Ключевые моменты создания политики конфиденциальности, соответствующей GDPR

При обработке персональных данных пользователей в пределах ЕС необходимо соответствовать GDPR, и для этого требуется разработать политику конфиденциальности, соответствующую GDPR. Однако многие не имеют четкого понимания GDPR, и поэтому возникают вопросы: нужно ли вашему сайту соответствовать GDPR и как именно следует это делать?

В этой статье мы объясним основные моменты GDPR и ключевые аспекты создания политики конфиденциальности, соответствующей GDPR. Также мы рассмотрим ситуацию в Японии и приведем примеры известных компаний, что может служить вам в качестве руководства.

О GDPR и Политике конфиденциальности

Что представляет собой Политика конфиденциальности, соответствующая GDPR? Здесь мы рассмотрим общие положения GDPR и обязательства, связанные с Политикой конфиденциальности в рамках GDPR.

GDPR и Политика конфиденциальности

GDPR – это регламент ЕС, который подробно определяет защиту и обработку персональных данных. GDPR применяется в Европейской экономической зоне (EEA: страны-члены ЕС, за исключением Швейцарии, а также страны-члены EFTA – Исландия, Лихтенштейн и Норвегия). Японские компании также могут подпадать под действие GDPR в следующих случаях:

• Предоставление товаров или услуг субъектам данных внутри ЕС
• Мониторинг поведения субъектов данных внутри ЕС

Субъект данных – это идентифицированное или идентифицируемое физическое лицо, к которому относятся персональные данные.

Компании, на которые распространяются вышеуказанные условия, должны пересмотреть и, при необходимости, обновить свою Политику конфиденциальности (Уведомление о конфиденциальности). В случае нарушения GDPR компания может быть оштрафована на сумму до 20 миллионов евро или на сумму, эквивалентную 4% от глобального оборота.

Ссылка: Японская организация по продвижению внешней торговли | “Общий регламент по защите данных ЕС (GDPR)”[ja]

Для безопасной торговли со странами ЕС проверка Политики конфиденциальности является обязательной.

Предоставление информации при получении персональных данных согласно GDPR

Согласно GDPR, при получении персональных данных администратор должен предоставить субъекту данных определенную информацию, что установлено в статье 12(1) GDPR, где описаны методы предоставления информации.

Требования следующие:

• Информация должна быть краткой, прозрачной, понятной и легкодоступной
• Использование ясного и простого языка
• При предоставлении информации детям необходимо принимать соответствующие меры
• Информация должна предоставляться письменно или, при соответствующих обстоятельствах, в электронном виде или иным способом
• По запросу субъекта данных информация может быть предоставлена устно

Кроме того, согласно статье 12(5) GDPR, предоставление информации должно быть бесплатным. Убедитесь, что ваша Политика конфиденциальности соответствует вышеуказанным требованиям и при необходимости внесите изменения.

Ключевые моменты при обновлении политики конфиденциальности в соответствии с GDPR

В GDPR указано, что при получении персональных данных непосредственно от субъекта данных (статья 13 GDPR) и при получении персональных данных не от субъекта данных (статья 14 GDPR), администратор данных должен ясно информировать субъекта данных о нескольких пунктах.

Среди пунктов, которые должен указать администратор, можно выделить следующие:

• Личность администратора, подробные контактные данные
• Если есть представитель, личность и подробные контактные данные представителя
• Права субъекта данных на доступ, исправление, удаление, ограничение обработки, переносимость данных и возражение
• Цели обработки персональных данных и правовая основа для обработки
• Срок хранения персональных данных или критерии для определения этого срока
• Типы обрабатываемых персональных данных

Среди пунктов, которые необходимо указать, есть такие, которых нет в японской политике конфиденциальности, поэтому особое внимание следует уделить именно этим аспектам при обновлении. О политике конфиденциальности, основанной на Японском законе о защите персональных данных, вы можете прочитать в этой статье.

Связанная статья: Каковы ключевые моменты при создании политики конфиденциальности с учетом Японского закона о защите персональных данных?[ja]

Здесь мы сосредоточимся на объяснении ключевых моментов обновления, которые отсутствуют в политике конфиденциальности, основанной на Японском законе о защите персональных данных.

Основания законности обработки данных

В соответствии с GDPR (Общим регламентом по защите данных), в отличие от Японского закона о защите личных данных, требуется явное указание оснований законности обработки данных. Существует шесть оснований, которые делают обработку персональных данных законной (статья 6 GDPR):

• Согласие субъекта данных
• Исполнение контракта
• Юридическое обязательство
• Защита жизненно важных интересов
• Исполнение задачи, выполняемой в общественных интересах
• Защита законных интересов

Если применим хотя бы один из этих шести пунктов, обработка данных считается законной, поэтому важно указать это в политике конфиденциальности. Для лиц, у которых информация собирается впервые, можно получить согласие через новую политику конфиденциальности.

Однако следует обратить внимание на пользователей, которые уже дали свое согласие. Для людей, которые согласились до внесения изменений в политику конфиденциальности, потребуется получить согласие заново.

В таком случае можно предложить метод, при котором в политике конфиденциальности указывается одно из шести оснований законности, и запрашивается согласие на изменения.

Категории собираемой информации и цели использования

В традиционной политике конфиденциальности часто встречается практика, когда собираемая информация, цели её использования и условия использования услуг объединяются на одной странице, и пользователи дают своё согласие на всё сразу. Однако, согласно Общему регламенту по защите данных (GDPR), необходимо чётко указывать, на что именно пользователи дают своё согласие.

Рекомендуется указывать цели использования для каждой категории собираемой информации и получать согласие пользователей отдельно для каждой из них.

Уточнение целей использования

В соответствии с GDPR, необходимо четко указывать цели использования собираемой информации. Например, если целью является “улучшение сервиса”, такое описание может быть слишком неопределенным и, следовательно, может быть признано неподходящим.

Кроме того, дополнительная обработка данных, не соответствующая первоначальной цели, не допускается, поэтому следует уделить внимание этому аспекту при пересмотре политики конфиденциальности.

Право на удаление и право на переносимость данных

Многие компании уже включали в свои политики конфиденциальности права на доступ и исправление. Однако, в соответствии с Общим регламентом по защите данных (GDPR), необходимо также указывать право на удаление и право на переносимость данных.

Право на удаление позволяет пользователям требовать от администратора удаления их личных данных. Право на переносимость данных дает возможность перемещать личные данные в другой сервис.

Например, можно перенести данные абонента и историю его операций с мобильного оператора A к оператору B. Для соответствия GDPR необходимо включить в политику конфиденциальности информацию об этих правах.

Указание срока хранения данных

В соответствии с GDPR требуется явно указывать “срок хранения личных данных”, который ранее не включался в традиционную политику конфиденциальности. Если невозможно определить конкретный срок, допускается указание критериев, на основании которых будет определяться срок хранения.

Состояние соответствия GDPR японскими компаниями

Представляем вашему вниманию информацию из исследования «Тенденции в использовании корпоративных IT 2021»[ja], подготовленного Общественной фондацией Японии по продвижению информационного общества и корпорацией ITR.

Согласно результатам исследования, количество компаний, соответствующих GDPR, невелико, и большинство компаний (26,1%) находятся в процессе адаптации (рассматривают вопрос). На момент подсчета данных в 2021 году многие компании также не имели дел с передачей личных данных в ЕС и обратно.

Результаты исследования обмена личными данными с ЕС следующие:

Из приведенной выше диаграммы видно, что 44,4% компаний ответили, что «в настоящее время обмена данными нет и не планируется в будущем». 12% компаний указали, что «ранее был обмен данными, но после введения GDPR обработка данных осуществляется отдельно в ЕС и Японии».

25,9% компаний отметили, что «в настоящее время обмена данными нет, но планируется в будущем», и 17,6% уже ведут такой обмен. Таким образом, хотя есть вероятность увеличения числа компаний, ведущих обмен данными с ЕС в будущем, на момент исследования 2021 года их было немного.

Источник: JIPDEC／ITR «Тенденции в использовании корпоративных IT 2021»[ja]

Ответственность известных компаний перед GDPR

Многие компании хотят обновить свою политику конфиденциальности в соответствии с GDPR, но не знают, какой должно быть её содержание. В этой статье мы подробно рассмотрим примеры того, как компании, такие как Google и Facebook, приспособились к требованиям GDPR.

Подготовка Google к соответствию GDPR

Google объявил о следующих мерах для соответствия GDPR:

• Повышение прозрачности для пользователей
• Улучшение управления пользователями
• Улучшение портативности данных
• Совершенствование инструментов для согласия родителей и безопасного использования интернета детьми
• Поддержка бизнес-пользователей и партнеров
• Усиление программы соответствия требованиям конфиденциальности

Здесь мы объясним детали.

Ссылка: Google «О мерах Google в преддверии нового закона ЕС о защите данных (GDPR)[ja]»

Повышение прозрачности для пользователей

Google улучшает и обновляет свою политику конфиденциальности, чтобы сделать информацию, которую компания собирает, и причины, по которым это делается, более понятными и доступными для поиска. Среди прочих улучшений перечислены следующие пункты:

• Добавлены подробности о управлении информацией, её экспорте и удалении
• К тексту добавлены видео и иллюстративные материалы

Кроме того, были изменены настройки для облегчения доступа к странице настроек конфиденциальности.

Улучшение управления пользователями

Для соответствия GDPR мы улучшили методы управления пользователями. Внесенные изменения следующие:

• Возможность просмотра и удаления данных в разделе “Моя активность”
• Добавлена функция поиска по темам, датам и продуктам
• Возможность проверки настроек конфиденциальности, подходящих лично вам
• Управление и скрытие отображаемой рекламы
• Понимание управления данными через Панель управления Google

Кроме того, еще до вступления в силу GDPR были внесены изменения для упрощения управления информацией пользователей и рекламой.

Улучшение портативности данных

У Google есть различные сервисы, такие как Google Фото, Диск, Календарь и Gmail. Вот что Google делает для соответствия GDPR и улучшения портативности данных:

• Расширение списка сервисов и управляющих элементов, поддерживающих загрузку данных
• Добавление функции планирования периодических загрузок данных

Улучшение инструментов для согласия родителей и адекватного использования интернета детьми

Компания Google предоставляет приложение Family Link для обеспечения надлежащего использования интернета родителями и детьми. С помощью Family Link родители могут создавать учетные записи для своих детей.

Приложение позволяет устанавливать и управлять домашними правилами, такими как «управление временем использования» и «временная блокировка устройства».

Поддержка бизнес-пользователей и партнеров

В ответ на требования Общего регламента по защите данных (GDPR), мы обновили политику, которая касается запроса согласия пользователей на сайтах и в приложениях наших партнеров Google (рекламодателей и вебмастеров). Другие обновления включают следующее:

• Предоставление инструментов для поддержки соответствия требованиям GDPR
• Ужесточение процесса аккредитации компаний, использующих рекламные сервисы Google
• Обновление условий обработки данных
• Предоставление подробной информации о переносимости данных и уведомлениях о данных инцидентах

Усиление программы соответствия требованиям конфиденциальности

Для соответствия GDPR (Общему регламенту по защите данных) мы усиливаем нашу программу соответствия требованиям конфиденциальности. Вот основные направления усиления:

• Улучшение программы конфиденциальности
• Усиление процесса проверки продуктов

Кроме того, мы осуществляем более всестороннюю документацию процессов обработки данных.

Соответствие Facebook регламенту GDPR

Facebook объявил о следующих мерах в ответ на требования GDPR:

• Подтверждение получения информации из отображаемых объявлений
• Выбор информации профиля
• Подтверждение использования технологии распознавания лиц (в ЕС и Канаде)
• Обновленные условия обслуживания и соглашения о данных
• Внедрение функций для упрощения доступа к информации, её удаления и скачивания
• Предоставление информации молодежи

Далее мы объясним эти меры подробнее.

Ссылка: Facebook «Соблюдение Общего регламента по защите данных (GDPR) и предоставление новых мер по защите конфиденциальности[ja]»

Подтверждение получения информации из отображаемых объявлений

Партнеры Facebook используют информацию, полученную через клики по кнопке «Нравится» и инструменты, предоставляемые Facebook, для показа рекламы. Пользователям предоставляется информация о рекламе, и они могут выбирать, разрешать ли использование данных от партнеров для отображения рекламы.

Выбор информации профиля

В профиле Facebook могут быть указаны и опубликованы такие данные, как политические взгляды, религиозные убеждения и информация о личных отношениях. Пользователи могут выбирать, продолжать ли публиковать эту информацию и разрешать ли её использование в рекламе.

Информацию профиля можно в любое время изменять, и пользователи могут легко удалить её, если пожелают.

Подтверждение использования технологии распознавания лиц (в ЕС и Канаде)

Facebook предоставляет пользователям из стран ЕС и Канады возможность выбора использования технологии распознавания лиц. Пользователи из других стран также могут свободно выбирать эту опцию.

Обновленные условия обслуживания и соглашения о данных

Пользователям показываются обновленные «Условия обслуживания» и «Политика в отношении данных», содержащие подробную информацию о механизмах работы сервиса, с которыми необходимо согласиться.

Внедрение функций для упрощения доступа к информации, её удаления и скачивания

С помощью «Инструментов управления личными данными» пользователи могут проверять и удалять свои данные. Также упрощен процесс скачивания и экспорта данных.

Функция журнала активности на мобильных устройствах обновлена, чтобы пользователям было проще проверять, какую информацию они ранее делились.

Предоставление информации молодежи

Facebook изначально устанавливает ограничения для пользователей подросткового возраста, которые включают:

• Ограничения по категориям рекламы
• Невозможность использования технологии распознавания лиц (для лиц младше 18 лет)
• Ограничения на просмотр и поиск информации, которой делятся пользователи подросткового возраста

Кроме того, по умолчанию настройки конфиденциальности установлены таким образом, чтобы информация не публиковалась открыто.

Для соответствия GDPR Facebook ввел дополнительные правила. Для пользователей из стран ЕС для просмотра рекламы и публикации информации в профиле (например, религиозные убеждения, политические взгляды) требуется разрешение родителей.

В других регионах пользователи могут выбирать, разрешать ли использование данных, полученных от партнеров для рекламы, и публиковать ли личную информацию в своем профиле.

Заключение: GDPR предусматривает более широкий охват персональных данных, чем японское законодательство, и требует соответствующего реагирования

В GDPR предусмотрены различные положения, такие как «уточнение целей использования для каждого вида собираемой информации», «ясное определение права на удаление и права на переносимость данных», «указание сроков хранения данных», что расширяет права пользователей по сравнению с традиционным японским законодательством.

В случае нарушения GDPR предприятиям придется выплатить значительные штрафы, и компании, обрабатывающие личные данные в пределах ЕС, должны соответствовать GDPR. Компании, которые уже ведут бизнес в ЕС или планируют выход на этот рынок в будущем, должны разработать политику конфиденциальности в соответствии с GDPR.

Информация о мерах, предпринимаемых нашей фирмой

Юридическая фирма “Монолит” обладает богатым опытом в области IT, особенно в интернете и праве. В последние годы глобальный бизнес продолжает расширяться, и потребность в профессиональной юридической проверке увеличивается. Наша фирма предоставляет решения в области международного правового обслуживания.

Сферы деятельности юридической фирмы “Монолит”: Международное право и зарубежный бизнес[ja]