GDPR – це загальний регламент щодо захисту даних, який є обов’язковим до виконання і передбачає високі штрафи для порушників
25 травня 2018 роки після семирічного процесу підготовки вступив в силу Загальний регламент про захист даних (General Data Protection Regulation, GDPR). Цей документ вже вплинув на багато сфер життя і бізнесу: від технологій і медицини до реклами і банкінгу. При цьому положення нового регламенту стосуються далеко не тільки громадян і компаній-резидентів ЄС.
Редакція PaySpace Magazine пропонує ще раз звернути увагу на основні положення документа і запрошує на профільний захід GDPR Summit Ukraine, який відбудеться 7 жовтня в Києві і традиційно стане майданчиком популяризації в Україні європейських принципів обробки та захисту персональних даних, обміну досвідом впровадження GDPR між організаціями різних галузей економіки.
Основні визначення GDPR
Перш за все слід зазначити, що регламент істотно розширив трактування персональних даних.
Персональні дані — це будь-яка інформація, що відноситься до ідентифікованої фізичної особи або фізичної особи, що ідентифікується (суб’єкта даних), за якою прямо або побічно можна її визначити. До такої інформації належить в тому числі ім’я, дані про місце розташування, онлайн-ідентифікатор і фактори, характерні для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи (п.1 ст.4).
Представникам бізнесу слід розібратися ще в двох термінах — контролер даних (data controller) та оператор даних (data processor). Розрізнити їх нескладно – якщо ваша організація визначає цілі зберігання або обробки персональних даних, вона є контролером. Якщо ж організація зберігає або обробляє ці дані від імені іншої організації, то вона підпадає під визначення «оператора даних». При цьому одна компанія може виступати в обох ролях.
Крім того, GDPR регулює і здійснення компаніями моніторингу поведінки суб’єктів даних – наприклад, відстеження резидента ЄС в мережі (в тому числі використання cookies) або використання методів обробки даних для профілювання окремих осіб, їх поведінки або ставлення до чого-небудь.
Принципи обробки даних по GDPR
Законність, справедливість і прозорість – інформація про цілі, методи та обсяги обробки персональних даних повинна викладатися максимально доступно і просто.
Обмеження цілі – збирати і використовувати дані користувачів компанії можуть виключно в заявлених і озвучених цілях.
Мінімізація даних – компаніям заборонено збирати більше даних, ніж необхідно для реалізації заявлених цілей.
Точність – неточні особисті дані повинні бути видалені або виправлені на вимогу користувача.
Обмеження зберігання – термін і форма зберігання даних повинні відповідати цілям обробки.
Цілісність і конфіденційність – компанія, що обробляє персональні дані, повинна забезпечити їх захист від несанкціонованого доступу, знищення або пошкодження.
Ключові положення GDPR
GDPR значно розширив права громадян і резидентів ЄС з контролю за їх персональними даними:
- суб’єкт даних має право запитувати підтвердження факту обробки своїх даних, всю пов’язану з цим інформацію і умови обробки, вимагати виправлення своїх даних у разі неточностей;
- право на забуття – європейці можуть вимагати видалення своїх особистих даних;
- право на переносимість даних – компанії зобов’язані безкоштовно надавати електронну копію персональних даних іншої компанії на вимогу суб’єкта цих даних;
- згода на обробку персональних даних має бути виражена у формі затвердження або у формі чітких активних дій користувача. Згода також вважається недійсною, якщо користувачеві не надали можливості вибору. Згоду на обробку даних дитини повинні дати батьки.
Зона дії GDPR
GDPR має екстериторіальну дію – це означає, що регламент застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від розміщення самих компаній. Отже, слідувати правилам зобов’язані і представництва зарубіжних компаній в ЄС.
Особливо пильно стежити за дотриманням нових правил необхідно організаціям, які зберігають і обробляють великі масиви споживчих даних – а у багатьох компаній саме ці процеси лежать в основі бізнес-моделей. Таким організаціям необхідно призначити відповідального за захист персональних даних (Data Protection Officer, DPO) для контролю за дотриманням вимог GDPR і направити про нього інформацію регулятору. В обов’язки цієї посадової особи входить, серед іншого, повідомлення регулюючих органів (а в деяких випадках і суб’єктів даних) про будь-які порушення, пов’язаних з персональними даними протягом 72 годин після виявлення події.
Зрозуміло, що найбільші компанії світу завчасно подбали про відповідність новому регулюванню. Зокрема, Facebook запустив ряд інструментів, що «дають людям більше контролю за власною конфіденційністю» – тепер користувачі можуть легко знаходити, завантажувати і видаляти певні дані про себе в соцмережі. Компанія також змусила кожного користувача прийняти нову угоду користувача.
У свою чергу, Apple запустила панель інструментів конфіденційності, з гордістю зазначивши, що вона збирає набагато менше персональних даних, ніж конкуренти, і тому не потребує введення істотних змін. Google же просто поступово оновлював свої продукти і політику конфіденційності, не привертаючи до цього зайвої уваги.
Як бізнесу відповідати вимогам GDPR
- Провести комплексну оцінку застосовуваних в компанії методів і засобів обробки персональних даних та привести їх у відповідність з новими правилами GDPR;
- Переглянути політику конфіденційності і призначені для користувача угоди;
- Розробити внутрішню політику захисту даних, проводити навчання співробітників та перевірки їх діяльності по обробці даних;
- Продумати механізми реагування на запити європейських регуляторів і суб’єктів персональних даних.
Недотримання норм GDPR
У разі недотримання положень акту передбачені штрафи до 20 млн євро або в розмірі 4% від річного доходу компанії (в залежності від того, яка сума більша).
Розглянемо відомий кейс. Майже відразу після вступу в силу GDPR дві асоціації правничих активістів подали скарги на Google. В результаті розгляду французький наглядовий орган виписав штраф американській компанії за некоректну настройку сторінки зі створення облікового запису Google на операційній системі Android. Було виявлено порушення зобов’язань по прозорості надання інформації, а також порушення обов’язку мати правову підставу для обробки персоналізації реклами. Розмір штрафу склав 50 млн євро – це найбільший штраф за GDPR. Також кейс цікавий тим, що штраф був накладений на компанію, не засновану в ЄЕЗ.
GDPR в Україні
На початку літа 2021 року у Верховній Раді був зареєстрований законопроєкт №5628 про захист персональних даних. Документ оновлює чинне законодавство в цій сфері і впроваджує прогресивні європейські норми, які відповідають положенням Конвенції 108+ і GDPR. Це важливий крок до інтеграції України з Європейським Союзом і для підвищення конкурентоспроможності українського бізнесу на міжнародній арені, впевнені експерти Всеукраїнської Асоціації Фінансових Компаній.
ВАС ТАКОЖ ЗАЦІКАВИТЬ: Як убезпечити свій бізнес від витоку інформації: 7 порад