Как подготовить сайт к GDPR, чтобы защититься от жалоб со стороны конкурентов?
7 февраля 2019

Как подготовить сайт к GDPR, чтобы защититься от жалоб со стороны конкурентов?

В Европейском союзе был принят общий регламент по защите данных, так называемый GDPR.

Новое постановление может использоваться как дубина против конкурентов.

Если на сайте установлена система аналитики и/или есть регистрация, то при несоответствии с общим регламентом к владельцу сайта могут быть применимы санкции в виде штрафов.

Какие правки нужно внести на сайт, чтобы обезопасить себя или свой бизнес? Рассмотрим далее.

Претензии уже получили такие компании как Apple, Amazon, YouTube и прочие.

Список рассматриваемых вопросов далее:

  • Предпосылки к появлению GDPR;
  • Что такое GDPR?;
  • Действует ли GDPR в России, Украине, Республике Беларусь и Казахстане?;
  • Важные нюансы по GDPR в формате вопросов и ответов;
  • Как защититься от жалоб конкурентов и подготовить сайт к GDPR? Чек-лист по GDPR;
  • E-mail рассылки и GDPR.

Предпосылки к появлению GDPR


GDPR

Согласно исследованиям, во всех развитых странах доля интернет-пользователей продолжает расти. В ряде стран по количеству аудитории интернет обгоняет телевидение и прочие источники информации.

Процесс выглядит следующим образом:

  • В интернет начинают инвестировать мировые лидеры из разных отраслей. Как результат, растет конкуренция за пользователя;
  • Растет цена за клик, за привлечения пользователя;
  • Появляются так называемые data driven технологии. Одним из ветвлений является data driven маркетинг. Data driven маркетинг основан на данных о пользователях. В data driven маркетинге не используются ни интуиция, ни личный опыт. Data driven маркетинг является процессом изучения и анализа данных, основанным на цифрах;
  • Для эффективной работы технологии data driven проводится сбор и обработка гигантских объемов данных о пользователях. Data driven технологии обуславливают появление и динамический рост технологий связанных с big data;
  • Уполномоченные ведомства принимают постановление по регуляции интернета, использованию информации о пользователях.

Итак, data driven маркетинг позволяет:

  • Улучшать качество обслуживания клиентов посредством создания более персонализированных предложений;
  • Повысить показатель конверсии, улучшив обработку лидов;
  • Проводить исследования рынка;
  • Проводить всестороннее изучение предпочтений аудитории;
  • Уменьшать цену за клик путем повышения точности таргетинга.

Ввиду высокой эффективности data driven маркетинга, бизнес начал накапливать данные про пользователей.

В результате уполномоченные ведомства Европейского союза обеспокоились подобными процессами и, как следствие, разработали Генеральный регламент о защите персональных данных. На английском языке постановление называется General Data Protection Regulation, аббревиатура — GDPR.

Что такое GDPR


Часто задаваемые вопросы о регламенте по защите данных

GDPR — это постановление, которое усиливает и стандартизирует защиту персональных данных всех лиц в Европейском Союзе.

Полный текст доступен по ссылке далее — Полный текст GDPR.

С точки зрения выгоды для пользователей, инициатива имеет смысл. Но владельцам сайтов стоит выполнить определенные изменения на своих ресурсах, чтобы соответствовать GDPR.

GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений путём стандартизации регулирования.

GDPR является непосредственно обязательным к исполнению.

Исходя из постановления следует:

  • Система аналитики может собирать только минимальный объем данных, необходимый для выполнения определенной задачи. Например, настроить ремаркетинг;
  • Передача данных возможна только при наличии законных оснований;
  • Данные могут передаваться только тогда, когда это необходимо для достижения намеченной цели сбора данных.

На какие страны распространяется GDPR


На какие страны распространяется GDPR

Действует ли GDPR в России, Украине, Белоруссии и Казахстане? Постановление усиливает и стандартизирует защиту персональных данных всех лиц в Европейском Союзе.

Действует ли GDPR в России? Да, GDPR распространяется на Россию.

GDPR также распространяется на Украину, Белоруссию и Казахстан и в принципе вообще на все страны мира. Почему? Причина в следующем — постановление GDPR направлено и на экспорт данных из Европейского союза.

Важный нюанс в GDPR, которому не было уделено должного внимания, связан с географическим охватом закона.

Чтобы быстро подвести итог: статья 3 GDPR гласит, что если вы собираете личные данные или информацию о поведении кого-либо в стране Европейского союза, то вся работа с данными должна проводится в соответствии с требованиями GDPR.

Есть единственное исключение — GDPR не будет применяться в случае, когда данные о резидентах Европейского союза собираются в момент нахождения резидентов за пределами стран союза.

Исключение будет, если резидент союза находится физически за пределами союза на момент сбора данных.

Итак, GDPR является непосредственно обязательным к исполнению. Это применимо не только к странам Европейского союза, но также к любому юридическому лицу, обрабатывающему персональные данные резидентов.

Если утрировать, то можно привести следующий пример:

  • Вы создали компанию и собираете данные о посетителях используя любые системы аналитики: Piwik, Yandex.Метрику или прочее;
  • На сайт зашел, к примеру, резидент Польши;
  • Правоохранительные органы получили претензию и зафиксировали факт нарушения GDPR;
  • Ответственных лиц добавили в специальный список;
  • По прилету в Европу владелец сайта будет арестован, пойдет под суд и будет обязан выплатить штраф.

В первую очередь усилия по защите персональных данных резидентов Европейского союза будут направлены к большим компаниям.

Но ведь конкурентам ничего не мешает подать претензию в органы Европейского союза и создать проблемы для своих визави.

Для подачи претензии достаточно обычной мелочи. К примеру, если на русском или украинском сайте зарегистрируется резидент Европейского союза и система обработки данных будет не соответствовать требованиям GDPR, то у владельца сайта или компании могут быть проблемы. К примеру, финансовые потери по причине штрафов.

Важные нюансы по GDPR в формате вопросов о ответов


Разберемся с часто задаваемыми вопросами по теме регламента о защите данных.

Если на сайте установлена система аналитики Yandex.Метрика, то кто несет ответственность за нарушение прав?


Делегировать ответственность не получится.

Важным нюансом является то, что GDPR применим к двум типам субъектов:

  • Кто обрабатывает данные;
  • Кто собирает данные.

Оба субъекта несут ответственность за соблюдение норм GDPR. Поэтому поставить на сайте Yandex.Метрику и передать всю ответственность на компанию, предоставляющую систему аналитики не получится.

Какие данные подлежат защите?


Защите подлежат почти все данные о пользователе, включая даже малоинформативные данные.

Данные/информация, относящиеся к пользователям, которые обычно используются для таргетинга, включают:

  • Геолокация (на основе GPS или IP);
  • Идентификатор рекламодателя (IDFA / Google Ad ID);
  • IP;
  • Любой другой сетевой идентификатор. Например, идентификаторы устройств, имена пользователей и прочее.

К персональным данным в рамках GDPR относятся также и следующие данные:

  • Один или более факторов, дающих описание пользователя на уровне интересов;
  • Имя;
  • Физический или почтовый адрес;
  • Адрес электронной почты.

Можно ли на сайте размещать рекламные объявления с ремаркетингом?


Нет, размещать рекламу с ремаркетингом нельзя. Размещение возможно только с согласия пользователя на обработку персональных данных.

В чем разница между контроллером данных и процессором данных?


В постановлении фигурирует два типа обработчиков данных. Итак, обработчики следующие:

  • Data controller;
  • Data processor.

Контроллер данных ставит цели, для которых будут использоваться личные данные пользователя и описывает каким образом будет происходить процесс обработки.

Процессор данных действует в соответствии с четкими инструкциями контроллера данных при обработке информации.

Требуется ли хранение данных в Европейском союзе?


GDPR устанавливает определенные условия для передачи личных данных. Условия регламента могут быть выполнены без переноса данных и не требуют хранения данных на территории Европы. Подобных требований нет ни в каком законе в принципе.

Какой штраф за нарушение GDPR?


Какой объем штрафа предусмотрен за нарушение GDPR? За невыполнение закона накладывается штраф до 20 миллионов евро или до 4% от годового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Расскажите про реальные кейсы в плане практического применения постановления в отношении сайтов?


GDPR требует выполнения строгих правил по конфиденциальности. Технологические гиганты, как Google и Facebook, столкнулись с проблемами первыми.

Наиболее яркими являются кейсы 2019-го года с претензиями против YouTube, Apple, Amazon, Spotify, Flimmit, DAZN и Sound Cloud.

Претензии заключаются в нарушении права на доступ, так называемом right to access.

Сервисы на западе крайне серьезно относятся к подобным претензиям и внедряют изменения. Пример комментария от Spotify:

Spotify takes data privacy and our obligations to users extremely seriously. We are committed to complying with all relevant national and international laws and regulations, including GDPR, with which we believe we are fully compliant.

Куда отправлять претензии?


Чтобы доставить трудности для компании, обращаться с претензией следует в ведомства по защите информации.

К примеру, в Австрии следует обращаться на сайт Data Protection Authority.

Ссылка на сайт — dsb.gv.at.

В Британии с претензиями следует обращаться в The Information Commissioner’s Office.

Ссылка на сайт — ico.org.uk.

В Бельгии с претензиями следует обращаться в Autorité de la protection des données (APD-GBA).

Ссылка на сайт — autoriteprotectiondonnees.be.

В Болгарии с претензиями следует обращаться в Commission for Personal Data Protection.

Ссылка на сайт — cpdp.bg.

В Хорватии с претензиями следует обращаться в Croatian Personal Data Protection Agency.

Ссылка на сайт — azop.hr.

В Кипре с претензиями следует обращаться в Commissioner for Personal Data Protection.

Ссылка на сайт — dataprotection.gov.cy.

В Чехии с претензиями следует обращаться в Office for Personal Data Protection.

Ссылка на сайт — uoou.cz.

Полный список стран по Европейскому союзу доступен по ссылке далее — Список ведомств для отправки претензий.

Применяется ли GDPR для некоммерческих сайтов?


Да, GDPR применяется к благотворительным и любым некоммерческим организациям.

По причине того, что прибыль не является основной целью деятельности благотворительных и некоммерческих организаций, на первый взгляд может показаться, что подобные сайты не имеют отношения к GDPR.

GDPR напрямую относится к сбору данных, и применяется даже если сайт не используется с намерениями по предоставлению товаров и/или услуг.

Есть ли пример претензии?


Да, есть пример претензии.

Ссылка на пример — Data Protection Complaint.

Что с данными из WHOIS?


Whois данные закрыты в связи с GDPR

Данные о владельце доменного имени теперь скрываются в обязательном порядке. Изменение касается резидентов Европейского союза. Но ведь в профиле администратора доменного имени есть вариант указать любую информацию. Теперь можно сэкономить, так как использовать Privacy Protect не обязательно.

К примеру, таким способом можно скрывать данные при построении частной сети сайтов.

Рекомендованные материалы в блоге MegaIndex по теме создания частной сети сайтов для продвижения основного сайта по ссылкам далее:


Как рынок отреагировал на GDPR?


Различные организации проводили опросы по теме GDPR. Далее данные с разных источников.

Результаты опросов:

  • 59% экспертов по брендам, что их организации либо назначили, либо планируют назначить сотрудника по защите данных. Источник данных: Econsultancy;
  • 60% респондентов заявили, что GDPR существенно изменил процессы по сбору, использованию и защите данных. Источник данных: MWE;
  • 61% респондентов заявили, что регламент GDPR будет полезен, хотя реализация достаточно сложная. 21% ожидают преимущества от внедрения. К примеру, конкурентные преимущества, улучшение репутации и поддержки бизнеса. Источник данных: Deloitte;
  • 56% респондентов ожидают повышение бюджета на разработку системы организации данных, связанной с GDPR. Источник данных: Crowd Research Partners;
  • Основными проблемами маркетологи считают нехватку экспертного персонала — 43%, далее следует отсутствие бюджета -40% и сложности понимания текста GDRP — 31%. Источник данных: Crowd Research Partners;
  • 71% маркетологов считают, что не соответствие требованиям регламента окажет пагубное влияние на бизнес. Источник данных: MWE;
  • 60% менеджеров высшего уровня и директоров по маркетингу считают, что GDPR будет затруднять установление отношений с потребителем. Источник данных: Dentsu Aegis Network;
  • 93% рассчитывают, что продвигаемые проекты будут полностью соответствовать требованиям к концу 2019 года. Источник данных: TrustArc;
  • 58% потребителей в Великобритании заявили, что опасаются передачи своей личной информации другим компаниям. Источник данных: RealWire;
  • 43% потребителей в Великобритании заявили, что поддерживают штрафы за нарушения регламента. Источник данных: RealWire;
  • 69% из опрошенных американских респондентов хотели бы видеть закон о конфиденциальности, аналогичный GDPR, в Соединенных Штатах Америки. 38% хотели бы иметь возможность контроля над тем, как данные используются компаниями, а 39% хотели иметь право на забвение. Источник данных: Janrain.

Есть ли аналогичный регламент в штатах?


Аналог GDPR в штатах

В штатах аналогичного общенационального регламента сейчас нет.

Но регламент может появится. Ряд компаний, включая Cisco и Apple, выступили с призывом к правительству разработать закон о конфиденциальности данных, вместо различных законов в штатах. В качестве образца выбран действующий регламент Европейского союза.

Оба производителя генерируют главные свои доходы не за счет рекламы или монетизации информации о пользователях, а за счет продажи устройств. Конкурентам подобные законы могут сильно усложнить жизнь.

Можно ли игнорировать GDPR?


Распространенное заблуждение среди владельцев сайтов, не резидентов Европы, заключается в том, что GDPR не имеет к ним отношения по причине того, что они находятся за пределами союза или ориентированы на аудиторию не из союза.

На самом деле, игнорировать нельзя.

Если кто-либо из резидентов Европейского союза посещает сайт любого типа, даже блог, то постановление имеет силу.

Пользователь из Европейского союза должен дать согласие на использование файлов cookie, и затем на площадке может выводится персонализированная реклама. Если согласие не дано, то есть вариант автоматически менять блок рекламы, чтобы показывались не персонализированные объявления.

Как защититься от жалоб конкурентов и подготовить сайт к GDPR? GDPR чек-лист


Подготовленные сайты к GDPR в интернете называются GDPR ready.

Как подготовить сайт к соответствию GDPR, чтобы избежать претензий? Для решения вопроса требуется исследовать постановление и стоящие внимания кейсы, которые уже появились на практике.

Итак, чтобы защититься от жалоб конкурентов, на сайте следует провести следующий комплекс мер:

  1. Реализовать функциональность удаления аккаунта;
  2. Создать форму для запросов на выгрузку данных;
  3. Обновить политику конфиденциальности.

Если в проекте используются рассылки, то для каждого типа рассылок следует провести дополнительный комплекс мер по подтверждению подписки.

1 — Реализация функциональности удаления аккаунта


Right to be forgotten

Постановление GDPR предусматривает так называемое право на забвение. В исполнении на английском называется как right to be forgotten.

Что означает право на забвение? На практике право позволяет пользователю потребовать удаление своих персональных данных.

Какие работы следует провести, чтобы сайт соответствовал постановлению? Если на сайте есть регистрация, то в кабинете пользователя следует добавить удаления своего аккаунта.

Более того, право предусматривает удаление тех данных, которые, по мнению пользователя, могут нанести ему вред. Это касается публичных устаревших, неуместных, неполных, неточных или избыточных данных, законные основания для хранения которой исчезли с течением времени.

Право на забвение стало актом защиты частной жизни индивида в Европе от всепроникающих технологий крупных компаний.

В данной части право открывает возможность для удаления контента из поисковой выдаче.

Проводить мониторинг упоминаний можно о себе или о бренде можно используя сервис от MegaIndex. Сервис называется MegaIndex Search Engine Reputation Management.

Ссылка на сервис — MegaIndex SERM.

Сервис бесплатный.

Пример найденных уведомлений далее.

DMCA monitoring

Кстати, из поисковой выдачи достаточно просто удалить страницы конкурентов, если на страницах размещен скопированный контент. Рекомендованный материал в блоге MegaIndex на тему удаления страниц конкурентов из поисковой выдачи по ссылке далее — Как удалить страницы конкурентов из поисковой выдачи, если на них размещен скопированный контент? Что такое DMCA?

2 — Создание формы для запросов на выгрузку данных


В соответствии с новым генеральным регламентом о защите персональных данных у пользователей есть так называемое право на доступ.

Право на доступ является краеугольным камнем системы защиты данных. Используя право, пользователи могут получить представление о том, как и для каких целей данные о них хранятся и куда передаются.

Итак, каждый пользователь имеет право получить копию своих данных и получить дополнительную информацию.

На практике right to access означает то, что пользователям предоставляется право на получение следующих данных:

  • Копии всех необработанных данных о пользователе, так называемых raw data, которыми компания располагает;
  • Дополнительная информация об источниках данных;
  • Дополнительная информация о получателях данных. К примеру, какие системы аналитики получают данные;
  • Информация о целях, для которых обрабатываются данные;
  • Информация о странах, в которых хранятся данные;
  • Информация о том, как долго данные хранятся.

Право на доступ закреплено в статье 15. Статья называется Right of access by the data subject.

Для реализации данного права на сайте следует создать форму для запросов подобной информации.

На практике многие сервисы настраивают автоматизированные системы, которые позволяют пользователю по запросу выгрузить все данные из кабинета на сайте.

Если в реализации подобное решение является дорогим, то следует создать хотя бы форму обратной связи для запросов подобной информации от пользователей.

После получения запроса на выгрузку данных, предоставление требуемых данных можно затянуть. Максимальный срок для ответа составляет 30 дней.

В ответ на запрос от пользователя следует предоставить по меньшей мере необработанные данные, в так называемом raw data формате. В ответе следует также указать:

  • Источники, используемые для сбора данных;
  • Получателей данных;
  • Как долго данные фактически хранятся, срок хранения.

Если создание формы обратной связи является сложной задачей, то в политике конфиденциальности следует прописать контактный e-mail для запросов по теме выгрузки данных.

3 — Обновить политику конфиденциальности


На странице политики конфиденциальности следует обновить положения о сборе и обработке персональных данных пользователей.

В постановлении заложен принцип минимизации данных. Принцип требует того, чтобы собранные данные были актуальны и ограничивались тем, что действительно необходимо для достижения согласованной цели, для которой данные собираются. В дополнение, принцип ограничивают обработку персональных данных, таким способом, что данные не могут быть обработаны или переданы для любых целей, кроме тех, с которым пользователь первоначально согласился. К примеру, при регистрации.

Соответственно, в политике конфиденциальности следует прописать следующее:

  • Кто собирает и/или обрабатывает данные?;
  • Права субъектов данных. В пункте должна быть ссылка на контакты для отправки запроса на получение данных;
  • Какие персональные данные сайт собирает и/или обрабатывает?;
  • Как и для чего сайт использует данные пользователя?
  • Срок хранения данных;
  • Куда передаются персональные данные.

При регистрации ссылка на принятие условий использования и политики конфиденциальности должна быть размещена в форме рядом с кнопкой подтверждения регистрации.

Пример строк в тексте о политике конфиденциальности:

We never sell personal data and we carry out all processing operations in strict compliance with the EU General Data Protection Regulation (GDPR).

Cookies are stored on your individual device and you have full control over their use. You may deactivate or restrict the transmission of cookies by changing the settings of your web browser. Cookies data that are already stored may be deleted (only if you are a registered user or provide us with the full cookie identificator) at any time by appealing to our support team — support@megaindex.com.

If you visit MegaIndex site with cookies deactivated, you may possibly not be able to use all of the functions of our site to the full extent. You will not be able to opt-out of any cookies or other technologies that are “strictly necessary” for the functioning of our website and services.

You can exercise any of the rights mentioned in this Privacy Policy in your Account and/or by contact with MegaIndex team: gdpr@megaindex.com. In the event of questions or comments relating to the use of Personal Data you may also contact MegaIndex team: support@megaindex.com.

Where you have provided consent, you may withdraw it at any time, without affecting the lawfulness of the processing that was carried out prior to withdrawing it. Whenever you withdraw consent, you acknowledge and accept that this may have a negative influence on the quality of the MegaIndex Site and/or Services. You further agree that MegaIndex shall not be held liable with respect to any loss and/or damage to your Personal Data if you choose to withdraw consent.

Where Personal Data is processed for the above purposes on the basis of MegaIndex legitimate interests, under the GDPR, you may object to such processing at any time. To do so please contact: support@megaindex.com.

You may opt-out from having MegaIndex collect your information when visiting an MegaIndex Enabled Site at any time by contact with MegaIndex Enabled Site support team or MegaIndex support team: support@megaindex.com.

E-mail рассылки и GDPR


В части рассылок по e-mail следует сделать следующее. Если на сайте происходит подписка на разные рассылки, то следует добавить форму с полями для подтверждения согласия на каждую из подписок с не проставленными метками.

Подписка на рассылку и GDPR

Пользователь должен поставить отметку на форме, которой подтверждает, что со всеми условиями ознакомлен и согласен на получение писем. Запрещается делать отметку активной по умолчанию.

Не забудьте предупредить пользователя, если на проекте собираются данные о рассылке, к примеру отслеживается открытие писем. Аналогично, требуется получить разрешение, если в целях аналитики проводится отслеживания переходов по ссылкам.

Для удобства весь список запросов на разрешение можно разместить на странице настройки подписки.

В случае возникновения претензий, следует быть готовым предъявить доказуемое согласие. Механизм документирования и хранения данных в регламенте не расписан.

Как быть с текущей базой? Если на проекте есть подписчики, которые не подтвердили согласие на получение e-mail рассылок, то следует отписать пользователей и отправить запрос на подтверждение подписки через сайт. К примеру, используя pop-up.

В тексте постановления требуется получить согласие от пользователя на рассылку и не требуется упоминать названия любых постановлений.

Значит, заголовок pop-up формы активации может называться, к примеру, "Оставайтесь на связи".

Пример текста следующий:

Мы ценим каждого нашего клиента и подписчика, поэтому хотели бы убедиться, что адрес, на который отправляем вам письма, по-прежнему актуален.

Если вы следите за нашими новостями, вам интересна информация о наших акциях, скидках и специальных предложениях, пожалуйста подтвердите свой адрес.

Названия для кнопки — Подтвердить адрес.

Как результат, соблюдение правил повысит качество базы для рассылок:

  • Сократятся затраты на рассылку незаинтересованным подписчикам;
  • Будет меньше отписок;
  • Станет меньше жалоб на спам.

Есть способ схитрить и увеличить количество подписок. Пользователи не любят рассматривать условия и правила, а также делать выбор. Поэтому можно создать блок с текстом "Отказ от получения рассылки" и поставить не проставленную отметку. Если пользователь не проставил галочку, значит согласился на рассылку.

Форма подписки на рассылку

GDPR аудит


Если все изменения введены, то сайт должен соответствовать нормам по безопасности.

Для проверки готовности сайта можно использовать проект Privacy Shield. Проект позволяет пройти сертификацию и получать аттестат.

Ссылка на сайт — Privacy Shield.

Если вы являетесь собственником бизнеса и поставили задачу по улучшению сайта в части соответствия регламенту по защите данных, то подобный сертификат укажет на то, действительно ли выполнены все меры.

Позитивный взгляд


Итак, GDPR устанавливает конкретные требования для предприятий и сайтов, которые обслуживают пользователей из Европы. Общий регламент по защите данных:

  • Регулирует процессы сбора, использования и хранения личных данных;
  • Утверждает штрафы за нарушение регламента.

Давайте на мир смотреть позитивно. Да, придется поработать. Но! С точки зрения пользователя, каждому из нас хотелось бы чтобы не было навязчивых звонков, спама, SMS с ненужной информацией и прочих моментов. Если посмотреть с точки зрения бизнеса, то используя рекомендации можно найти возможность для поднятия эффективности рассылки.

Остались ли у вас вопросы, мнения, комментарии по теме GDPR?

Обсуждение

Firekx
13:25 8 февраля 2019
Всё это брехня полная, на СНГ оно не действует!
Дмитрий Угниченко
13:41 8 февраля 2019
Спасибо за комментарий! Подобное заявление следует подкреплять фактами. В статье есть ссылка на текст постановления. Вы с текстом ознакомились? В тексте прописано про применение на весь мир. Да, действует.
Дмитрий Угниченко
13:54 8 февраля 2019
Важный нюанс в GDPR, которому не было уделено должного внимания на множестве иных сайтах, связан с географическим охватом закона.
Чтобы быстро подвести итог: статья 3 GDPR гласит, что если вы собираете личные данные или информацию о поведении кого-либо в стране Европейского союза, то вся работа с данными должна проводится в соответствии с требованиями GDPR.
Исключение будет, если резидент союза находится физически за пределами союза на момент сбора данных.
И исключение действует, если сайт позиционируется как региональный.
online555
14:17 8 февраля 2019
привет /Admin, смотрите, а если такая ситуация:
-сайт информационный (РФ, KZ);
-без регистрации;
-без рассылки и подписок;
-без сбора данных.
- На сайте устоновлена таргетинговая реклама.
Стоит ли подготавливать сайт к GDPR в таком случае ?
Дмитрий Угниченко
14:58 8 февраля 2019
В постановлении предусмотрен процессор и контроллер. Если на сайте размещается реклама, и площадка не принимает никаких данных и не отдает никаких о пользователе, то ответственность лежит на контроллере данных. Соответственно, в данном случае нет необходимости в реализации регламента.
Михаил Калинин
14:24 8 февраля 2019
Сайт в зоне .ru - по умолчанию будет региональным?
Дмитрий Угниченко
15:09 8 февраля 2019
На самом деле нет. Речь идет об ориентированности сайта на предоставление услуг. К примеру, если доменное имя для сайта кафе зарегистрировано в доменной зоне ru, но кафе ориентировано на прием туристов из-за границы, то сайт не будет региональным.
Дмитрий Угниченко
15:12 8 февраля 2019
Что имеется ввиду под ориентирован? К примеру, есть версия сайта на английском языке или есть возможность заплатить картой, и на сайте ведется сбор данных о посетителях посредством систем аналитики.
Дмитрий Угниченко
15:13 8 февраля 2019
Кстати, обратное утверждение справедливо. Если сайт в европейского доменной зоне, значит ориентирован на резидентов.
nikator
15:01 8 февраля 2019
Опечатка в заголовке: Можно ли на сайте размещать рекламные объявления с реМАКЕТингом?
В США тоже есть аналогичные законы на уровне штатов.
Дмитрий Угниченко
15:14 8 февраля 2019
Исправил опечатку, спасибо! Да, все верно. На уровне штатов могут быть подобные законы, но всеобщего пока нету.
bi-by
15:57 8 февраля 2019
Если у меня информационный женский статейник, что нужно делать? Есть форма для комментариев, есть Политика Конфиденциальности.
Дмитрий Угниченко
14:42 11 февраля 2019
Соответствие GDRP требуется, если данные проводится работа с пользовательскими данными. К примеру, если на сайте установлена система аналитики. Задача минимум заключается в том, чтобы в политике конфиденциальности описать цели и процесс работы с данными, а также указать e-mail для запросов.
serg.tc
17:47 8 февраля 2019
Ребята, исправьте "Белоруссию" на "Беларусь" и не портите репутацию...
Вы бы еще "на Украину" написали
Дмитрий Угниченко
14:42 11 февраля 2019
Спасибо за отклик. Исправили.
fasmpower
02:54 10 февраля 2019
Спасибо за инфу, мб пригодится, а вообще это окошко с предупреждением о куках раздражает не меньше, чем просьба дать разрешение получать уведомления. Проще метрику убрать, чем мучить людей этим
Дмитрий Угниченко
14:47 11 февраля 2019
На практике достаточно разместить один запрос на подтверждение согласия на обработку данных. В запросе указать ссылку на политику конфиденциальности. Выполнение данных действий позволят избежать претензий.
dlevicky
05:39 13 февраля 2019
Здравствуйте. Есть чисто информационный сайт, подключена Яндекс.Метрика, никаких данных с пользователя не собирается. Нужно ли что-то дорабатывать во избежание?
Дмитрий Угниченко
13:00 13 февраля 2019
Рекомендуется создать на сайте страницу политики конфиденциальности и указать стандартную информацию о сборе, хранении и обработке данных. В данном примере система аналитики от Yandex собирает данные и является так называемым data controller., ваш сайт имеет статус data processor.
sanya.kuzovlev
16:31 7 марта 2019
Дмитрий, спасибо за статью. Отличная работа.
Есть несколько вопросов. Хочется расставить все точки над i.
- Из текста я понял, что сайты с любой системой аналитики в России должны соответствовать GDPR. Иначе они владельцы потенциально попадают на штраф. Чем можно объяснить, что так редко встречается уведомление о использовании cookie? Таких уведомлений нет ни у Билайн, ни у ТАСС ни у вас самих. Я не про уведомления в формах. Я говорю об уведомлениях при первом заходе на сайт. Возможно проверяется откуда пришел пользователь? Но я пробовал заходить через VPN Германии. Никаких уведомлений, а cookies - целая портянка.
- Возможно я пропустил, но важно ли для соблюдения GDPR показывать уведомление о cookie так, чтобы посетитель увидел его без прокрутки. Например, pop-up окном?
Для добавления комментария, пожалуйста, авторизуйтесь