В епоху, коли цифровий ландшафт постійно розширюється, захист персональних даних став першочерговим завданням у всьому світі. Люди довіряють свою конфіденційну інформацію різним платформам і сервісам, вимагаючи гарантій того, що їхнє приватне життя залишиться недоторканним. Україна на шляху до інтеграції в ЄС докладає зусиль для приведення свого законодавства у відповідність до GDPR — золотого стандарту у сфері захисту персональних даних
GDPR Фото: pixabay.com
У цій статті ми розглянемо, що таке GDPR та навіщо він потрібний, розберемось детальніше в темі захисту персональних даних та як Україна рухається на шляху до інтеграції Загального регламенту про захист даних.
Що таке GDPR
Загальний регламент про захист даних (GDPR — General Data Protection Regulation) — це правова база, яка встановлює керівні принципи збору та обробки персональної інформації. Це уніфікований закон про захист даних, який забезпечує права на конфіденційність особистої інформації для фізичних осіб і встановлює важливі правила для організацій. Ці правила діють як гарантії для запобігання неправомірному використанню персональних даних.
GDPR вважається найсуворішим у світі законом про захист персональних даних, і він встановив орієнтир для інших подібних нормативних актів, які пішли його слідами, таких як Каліфорнійський закон про захист персональних даних споживачів (CCPA).
GDPR замінив попередні нормативні акти ЄС про захист персональних даних і йде навіть далі, ніж базові закони США про захист особистої інформації, що регулюють медичні та освітні процеси, наприклад, HIPAA (закон, який врегульовує підзвітність медичного страхування) та FERPA (Закон про права на сімейну освіту і конфіденційність).
Хоч GDPR і був розроблений і прийнятий Європейським Союзом, він накладає зобов’язання на організації в будь-якій точці світу, якщо вони збирають дані, пов’язані з людьми в ЄС. Регламент набув чинності 25 травня 2018 року (через два роки після прийняття). Він передбачає суворі штрафи проти тих, хто порушує його стандарти конфіденційності та безпеки, причому стягнення можуть сягати десятків мільйонів євро.
General Data Protection Regulation функціонує як регламент, а не як директива. Відповідно до законодавства ЄС, регламенти — це закони, які застосовуються до будь-якої країни-члена ЄС і які диктують накази та правила, яких слід дотримуватися. Директива, з іншого боку, встановлює результат, якого потрібно досягти, не диктуючи, як саме.
GDPR Фото: pixabay.com
Цікаве по темі: Як розвиватимуться високі технології, медіа та телекомунікації у 2024: прогноз Deloitte
Обробка персональних даних
Згідно з положеннями регламенту «персональні дані» — це вся інформація, що стосується ідентифікованої фізичної особи (або яку можна ідентифікувати). Зокрема, це ім’я, прізвище, електронна пошта, псевдонім, адреса проживання, фактичне місцезнаходження, стать, стан здоров’я, уподобання, номери телефонів, біометричні дані та навіть файли «cookie».
Як зазначає у своєму блозі Артем Гордєєв, Middle Business Development Manager, Lawyer міжнародна консалтингова компанія Lextensio, учасниками процесу обробки персональних даних (в рамках GDPR) виступають:
- фізична особа, яку ідентифіковано або можливо ідентифікувати (тобто клієнт, відвідувач сайту тощо);
- контролер даних (Data controller) — особа, яка вирішує, у зв’язку з чим та яким чином будуть оброблятися дані (тобто це більшість компаній, які надають послуги і відповідно самостійно визначають цілі та методи обробки персональної інформації);
- процессор даних (Data processor) — сторона, яка обробляє інформацію за вказівками контролера (наприклад, фінтех компанія влаштовує якесь свято і запрошує всіх своїх працівників. Для виготовлення запрошень вона залучає друкарню. Поліграфія отримує список імен і адрес працівників. У цій ситуації друкарня вважається процесором, оскільки вона використовує інформацію відповідно до інструкцій контролера).
Розглядаючи ключові моменти головного європейського закону про захист даних, необхідно прояснити деякі важливі терміни:
Обробка даних — будь-яка дія, що виконується над даними, як автоматизована, так і ручна. Наприклад, збір, запис, структурування, зберігання, використання, видалення… тобто практично все, що завгодно.
Контролери даних — це фізичні або юридичні особи, органи державної влади, агентства або інші органи, які самостійно або спільно з іншими вирішують, як і навіщо обробляти персональні дані. Якщо ви власник або працівник вашої організації, який обробляє дані, це ви.
Обробники даних — це третя сторона, суб’єкти, які обробляють дані за вказівкою та від імені контролера. Це можуть бути хмарні сервери або постачальники послуг електронної пошти.
Суб’єкти даних — це живі фізичні особи, чиї персональні дані збирає, зберігає або обробляє організація.
Читайте також: Підтримка України, економічні прогнози та галас довкола ШІ: деталі головної економічної події світу у Давосі
GDPR Фото: pixabay.com
Принципи захисту даних
Якщо компанія обробляє дані, вона повинна робити це відповідно до семи базових принципів захисту та підзвітності, викладених у Статті 5.1-2:
- Законність, справедливість і прозорість.
- Обмеження цілей (необхідність обробляти дані для законних цілей, чітко пояснених суб’єкту даних під час їх збору).
- Мінімізація даних (норма збирати та обробляти стільки даних, скільки є необхідним для зазначених цілей).
- Точність (зберігання персональних даних точними та актуальними).
- Обмеження терміну зберігання (можливість зберігати дані, що ідентифікують особу, лише стільки, скільки це необхідно для зазначеної мети).
- Цілісність і конфіденційність (обробка повинна здійснюватися таким чином, щоб забезпечити належну безпеку, цілісність і конфіденційність, наприклад, за допомогою шифрування).
- Підзвітність (контролер даних несе відповідальність за можливість продемонструвати дотримання всіх цих принципів GDPR).
Порушення правил GDPR
По-перше, слід розуміти, якщо ви обробляєте персональні дані громадян або резидентів ЄС, або пропонуєте їм товари чи послуги, то GDPR поширюється на вас, навіть якщо ви не перебуваєте в ЄС.
По-друге, штрафи за порушення GDPR дуже високі (існує декілька базових рівнів).
Перший рівень — штраф 2% від річного обороту або €10 млн (сюди відноситься порушення правил обробки інформації щодо неповнолітніх, зобов’язань контролера або процесора тощо).
Другий рівень передбачає максимальний розмір штрафу — €20 млн або 4% загального доходу (залежно від того, яка сума більша) — за передачу даних в інші країни, порушення прав суб’єктів, принципів обробки тощо. Не варто забувати, що суб’єкти даних також мають право вимагати компенсації за завдані збитки.
Читайте популярне: Три технології, що змінять світ
GDPR Фото: pixabay.com
Критика GDPR
Загальний регламент про захист даних викликав критику в деяких колах. Дехто вважає, що вимога призначати DPO (Data protection officer — експерт у сфері приватності та GDPR, контактна особа для комунікації з суб’єктами даних; фахівець, який розробляє та впроваджує стратегію інформаційної безпеки в організації) — накладає надмірний адміністративний тягар на компанії. Дехто скаржиться, що керівні принципи занадто розпливчасті щодо того, як найкраще поводитися з даними працівників.
Крім того, дані не можуть бути передані в іншу країну за межами ЄС, якщо компанія-одержувач не гарантує такий самий рівень захисту, який вимагає Євросоюз. Це призвело до скарг на те, що це може призвести до збоїв у роботі традиційних бізнес-практик та величезних штрафів.
Існує також занепокоєння, що витрати, пов’язані з GDPR, з часом зростатимуть, частково через зростаючу потребу в навчанні як клієнтів, так і працівників щодо загроз захисту даних та рішень. Існує також скептицизм щодо того, наскільки реально агентства із захисту даних у ЄС та за його межами можуть узгодити своє правозастосування та тлумачення нормативних актів і таким чином забезпечити рівні правила гри, коли GDPR набуде повної чинності.
GDPR в Україні
Європейський вектор розвитку вже зараз змінює підходи українських компаній до збору, обробки, зберігання та поширення персональних даних. Незважаючи на те, що GDPR буде безпосередньо застосовуватися в Україні лише після приєднання, відповідність чинного національного законодавства та/або адміністративної бази вимогам/основним принципам ЄС слід враховувати заздалегідь.
GDPR передбачено в Національній стратегії доходів України (НСДУ) до 2030 року. Зокрема, на сайті Міністерства фінансів України (Вставка 4.2.) детально прописано «Узгодження з вимогами ЄС щодо захисту даних».
«Підхід щодо знеособлення персональних даних застосовується в принципах визначених в Загальному регламенті про захист даних (General Data Protection Regulation, GDPR), який визначає регламент в межах законодавства Європейського Союзу щодо захисту персональних даних усіх осіб у межах Європейського Союзу та Європейської економічної зони».
Зазначено, що GDPR забезпечує цілісність і конфіденційність використання ІТ-рішень, які кодують або шифрують ідентифікаційні номери осіб. Як правило, такі ІТ-рішення впроваджуються в секторах, де обробляються найбільш чутливі персональні дані.
Які реформи передбачені на наступні декілька років:
- Протягом 2024 року: розробка концепції та політики безпеки використання податковими органами (персоніфікованої) деперсоніфікованої інформації про платників податків.
- Протягом 2024-2025 року: внесення змін до законодавства України в частині встановлення правил використання податковими органами (персоніфікованої) деперсоніфікованої інформації про платників податків.
- Протягом 2024 року: внесення змін до Стратегії ІТ Мінфіну в частині її узгодження з НСДУ щодо використання даних та доступу до інформації про обсяг та обіг коштів платників податків на їх рахунках у банках із застосуванням підходів з кодуванням (декодуванням) відкритих на сьогодні персональних ідентифікаторів платників податків.
- Протягом 2024 року: визначення адміністратора ІТ-платформи, яка буде забезпечувати функціонування окремого захищеного контуру.
- Протягом 2025-2026 років: створення в єдиній інформаційно-комунікаційній мережі системи управління державними фінансами окремого захищеного контуру, з кодуванням (декодуванням) відкритих на сьогодні персональних ідентифікаторів платників податків з метою забезпечення функціонування інформаційних систем контролюючих органів в режимі обробки деперсоніфікованої інформації про таких платників податків.
Нагадаємо, що про GDPR в Україні говорять ще з моменту його запровадження в ЄС. Зокрема, як він впливає на бізнес та як підприємствам не порушити GDPR, працюючи з іноземними клієнтами.
Ознайомтеся з іншими популярними матеріалами:
Які зміни чекають на фінринок після запуску відкритого банкінгу: деталі від НБУ
НБУ зобов’язав фінустанови розкривати умови надання кредиту
