Минус 200 млн евро из-за GDPR. Разбирались, как избежать штрафов за обработку данных

Топ-5 ошибок GDPR за два года

Недостаточные технические меры защиты персональных данных

Чтобы соответствовать требованиям GDPR, компания должна принять организационные и технические меры защиты персональных данных. Организационные меры касаются внедрения определённых документов и политик. С техническими все сложнее, поэтому компании часто их игнорируют и получают большие штрафы.

Рекомендация экспертов

По требованиям GDPR, архитектура системы должна быть построена по принципу Data protection by design and by default. Это единственная общая для всех компаний техническая мера. Выбор остальных инструментов зависит от системы, которую использует компания для работы с персональными данными.

Список некоторых базовых инструментов:

• файерволы
• VPN
• шифрование данных и каналов
• контроли доступа
• мониторинг безопасности
• 2-х факторная аутентификация
• антивирус
• сканер уязвимостей
• тестирование на проникновение
• системы по обнаружению и предотвращению вторжения

Если к компании предъявят претензии по несоблюдению GDPR, она должна показать, что технические меры работают. Для этого специалисты советуют проводить ежегодное тестирование на проникновение (пентест). Во время пентеста эксперт моделирует атаки злоумышленников и выявляет уязвимости в безопасности системы. По результатам пентеста компания получает отчет с перечнем уязвимостей, шагами их воспроизведения, наихудшими сценариями их эксплуатации, оценкой риска и рекомендациями по устранению.

На основании отчета разработчики компании вносят корректировки, а после эксперты проводят повторное тестирование. Если его результаты покажут отсутствие «дыр», компания получит обновленный отчет, подтверждающий  эффективное применение технических мер защиты.  Если «дыры» найдутся, эксперты составят новые рекомендации по доработке.

Неограниченный срок хранения данных

Даже если компания обрабатывает персональные данные с соблюдением требований GDPR, она может хранить их только на протяжении определенного периода времени: пока данные нужны для достижения целей их обработки.

GDPR не устанавливает конкретных сроков хранения каждой категории данных. Каждая компания определяет их самостоятельно исходя из анализа целей, для которых эти данные обрабатываются.

Рекомендация экспертов

Перед началом обработки данных определите, в течение какого срока они будут необходимы для выполнения целей их обработки. Регулярно проводите аудит данных, которые храните, и удаляйте ненужные.

Отсутствие транспарентности

Компания должна проинформировать пользователя кто, зачем и как будет использовать его данные. Эта информация должна быть легко доступна и написана не юридическим и техническим языком, а понятным для пользователя.

Рекомендация экспертов

Детально проработайте содержание privacy policy. В ней должна быть максимально полная и актуальная информация о том, как компания использует персональные данные пользователей. Кроме того, у пользователей не должно возникать проблем в том, чтобы найти, где она размещена и понять, что в ней написано.

Недостаточное правовое основание для обработки данных

Компания не может обрабатывать персональные данные, если у неё нет законного основания. GDPR предусматривает шесть возможных оснований обработки данных. Но чаще всего коммерческие организации используют три: исполнение договора, легитимный интерес, согласие. И чаще всего компании делают ошибки, используя согласие пользователя. 

Рекомендация экспертов

Не торопитесь с выбором основания для сбора персональных данных. Для начала проанализируйте все внутренние процессы обработки данных, а после соотнесите их с применимыми основаниями обработки. Если для обработки данных как основание должно использоваться согласие пользователя, помните, что согласие должно быть явно выраженным, свободным, конкретным и информированным.

Нарушение прав пользователей

Даже если компания получила персональные данные пользователя на законном основании, это не значит, что теперь она может распоряжаться ими по своему усмотрению. У пользователей есть права по отношению к своим персональным данным, которые компания обязана соблюдать. Например, если основанием для обработки данных служит согласие пользователя — он имеет право его отозвать.

Рекомендация экспертов

Для экономии времени и удобства клиентов проработайте страницу регистрации и личный профиль пользователя в вашей системе.

Страница регистрации:

• Количество полей должно быть минимальным и обоснованным;
• Чек-бокс, отвечающий за согласие на обработку персональных данных, не должен быть проставлен;
• Введите гранулированное согласие, в случае если вам нужно проводить несколько операций с данными пользователя. Например, нельзя рассылать маркетинговые материалы, если пользователь дал согласие только на получение системных уведомлений. 

Страница профиля пользователя:

• Дайте пользователю возможность изменить любое поле о себе;
• Сделайте кнопку Delete Account — возможность пользователя удалить себя и всю свою информацию из системы;
• Сделайте кнопку Restrict Processing Mode. Если пользователь включает этот режим, его персональная информация будет недоступна в публичном доступе, другим пользователям и даже администраторам системы;
• Сделайте кнопку Export Personal Data с выгрузкой данных в любом формате: XML, JSON, CSV.

Дополнительная функциональность:

• Введите автоматическое удаление или анонимизирование персональных данных, которые больше не нужны. Например, информация об уже обработанных заказах.
• Введите автоматическое удаление персональных данных в других сервисах, с которыми система интегрирована.

Новый рекламный формат в наших телеграм-каналах.

Купить 500 символов за $150