Политика по GDPR для Интернет-магазина и Маркетплейса
Считается, что GDPR произвел революцию в области защиты персональных данных и задал новый стандарт. Теперь большинство правовых актов будут стремиться именно к этому. Однако с момента вступления в силу прошло уже несколько лет, и эти требования нужно выполнять любой компании, выходящей на европейский рынок. Маркетплейс или интернет-магазин должен изменить свой подход, начиная с алгоритмов сайта и заканчивая приведением в соответствие локальных актов. О том, что такое GDPR и как адаптироваться под его требования, вы можете прочитать в нашей статье.
Содержание:
- Что такое GDPR?
- На какие маркетплейсы/ интернет-магазины распространяются требования GDPR
- Составление политики для интернет-магазина в соответствии с требованиями GDPR
- Согласие с Политикой конфиденциальности по GDPR
Что такое GDPR?
GDPR (General Data Protection Regulation) – европейский регламент защиты персональных данных. Этот акт вступил в силу 25 апреля 2018 г. После принятия многие оценили, что акт предъявляет высокие требования к защите персональных данных. Некоторые компании на время отказались от европейского рынка, чтобы настроить свои алгоритмы в соответствии с требованиями GDPR. Если интернет-магазин или маркетплейс открывается сейчас и рассчитывает на европейского покупателя, лучше сразу создать и платформу, и политику конфиденциальности, ориентируясь на его положения.
На какие маркетплейсы/ интернет-магазины распространяются требования GDPR
Даже если маркетплейс создается в России, в некоторых случаях ему необходимо учитывать нормы GDPR. В соответствии со ст. 3 Регламента вы попадаете под действие GDPR, если:
- У вас есть организационная единица на территории Европейского Союза (далее - ЕС), которая ведет обработку персональных данных. Организационная единица в этом случае понимается максимально широко: это может быть просто офис без регистрации в качестве юридического лица в этом европейском государстве. Чтобы понять, что может считаться офисом, обычно смотрят на следующие критерии: счет в европейском банке, почтовый ящик, представитель на территории ЕС.
- Субъект данных находится в ЕС, а обработка связана с предложением ему товаров и услуг. Здесь суды также широко толкуют эту норму. Гражданство члена ЕС не является обязательным, достаточно находиться на территории Союза. Чтобы понять направлены ли ваши предложения на жителей именно этих стран, суды обращают внимание на информацию о деятельности сайта:
- Доступность веб-сайта на конкретной территории;
- Адрес электронной почты;
- Использование языка государства-члена;
- Использование европейской валюты;
- Упоминание пользователей на территории ЕС.
Если первые три пункта могут выглядеть неубедительными, то последние два однозначно свидетельствуют о направленности деятельности интернет-магазина на европейских пользователей.
- Компания осуществляет мониторинг поведения на территории ЕС. Здесь возможны несколько потенциальных случаев для маркетплейса. Например, маркетплейс отвечает за доставку товаров и отслеживает перемещение машин с товарами. Наиболее распространенный, когда интернет-магазин берет данные о поведении потребителя на своем сайте.
Во всех этих случаях маркетплейсу придется учитывать требования GDPR.
Составление политики для интернет-магазина в соответствии с требованиями GDPR
GDPR требует более активного подхода со стороны организаций. Это включает в себя готовность к проверкам по соблюдению норм и способность подтвердить соответствие требованиям. Политика должна быть написана подробно и при этом понятна для пользователя. Зашедший на сайт покупатель не должен быть введен заблуждением сложными юридическими описаниями.
Какие данные собирает маркетплейс/интернет-магазин в контексте требований GDPR
В Политике нужно указать, какие данные собирает маркетплейс о покупателях. При этом GDPR понимает персональные данные очень широко. Сюда также входят псевдонимы и идентификаторы компаний. Также под GDPR подпадают cookie-файлы. Более подробно про них вы можете прочитать в нашей статье «Составление политики обработки файлов Cookie для Интернет-магазина и Маркетплейса».
Какие требования предъявляются к маркетплейсу по GDPR
Политика должна отражать новый подход к конфиденциальности по умолчанию, то есть любой процесс должен строиться в соответствии с требованиями по защите персональных данных. Кроме того, необходимо проводить процесс оценки влияния на конфиденциальность (Data Protection Impact Assessment, DPIA).
Права субъекта данных в соответствии с GDPR
В Политике также стоит выделить в отдельный раздел права субъектов персональных данных, т.е. пользователей маркетплейса или интернет-магазина. Пользователи вправе затребовать копию персональных данных в любой момент, поэтому процессы должны быть выстроены под эти права. Другое важное право, которое необходимо прописать в Политике и которое организации обязаны соблюдать, - право требовать удаления данных.
Согласие с Политикой конфиденциальности по GDPR
Правила получения согласия клиента связаны с общим подходом GDPR к Политике. Политика должна быть написана просто, а согласие пользователя должно быть информированным. Кроме того, согласие должно быть
Если критерии добровольности легко соблюдать и, вероятно, компания не может предпринять мер, чтобы его проверить, то для критерия информированности необходимо продумать дополнительные шаги. Стоит вынести ключевые положения из Политики и выделить их, чтобы пользователь, давая согласие, обратил на них внимание. Безусловно, поле для проставления галочки, выражающей согласие, должно стоять после текста Политики, а не до.
Последствия несоответствия политики конфиденциальности требованиям GDPR
Европейским законодательством предусмотрена ответственность за нарушение обработки персональных данных, т.е. фактически нарушение порядка GDPR. Штраф составляет до 20 млн евро или 4% от годового оборота компании. Для маркетплейса или интернет-магазина эти суммы могут стать существенными.
Таким образом, маркетплейс должен следовать следующей инструкции. Во-первых, определить, распространяется ли на него GDPR. Во-вторых, адаптировать технические аспекты работы сайтов и приложений. В-третьих, дополнить Политику конфиденциальности, включая права пользователей. В-четвертых, настроить порядок дачи согласия с условиями Политики конфиденциальности. Если у вас возникли вопросы или вам необходима помощь с составлением Политики конфиденциальности по требованиям GDPR, свяжитесь с юристами A4 Law Firm.
ВОПРОСЫ?