженедельную рассылку и получайте эксклюзивные материалы на тему электронной коммерции!
Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных.