Найти тему
eSputnik
896 подписчиков

Как соблюдать LGPD

1
5 мин

Вслед за правилами, регулирующими использование и защиту персональных данных граждан Евросоюза (GDPR), вступившими в силу в мае 2018-го, и Калифорнийским законом о защите прав потребителей (CCPA), принятым в январе 2020-го, в скором времени появится еще один законопроект, регулирующий обращение с персональными данными. На этот раз — в Бразилии.

Lei Geral de Proteção de Dados (LGPD) — это новый законопроект, регулирующий обработку персональных данных потребителей, который должен вступить в силу 15 августа 2020 года (по некоторым данным — в мае 2021-го).

Он распространяется на организации (вне зависимости от их физического расположения), которые выполняют операции по обработке данных в Бразилии с целью предоставления товаров или услуг физическим лицам, находящимся в Бразилии:

  • обрабатывают данные, принадлежащие лицам, находящимся в Бразилии;
  • обрабатывают личные данные, которые были собраны в Бразилии (данные, принадлежащие субъекту данных, который находился в Бразилии на момент сбора).

LGPD требует от компаний принятия всех возможных защитных мер и реагирования на любые запросы со стороны субъекта данных. Это означает, что обработчик персональных данных обязан:

  • предоставлять уведомления, сообщать, исправлять, анонимизировать или деанонимизировать личные данные по запросу субъекта данных;
  • удалить личные данные по запросу субъекта данных или удалить их после истечения согласованного срока действия согласия;
  • обеспечить технические и административные меры безопасности для защиты личных данных от несанкционированного доступа, обработки без получения согласия и других инцидентов в сфере безопасности.

И первым шагом перед принятием более конкретных мер должен быть полный анализ ваших текущих процессов обработки:

  • Определите, какие действия по обработке персональных данных, осуществляемые вашей компанией, подпадают под регулирование LGPD;
  • Определите все технологии, которые вы используете для сбора, обработки и хранения данных;
  • Определите, обрабатываете ли вы какие-либо личные данные, которые можно идентифицировать как конфиденциальную информацию;
  • Определите, какие правовые основы вы применяете для обработки личных данных в соответствии с LGPD;
  • Определите, какие из ваших текущих процессов обработки персональных данных не соответствуют требованиям LGPD, если таковые имеются;
  • В случае необходимости пересмотрите и обновите ваши соглашения с третьими сторонами, с которыми вы делитесь персональными данными. В соответствии с LGPD субъект данных имеет право на раскрытие любых третьих лиц и передаваемых им данных.

Проведя всесторонний анализ вы узнаете, какие аспекты вашей деятельности по обработке, клиентской политике и внешним соглашениям нуждаются в корректировке. В любом случае, высока вероятность того, что вам придется реализовать многое из нижеприведенного.

  • Обновите политику использования файлов cookie

Какие бы технологии (файлы cookie, теги, пиксели) вы не использовали для отслеживания активности посетителей вашего веб-сайта, вам необходимо предоставить уведомление и получить согласие на использование каждой из этих технологий. Вам также необходимо указать:

  • Цель использования конкретной технологии и соответствующего сбора данных (согласие должно быть дано на каждую цель).
  • Продолжительность хранения данных;
  • Варианты отзыва согласия при необходимости.

Обычной практикой сегодня является предоставление настроек файлов cookie, где пользователь может указать, какую обработку данных он принимает, и дать согласие на ее использование.

Убедитесь, что вы собираете только те данные, которые вам действительно нужны. Нет смысла собирать всю возможную информацию (и тратить ресурсы на обеспечение ее безопасности и соблюдение законодательства), если вы никогда не планируете использовать ее.

Изменения, происходящие в последние 3 года с политиками конфиденциальности, говорят о том, что законов, подобных CCPA и LGPD, будет становиться всё больше. Соответственно, высок риск, что вам придется подстраиваться под каждый из них. Так что лучше уже сегодня оптимизировать объем личной информации, которую вы обрабатываете.

  • Отправляйте уведомления об обновлениях политики

Если вы вносите какие-либо изменения в политику конфиденциальности своих клиентов, сообщите им об этом. Google Ads были первыми, отправившими такие уведомления.

-2

Вы можете подумать об установке флажка в емейле, чтобы получатель с его помощью мог подтвердить, что осведомлен об изменениях и согласен с новой политикой. Чем больше данных вы собираете и храните, тем внимательнее вы должны относиться к согласию их владельца.

Четко укажите в теме письма его суть (Важные обновления политики конфиденциальности), чтобы оно не потерялось среди других сообщений в почтовом ящике подписчика.

  • Назначьте сотрудника по защите данных

Если LGPD определяет вас в качестве контролера, скорее всего вам нужен будет новый специалист, который будет отвечать за связь между вами, субъектами данных и уполномоченными органами. Имя и контакты такого сотрудника должны находиться в открытом доступе, предпочтительно — на веб-сайте контроллера.

Однако остается надежда, что это требование будет пересмотрено соответствующим бразильским органом (как только он будет создан) с учетом типа и размера компании, а также объема операций по обработке данных.

  • Ведите учет третьих лиц, которым вы предоставляете личные данные

В соответствии с GDPR, человек имеет право на информацию о любых третьих лицах, которым передаются его личные данные. Поэтому вам необходимо знать, кому и какие данные вы передаете данные, на каких условиях вы это делаете, и быть готовым предоставить соответствующую информацию по запросу.

  • Организуйте процедуру ответов на запросы субъекта данных

Будьте готовы отправить уведомление о нарушении обработки данных как субъекту данных, так и властям. Ваша реакция должна быть максимально быстрой. Вы должны ответить на запрос о возражении на обработку данных сразу после его получения; и вы должны ответить на запрос о доступе к личным данным в течение 15 дней с момента получения.

  • Будьте готовы предоставить оценку надежности защиты данных

LGPD требует, чтобы компания (контролер) была готова предоставить отчет о мерах, предпринятых для должной защиты персональных данных. 
Обстоятельства, при которых может возникнуть необходимость такого запроса, пока не уточняются. Бразильские власти могут запросить оценку надежности защиты данных, когда это будет сочтено необходимым, и такая оценка должна включать как минимум:

  • описание типов обрабатываемых данных;
  • методы, используемые для сбора данных;
  • используемые методы защиты информации;
  • описание механизмов, используемых для снижения рисков, связанных с обработкой персональных данных.

В целом, новый закон о защите данных преследует благие цели — дать людям больший контроль над постоянно увеличивающейся обработкой их личных данных. Тем не менее, отсутствие единого органа, который отвечал бы за составление, регулирование и обеспечение соблюдения положений закона, совсем не облегчает работу маркетологов и юридических отделов компаний.

Кроме того, закон создает определенные неудобства для пользователей, которым приходится вчитываться в клиентскую политику и правила использования файлов cookie на каждом посещенном сайте, или покидать его не оставив согласия.

Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Гаджеты и электроника
5,73 млн интересуются