Маркетинг

Какие данные о пользователях можно собирать сайтам, а какие — нет

40
10

General Data Protection Regulation (GDPR) на официальном сайте называют новой эрой в защите персональных данных на территории Евросоюза. Вокруг GDPR было много шума, споров и громких заявлений. Некоторые нюансы до сих пор остаются непонятными. Давайте разберемся, что сейчас точно известно по этому вопросу.

Почему появился GDPR?

Безопасность и конфиденциальность персональных данных — законное право человека. В статье восьмой, пункте первом Хартии основных прав Европейского союза и статье 16, пункте первом Договора о функционировании Европейского союза (TFEU) сказано, что у всех есть право на защиту персональных данных.

Из этого права естественным образом формируется необходимость в своде правил, связанных с защитой персональных данных. GDPR должен обеспечивать свободу, безопасность и правосудие, связанные с персональными данными.

На кого распространяется GDPR?

Если у вас на сайте пользователи из Евросоюза оставляют свои персональные данные, то вы попадаете под действие GDPR. Все спорные вопросы по персональным данным посетителей вашего сайта вам придется решать в рамках международного законодательства.

Что считается персональными данными?

Персональные данные по GDPR — любая информация, которая относится к идентифицированному или идентифицируемому физическому лицу. Идентифицируемое физическое лицо — это тот, кто может быть идентифицирован прямо или косвенно, в частности, при наличии одного из идентификаторов. Идентификатором может быть:

  • имя;
  • идентификационный номер;
  • данные о местоположении;
  • идентификатор в онлайне (например, userId в Google Analytics или идентификатор пользователя на сайте).

Идентификатором может быть как один, так и несколько факторов, которые относятся к физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности физического лица.

Определение идентификатора настолько широкое, что практически любая информация, которую вы собираете о пользователе, является персональными данными. Конечно при условии, что эту информацию можно связать с физическим лицом.

Какие данные о пользователе можно собирать?

Вы можете собирать любые данные о пользователе, которые необходимы для вашей работы. Вы должны уметь объяснить пользователю, зачем вам нужны эти данные и как вы будете обеспечивать их безопасность.

Какие права нужно обеспечить?

У пользователя должна быть возможность:

  • полностью удалить данные о себе;
  • изменить любые данные о себе;
  • выгрузить данные о себе в структурированном, общедоступном и машинно читаемом формате (например, CSV);
  • ограничить обработку персональных данных (никто не может ими пользоваться без разрешения пользователя);
  • знать, кому передаются его персональные данные;
  • отказаться передавать вам данные о себе;
  • узнать, когда он давал согласие на обработку своих персональных данных.

Если случилась утечка персональных данных и эта утечка может нарушить права и свободы человека, вы должны немедленно оповестить пользователей об этом на понятном им языке. Также вам нужно указать, какие меры вы приняли, чтобы устранить утечку и бороться с последствиями.

Какие настройки нужно менять в Google Analytics?

Если пользователь не дал согласие на обработку своих персональных данных, то вам нужно:

  • анонимизировать его IP адрес (полю anonymizeIp присвоить значение true);
  • отключить передачу данных в рекламную сеть Google (полю allowAdFeatures присвоить значение false);
  • отключить передачу userId.

Так вы не сможете понять, какой это конкретно пользователь, точно определить откуда он к вам пришел с точки зрения географии и передавать данные о нем сторонним сервисам. Также стоит позаботиться о том, чтобы другие скрипты сторонних систем (например, Facebook, Google Ads) не срабатывали до того, как пользователь дал согласие на обработку своих персональных данных.

Если же пользователь дал свое согласие, то можно смело менять настройки на обратные и запускать работу сторонних систем. Но помните, что вы должны предупредить пользователя о всех сторонних системах, с которыми планируете делиться данными.

Когда пользователь обращается к вам с просьбой удалить данные о нем, то через отчет User Explorer вы можете удалить данные об этом пользователе по clientId или userId из Google Analytics.

Что еще нужно учесть?

У вас должен быть data protection officer. Это может быть любой сотрудник вашей компании или сторонний человек, который будет заниматься урегулированием вопросов по GDPR, консультировать по этим вопросам и следить за соблюдением с вашей стороны всех требований и рекомендаций по GDPR.

Максимальный штраф за нарушение GDPR может составлять € 20 000 000 или 4% от годового оборота компании по всему миру. Выбирается большее из этих двух значений. Думаю, эти цифры должны мотивировать вас соответствовать требованиям GDPR

Обнаружили ошибку? Выделите ее и нажмите Ctrl + Enter.

Комментарии (2 )

  1. 0
    2 месяца назад
    Как можно не дать согласие на обработку данных, если об этом по сути и не спрашивается, а просто ставится перед фактом - "Продолжая использовать наш сайт, вы принимаете условия использования ваших данных"
    • 0
      Michael Stukalo
      месяц назад
      GDPR предусматривает получение явного согласия от пользователя. Если данные собираются до того, как вы дали согласие, то это нарушение. Также бизнес должен помнить момент, когда вы дали согласие и обеспечивать остальные права, предусмотренные в GDPR.

Чтобы оставить комментарий, необходимо авторизироваться

Подписаться

на самую полезную рассылку по интернет-маркетингу

Самое

обсуждаемое популярное читаемое

Этот сайт использует куки-файлы и другие технологии, чтобы помочь вам в навигации, а также предоставить лучший пользовательский опыт, анализировать использование наших продуктов и услуг, повысить качество рекламных и маркетинговых активностей.