Позвоните нам

+7 (495) 215-53-16
+7 (812) 748-20-96

Наш адрес:

Санкт-Петербург, Заозерная ул. 8

График работы

пн-пт: 08.00 - 23.00, сб-вс: отдыхаем :)
18. 02. 2019   ·   Комментарии: 0   ·

GDPR, парсинг и защита персональных данных…

Если в последние несколько лет вы не жили вдали от цивилизации, то знаете не понаслышке, что принят и работает Общий регламент по защите персональных данных Европейского союза (англ. General Data Protection Regulation, сокр. GDPR). Это самый комплексный закон о защите данных, который когда-либо был принят и который в корне изменит порядок использования и обработки компаниями персональных данных существующих и потенциальных клиентов.
В сети можно найти бесчисленное множество статей и руководств, которые подробно рассказывают о том, что из себя представляет GDPR, как это нововведение отразится на лидогенерации и маркетинговой деятельности компаний, а также об изменениях, которые необходимо внести, чтобы полностью соответствовать положениям нового закона. Но… о парсинге сайтов не сказано ни слова.

Что странно, учитывая, что уже на протяжении многих лет парсинг лежит в основе лидогенерации, исследования рынка и вообще любой маркетинговой кампании. Чтобы пролить свет на эту terra incognita, авторы блога Scrapinghub (откуда мы переводим эту статью, кстати) встретились с Санаи Дарувалла, руководителем юридического отдела их компании, которая поделилась своими соображениями и поведала о том, как клиенты Scrapinghub собирают персональные данные, при этом не нарушая положений GDPR.

Из этой статьи вы узнаете:

  • Как вступление в силу GDPR отразится на парсинге (Ответ: парсинг персональных данных граждан Евросоюза отныне будет считаться незаконным, за исключением случаев, когда у вас будет прямое согласие.)
  • Детально описанный процесс принятия решений, которому следует Санаи при оценке соответствия парсинг-проектов требованиям GDPR.

Ответы на самые актуальные вопросы о положениях GDPR и парсинге:

Перед тем, как начать, хотим отказаться от излишней ответственности: мы не юристы, и рекомендации, представленные в этой статье, не являются юридической консультацией. Руководитель юридического отдела ScrapingHub – квалифицированный юрист, но она не является вашим личным юристом, поэтому ее заключения или рекомендации не являются панацеей. Комментарии и рекомендации, изложенные ниже, основаны на опыте Scrapinghub, который помогал и помогает нашим клиентам (от стартапов до компаний из списка Fortune 100) соответствовать требованиям GDPR и при этом парсить 7 миллиардов веб-страниц в месяц. Если вам необходима консультация конкретно по вашей ситуации, рекомендуем вам обратиться за помощью к юристу. Ну, а теперь, покончив со всеми формальностями, поговорим о том, как необходимо оценивать проект на предмет его соответствия требованиям GDPR.

Шаг 1: Планируете ли вы собирать персональные данные?

Самый простой и очевидный вопрос. Общий регламент ЕС по защите персональных данных или попросту GDPR, применяется только к персональным данным, которые определяются как личная идентификационная информация (англ. Personally identifiable information, сокр. PII), применяемая для прямой или косвенной идентификации конкретного лица. Примеры персональных данных включают в себя:

  • Имя
  • Фактический адрес
  • Адрес электронной почты
  • Номер телефона
  • Данные кредитной карты
  • Реквизиты банковского счета
  • IP адрес
  • Дата рождения
  • Информация о трудоустройстве
  • Номер карточки социального страхования
  • Медицинская информация
  • Видео/аудио записи

Если вы не имеете дело с персональными данными, то GDPR не применим. Однако, если это ваш случай и вы занимаетесь парсингом персональных данных, переходите к Шагу 2.

Шаг 2: Собираете ли Вы персональные данные резидентов Евросоюза?

Если вы положительно ответили на первый вопрос, то следующий момент, на который следует обратить внимание, заключается в том, будете ли вы собирать персональные данные граждан или резидентов ЕС (обратите внимание, что GDPR по факту охватывает Европейскую экономическую зону (ЕЭЗ), а это все страны ЕС плюс Исландия, Лихтенштейн и Норвегия; так что это немного шире, чем просто ЕС). GDPR — это специальный регламент ЕЭЗ, поэтому он распространяется только на граждан и резидентов ЕС. Если вы собираете персональные данные резидентов других стран (скажем, США, Канады, Австралии и т. д.), то положения GDPR на них уже не распространяются. Вам просто нужно соблюдать законы о защите данных тех стран, из которых вы получаете персональные данные. Вот и все.

Нужны данные для вашего бизнеса?

Бесплатно регистрируйтесь на нашем портале https://ru.xmldatafeed.com и используйте ежедневные итоги парсинга крупнейших сайтов России (товары и услуги)!

Шаг 3: Есть ли у вас законные основания для сбора персональных данных?

Так, а теперь поподробнее разберем сам GDPR. Мы уже определились, что собираем парсингом персональные данные, и это затрагивает граждан ЕС. Следующий вопрос, на который нам нужно ответить: Есть ли у нас законные основания для сбора персональных данных этих граждан ЕС?

Согласно GDPR, чтобы использовать или хранить персональные данные любого гражданина ЕС, компания должна выполнять требования одного или сразу нескольких указанных ниже законных оснований для хранения или использования персональных данных пользователей. В противном случае, это приведет к нарушению требований регламента. Существует пять возможных законных оснований:

  • Согласие — субъект персональных данных (лицо, чьи данные мы собираем) дал согласие на получение нами его данных.
  • Контракт — персональные данные необходимы для исполнения договора с субъектом данных.
  • Соответствие юридическим требованиям — необходимо для соблюдения юридического обязательства.
  • Жизненные интересы физических лиц , общественные интересы, государственные органы — как правило, применимы только к государственным органам, где доступ к персональным данным используется в общественных интересах.
  • Законный интерес — необходим для наших законных интересов.

Каждому клиенту, который обращается в Scrapinghub для сбора персональных данных граждан ЕС, обеспечен индивидуальный подход, потому что крайне важно иметь возможность доказать и предоставить законные основания для сбора подобного рода данных. Наиболее распространенными законными основаниями в случае парсинга персональных данных можно назвать законный интерес и согласие. Для начала, давайте поподробнее поговорим о согласии…

Cогласие

В большинстве случаев наличие согласия на сбор и использование персональных данных, является основным (и зачастую единственным) способом законного разрешения на парсинг. Еще до того, как на горизонте появился GDPR, было много обсуждений в парсинг-сообществах по поводу того, должен ли резидент ЕС каким-то образом давать свое согласие на сбор и обработку своих персональных данных, если они были указаны на общедоступных веб-сайтах (для просмотра данных не требуется вход в систему). В качестве аргумента было выдвинуто то обстоятельство, что, загружая личные данные на общедоступный сайт, пользователи дают свое согласие на просмотр и хранение этих данных третьими лицами.

Тем не менее, после тщательного изучения вышеуказанного аргумента руководителем юридического отдела в Scrapinghub и приглашенными Scrapinghub юристами, они пришли к выводу, что такое толкование правил не соответствует требованиям GDPR. В результате, чтобы использовать персональные данные гражданина ЕС, теперь необходимо подтвердить, что у вас есть его прямое согласие на обработку данных. Многим может не понравиться такая позиция, однако после детального изучения всех документов, представленных комиссией, Scrapinghub заключил, что принятие данного регламента — единственное, что гарантированно предотвратит нарушение требований GDPR.

Очевидно, что такое толкование положений GDPR значительно сократит количество проектов, направленных на сбор персональной информации граждан ЕС с целью ее дальнейшего использования для лидогенерации, анализа рынка и т.д. Тем не менее, компании по-прежнему могут собирать персональные данные граждан ЕС, если у них есть для этого соответствующее разрешение. Примером могут служить такие компании, как Mint.com, где пользователи дают свое согласие на вход в свою учетную запись онлайн-банкинга и получение данных о транзакциях так, чтобы их можно было легко отслеживать и чтобы они отображались в более удобном для пользователя формате. Далее, мы рассмотрим использование законного интереса в качестве законного основания для сбора и использования персональных данных граждан ЕС.

Законный интерес

Другим вполне законным основанием для парсинга персональных данных является наличие законного интереса в сборе, хранении, использовании этих персональных данных. Однако, для большинства компаний будет достаточно трудно подтвердить тот самый законный интерес при парсинге чьих-либо персональных данных. Чаще всего только органы государственного управления и правоохранительные органы могут подтвердить наличие законного интереса для сбора персональных данных граждан, поскольку это, как правило, делается во благо общества.

Шаг 4: Оценить персональные данные, которые будут собраны

Как уже говорилось на Шаге 3, к каждому клиенту, который обращается для сбора персональных данных резидентов ЕС, у нас индивидуальный подход, потому что крайне важно иметь возможность последовательно доказать и предоставить клиенту законные основания для сбора подобного рода данных в соответствии с GDPR. На этом этапе мы не только рассматриваем законные основания для парсинга компаниями персональных данных, но также обращаем внимание на тип данных, их объем и на то, как компания планируют использовать собранные данные. На это есть ряд причин:

Причина № 1: Предотвращение сбора конфиденциальных данных

Согласно требованиям GDPR, существуют данные, которые классифицируются как «чувствительные» (конфиденциальные). К ним относятся любые типы персональных данных, которые могут указывать на:

  • Расовое или этническое происхождение
  • Политические убеждения
  • Религиозные или философские верования
  • Членство в профсоюзе
  • Генетические данные
  • Биометрические данные с целью однозначной идентификации физического лица
  • Данные о здоровье или сексуальной жизни и/или сексуальной ориентации физического лица

Сбор конфиденциальных данных означает, что на вас распространяются дополнительные правила, которые обязывают получить особое согласие на их сбор и хранение. Поэтому, если у вас нет этого согласия и нет законных оснований, вам следует держаться подальше от сбора конфиденциальных данных.

Причина № 2: Минимизировать объем собираемых данных

Важной частью GDPR является то, что компании обязаны хранить и обрабатывать ровно такой объем данных, какой требуется для успешного выполнения поставленных задач. Имея возможность собирать большие объемы данных, у компаний зачастую возникает желание собрать чуть больше, чем нужно – так сказать, “на всякий случай”. Очевидно, что такая позиция идет вразрез с требованиями GDPR. Поэтому при оценке проекта по парсингу мы помогаем нашим клиентам уменьшить объем собираемых данных, а также определяем сроки хранения этих данных, которые не будут противоречить требованиям GDPR. Мы настоятельно рекомендуем вам внедрить у себя в компании аналогичный процесс оценки данных, дабы соответствовать требованиям минимизации от GDPR.

Причина № 3: Убедитесь, что персональные данные используются для законных целей бизнеса

Даже если вы можете доказать, что у вас есть законный интерес для сбора персональных данных или вы получили согласие пользователей на обработку и хранение данных, в рамках GDPR вы должны иметь четкое и законное основание и иметь возможность доказать, что эти данные будут использоваться в законных целях компании. Если после оценки предлагаемый проект парсинга не вызовет никаких подозрений по вышеназванным критериям, тогда мы обычно даем старт проекту.

Шаг 5. Убедитесь в правильности политики хранения данных и доступа к ним

Как указано на Шаге 3, причина, по которой разрешается в рамках GDPR собирать парсингом персональные данные, заключается либо в том, что у вас есть прямое согласие, либо в том, что вы можете доказать наличие законного интереса для сбора/хранения данных. Вам также необходимо убедиться, что субъекты данных были ознакомлены с вашей политикой защиты данных и конфиденциальности. Проследите за тем, что ваш проект не идет вразрез с условиями документа о Правах доступа к данным субъектов (субъектов данных), англ. Data Subject Access Rights (сокр. DSAR), который включает право граждан на отзыв согласия, на получение копии своих данных или их удаление. В случае отзыва согласия или получения запроса-DSAR на удаление персональных данных, собравшая эти данные компания обязана либо удалить, либо анонимизировать эти данные, поскольку у нее больше нет законных оснований для их хранения.
Итак, ваш проект практически готов к запуску. Последнее, что вам нужно сделать, это убедиться, что ваши прокси-серверы отвечают требованиям GDPR.

Шаг 6: Убедитесь, что ваши местные IP-адреса соответствуют GDPR

Поскольку в регламенте GDPR IP-адреса определяются как PII (персональная идентификационная информация), вам необходимо убедиться, что все IP-адреса внутри ЕС, которые вы используете в качестве прокси-серверов, соответствуют GDPR. Это означает, что вам необходимо удостовериться, что владелец этого IP-адреса дал свое прямое согласие на использование своего домашнего или мобильного IP-адреса в качестве прокси-сервера для парсинга. Если же у вас есть собственный IP-адрес, то вам необходимо самостоятельно обработать это согласие. Однако, если вы приобретаете прокси-серверы у сторонних провайдеров, проверьте, что у них есть необходимое согласие.

Старые (до введения GDPR) парсинг-проекты

У вас наверняка возник вопрос — а как быть с персональными данными, которые вы когда-то собирали? К счастью для нас, все вышеуказанные шаги распространяются и на них:

  • Проверьте ваши базы данных на предмет наличия персональных данных.
  • Определите, принадлежат ли эти персональные данные гражданам ЕС.
  • Если персональные данные все же принадлежат гражданам ЕС, тогда определите, есть ли у вас законное основание на их сбор и хранение.
  • Если у вас нет законных оснований, вы должны удалить или анонимизировать эти данные.
  • Если у вас есть законное основание, убедитесь, что соблюдаете условия документа о Правах доступа к данным субъекта (субъекта данных).
  • Если эти данные по-прежнему общедоступны, вам следует определить: 1) нужны ли вам все эти данные или их часть, 2) имеются ли конфиденциальные данные в этой базе. Если вам не нужны эти данные, или если они содержат конфиденциальную информацию, удалите их.

Заключение

GDPR, пожалуй, самый эффективный закон о защите данных, который когда-либо принимался. Он навсегда изменил способы сбора и обработки персональных данных.