Academy Europe подтверждает соблюдение GDPR в соответствии с законодательством Европейского Союза:
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
Общий регламент по защите данных (GDPR) — самый строгий закон о конфиденциальности и безопасности в мире. Несмотря на то, что он был разработан и принят Европейским союзом (ЕС), он налагает обязательства на организации в любом месте, если они нацелены или собирают данные, связанные с людьми в ЕС. Постановление вступило в силу 25 мая 2018 года. GDPR будет налагать суровые штрафы на тех, кто нарушает его стандарты конфиденциальности и безопасности, причем штрафы достигают десятков миллионов евро.
GDPR.eu предоставляется вам в качестве полезного ресурса для быстрого поиска всех 99 статей и 173 преамбул Регламента, а также полезных руководств и контрольных списков, которые помогут вам понять, как Регламент может применяться к вам.
https://gdpr.eu/tag/gdpr/
Прозрачность и информирование общественности о том, как используются их данные, — две основные цели GDPR. В этой статье объясняется, что такое уведомление о конфиденциальности, и предлагается шаблон уведомления о конфиденциальности, который поможет вам соблюдать закон.
Общий регламент ЕС по защите данных (GDPR) — это первый шаг к предоставлению гражданам и резидентам ЕС большего контроля над тем, как их данные используются организациями. Если ваша компания обрабатывает личную информацию людей в ЕС, вы должны соблюдать GDPR, независимо от того, в какой части мира вы находитесь. Штрафы за нарушение новых прав людей на неприкосновенность частной жизни могут составлять до 4 процентов от вашего глобального дохода или 20 миллионов евро, в зависимости от того, что больше.
Уведомление о конфиденциальности GDPR — важный способ помочь вашим клиентам принимать обоснованные решения в отношении данных, которые вы собираете и используете. Мы собрали некоторую информацию из самого закона и руководящих документов ЕС, чтобы помочь вам понять компоненты хорошего уведомления о конфиденциальности. А внизу мы разместили шаблон уведомления о конфиденциальности, который вы можете адаптировать к своей организации.
Что такое уведомление о конфиденциальности?
Уведомление о конфиденциальности — это общедоступный документ организации, в котором объясняется, как эта организация обрабатывает персональные данные и как она применяет принципы защиты данных. Статьи 12, 13и 14 GDPR содержат подробные инструкции о том, как создать уведомление о конфиденциальности, уделяя особое внимание тому, чтобы сделать их простыми для понимания и доступными. Если вы собираете данные непосредственно от кого-то, вы должны предоставить им свое уведомление о конфиденциальности в тот момент, когда вы это делаете.
Обратите внимание, что термины «уведомление о конфиденциальности» и «политика конфиденциальности» на самом деле не встречаются в тексте GDPR и по сути являются взаимозаменяемыми. Рекомендации, изложенные в этой статье, применимы ко всем общедоступным документам, в которых ваша организация описывает свои действия по обработке данных для клиентов и общественности.
Согласно GDPR, организации должны предоставить людям уведомление о конфиденциальности, которое:
- В сжатой, прозрачной, понятной и легкодоступной форме
- Написано ясным и простым языком, особенно для любой информации, адресованной конкретно ребенку.
- Доставлено своевременно
- Предоставляется бесплатно
GDPR также определяет, какой информацией организация должна делиться в уведомлении о конфиденциальности. Существуют небольшие различия в требованиях в зависимости от того, собирает ли организация свои данные непосредственно от физического лица или получает их от третьего лица.
Если организация собирает информацию непосредственно от физического лица, она должна включить в свое уведомление о конфиденциальности следующую информацию:
- Личность и контактные данные организации, ее представителя и ответственного за защиту данных.
- Цель обработки организацией персональных данных физического лица и ее правовое основание
- Законные интересы организации (или третьей стороны, где это применимо)
- Любой получатель или категории получателей данных физического лица
- Подробная информация о любой передаче персональных данных в третью страну и принятых мерах защиты.
- Срок хранения или критерии, используемые для определения срока хранения данных
- Наличие прав каждого субъекта данных
- Право отозвать согласие в любое время (если применимо)
- Право на подачу жалобы в надзорный орган
- Является ли предоставление персональных данных частью законодательного или договорного требования или обязательства, а также возможные последствия непредоставления персональных данных
- Наличие автоматизированной системы принятия решений, включая профилирование, и информацию о том, как эта система была настроена, значимость и последствия
Если организация получает ваши данные косвенно (через другую организацию), ее уведомление о конфиденциальности должно содержать всю ту же информацию, за исключением:
- Является ли предоставление персональных данных частью законодательного или договорного требования или обязательства, а также возможные последствия непредоставления персональных данных
И вместо этого должен Добавить:
- Категории получаемых персональных данных
В соответствии со статьей 14(3), если вы получаете личные данные от третьего лица, вы должны сообщить вышеуказанную информацию субъекту данных либо: не позднее, чем через один месяц после получения данных, в момент, когда вы впервые сообщаете данные субъекта или перед передачей данных другой организации.
Как правило, уведомление о конфиденциальности предоставляется в письменной форме и, при необходимости, в электронном виде. Каждая организация, которая поддерживает веб-сайт, должна опубликовать на нем свое уведомление о конфиденциальности под заголовком «Политика конфиденциальности», и оно должно быть доступно по прямой ссылке с каждой веб-страницы. Если веб-сайт собирает какие-либо личные данные в Интернете, уведомление о конфиденциальности или ссылка на него должны быть предоставлены на той же странице, где происходит сбор данных. В GDPR также говорится, что уведомления о конфиденциальности должны быть доступны в устной форме по запросу, чтобы обеспечить понимание и помочь слабовидящим.
Передовой опыт уведомления о конфиденциальности GDPR
В уведомлениях о конфиденциальности следует избегать использования определений, таких как «может», «может быть», «некоторые», «часто» и т. д., поскольку они преднамеренно расплывчаты. Письмо должно быть в активном времени, а предложения и абзацы должны быть хорошо структурированы, с использованием маркеров для выделения конкретных моментов. Избегайте излишне юридической и технической терминологии.
По данным Европейской комиссии Правила GDPR, приведенные ниже фразы недостаточно ясны в отношении целей обработки. (Мы взяли эти примеры непосредственно из документа.)
- «Мы можем использовать ваши персональные данные для разработки новых услуг» (поскольку неясно, что такое «услуги» и как данные помогут их развитию)
- «Мы можем использовать ваши персональные данные в исследовательских целях» (поскольку неясно, к какому типу «исследований» относится это слово)
- «Мы можем использовать ваши персональные данные для предоставления персонализированных услуг» (поскольку неясно, что влечет за собой «персонализация»)
- С другой стороны, такие фразы намного лучше:
«Мы сохраним вашу историю покупок и будем использовать информацию о продуктах, которые вы приобрели ранее, чтобы предлагать вам другие продукты, которые, по нашему мнению, вас также заинтересуют» (ясно, какие типы данных будут обрабатываться, что субъект данных будет подвергаться целевой рекламе продуктов, и что его данные будут использоваться для этого) - «Мы будем хранить и оценивать информацию о ваших недавних посещениях нашего веб-сайта и о том, как вы перемещаетесь по различным разделам нашего веб-сайта, в аналитических целях, чтобы понять, как люди используют наш веб-сайт, чтобы мы могли сделать его более интуитивно понятным» (ясно, какой тип данные будут обрабатываться и тип анализа, который будет выполнять контроллер)
- «Мы будем вести учет статей на нашем веб-сайте, на которые вы нажимали, и использовать эту информацию для таргетирования рекламы на этом веб-сайте для вас, которая соответствует вашим интересам, которые мы определили на основе прочитанных вами статей» (это ясно, что влечет за собой персонализация и как были идентифицированы интересы, приписываемые субъекту данных)