GDPR - загальний регламент захисту персональних даних

25 травня 2018 року вводиться в дію GDPR (General Data Protection Regulation ).  Даний нормативний акт спрямований на захист персональних даних. Має низку особливостей в аспекті того, що його дія повністю або частково може торкатись діяльності бізнесу в Україні, який працює з громадянами ЄС.

Нове законодавство виходить на заміну Директиви "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних".

В матеріалі даного коментаря ми допоможемо вашій компанії привести свою діяльність у відповідності до нового законодавства

 

Поняття та терміни

Територія дії

Законне опрацювання

Заборона опрацювання щодо окремої групи даних

Відповідальність в разі порушення

Дії у разі недотримання  GDPR однією із сторін

Шифрування інформації

Обмеження зберігання даних

Права суб’єкта даних

Сертифікація

Підготовка до GDPR

Висновок

 

Поняття та терміни

GDPR визначає обробку персональних даних  як операцію, що здійснюється  з персональними даними, автоматично або в будь який інший спосіб, в тому числі збір, запис,  отримання, звірка, використання, розкриття, поширення або будь-який вид публікації,  знищення та ін..

Загальний регламент захисту персональних даних – це новий порядок  обробки персональних даних. Новим є те, що він поширюється не тільки в країнах ЄС, а й має екстериторіальну дію та застосовується для всіх, хто перебуває під дією законодавства Європейського Союзу. Застосовується в тих випадках, коли компанія обробляє особисті дані тих людей, які знаходяться в ЄС, або коли це українська компанія створена в ЄС, або в разі, якщо вона має там якийсь відділ.

Треба одразу визначитись з термінами GDPR, щоб в подальшому розуміти хто є суб’єктами:

• Контролер – це той, хто збирає дані та визначає  мету та цілі такої операції.
• Оператор - фізична або юридична особа, яка обробляє персональні дані від імені контролера.
• Персональні дані - будь-яка інформація, що стосується фізичної особи, яка може її ідентифікувати.

 

Територія дії

Регламент створений лише для захисту даних всіх, хто є в Європі, тому це може стосуватись України тільки в разі повноцінного вступу в ЄС, або якщо Ви обробляєте дані користувачів ЄС. Крім того, якщо послуги або товари компанії можуть потенційно бути використані європейськими користувачами (тобто сайт англійською мовою, чи компанія транспортує свої товари в ЄС або обробляє їх дані), то така компанія має відповідати вимогам GDPR.

 

Законне опрацювання

Опрацювання персональних даних вважається законним, лише за наступних умов:

• суб’єкт, якому належать дані надав згоду на обробку;
• такі дії  необхідні для виконання договору;
• захищаються життєво важливі інтереси особи;
• опрацювання є необхідним для задоволення потреб та в інтересах суспільства;
• опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, особливо, якщо суб'єкт -  дитина.

 

Заборона опрацювання щодо окремої групи даних

Згідно регламенту забороняється опрацьовувати будь-які дані, які можуть прямо або опосередковано ідентифікувати особу, це такі наприклад як, біологічний чи генетичний код, колір шкіри, волосся, очей, розмір взуття, одягу, фізичний та моральний стан здоров’я, тощо.

Однак є ряд виключень, опрацювання в межах законодавства. Наприклад, якщо ці дані відкрито оприлюднені особою або вона надала окрему згоду на опрацювання таких даних.

Дій в разі порушення GDPR

• попередження, в разі якщо порушення здійснено вперше і ненавмисно;
• проведення розслідування на якість захисту даних;
• накладення штрафу до 10 мільйонів євро або до 2 % загального річного обороту компанії (за попередній рік);
• накладення штрафу до 20 мільйонів, або 4 % загального річного обороту  підприємства, залежно від того, що більше.

Шифрування інформації

Так, сам Регламент рекомендує забезпечувати належну охорону конфіденційної інформації із застосуванням  технічних і організаційний інструментів, таких як шифрування.

В GDPR вживається такий термін, як псевдонімізація, що означає зміну або перетворення інформації таким чином, щоб в разі виникнення витоку даних вони не дали змогу повністю або частково розпізнати особу.

Обмеження зберігання даних

Одним із принципів GDPR є принцип обмеження зберігання - зберігання в формі, що дозволяє ідентифікацію суб’єктів даних, не довше, ніж це є необхідним для цілей їхньої обробки; конфіденційну інформацію можна зберігати протягом більш тривалих періодів, доки їх опрацьовують винятково для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або математичних цілей.

 

Права суб’єкта даних

Кожен має:

• право на «забуття»
  Користувач може в будь-який момент повідомити Вас про те, що він хоче, щоб ви видалили всю інформацію щодо нього і Ви будете зобов’язані це зробити. Однак це не повинно впливати на законність опрацювання інформації, що ґрунтувалося на згоді до її відкликання.

• право на виправлення
  Користувач повинен мати можливість без перешкод змінити свої неточні персональні дані.

• право на заперечення
  Суб'єкт даних повинен мати право заперечувати на підставах, що пов'язані з його або її конкретною ситуацією, в будь-який час, проти опрацювання даних.

• право на доступ
  Суб'єкт даних може в будь-який момент запросити, чи опрацьовуються його особисті дані, і як саме.

• право на обмеження
  Законодавство Союзу або держави-члена, яке поширюється на контролера або оператора, може обмежувати за допомогою законодавчого інструменту обсяг його обов’язків і права.

Сертифікація

Сертифікація є добровільною, вона не зменшує ступінь відповідальності контролера чи оператора, не обмежує завдання й повноваження наглядових органів.

Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.

 

Підготовка до GDPR

Для того щоб підготуватись до правил нового Регламенту необхідно привести у відповідність 3 складові своєї компанії:

Зовнішня

Включає в себе розробку нової, відповідної політики конфіденційності, користувацької згоди, політики щодо cookies, сертифікацію.

Внутрішня

Включає в себе певні інструкції для працівників. Сюди належить також і так звана «карта даних», тобто порядок збирання, обробки, передачі, зберігання, видалення персональних даних. Має стосуватись і бути доступною не лише для працівників, а й для користувачів, адже їм необхідно знати, що буде з тими даними, які вони надають.

 

Технічна

Є відділеною від внутрішньої та зовнішньої, проте одночасно й пов’язана з ними.

Включає в себе так зване «залізне» та «програмне» забезпечення. Тобто розробка відповідних алгоритмів шифрування, можливостей сайту, серверів, створення відповідних баз зберігання та сервісів передачі, видалення й оброки інформації.

 

Зовнішній вигляд та побудова сайту

Для того щоб зрозуміти, як має виглядати сайт, ми підготували 15 зрозумілих пунктів, для будь-якої компанії, яка має свій Інтернет ресурс.

1. Провести перевірку обсягу збирання даних і запитати себе чи дійсно Вам потрібні ці дані ?Такі наприклад, як сімейний стан клієнта, улюблений вид спорту, стан здоров’я.
2. Бажано зашифрувати дані, які Ви обробляєте, щоб в майбутньому полегшити наслідки від можливої втрати даних. (див. пункт про псевдоніми). Також існує спеціальна процедура «end-to-end».
3. В обов’язковому порядку запровадьте HTTPs. Це елементарний вид шифрування даних, який так само може стати вирішальним.
4. Відмовтесь від прийняття згоди «за замовчуванням» - це значить що ніде не має бути завчасно проставлених знаків згоди.
5. Отримуйте згоду частинами. Якщо вам треба e-mail, то Вам потрібна згода користувача лише на e-mail. Інші дані, як номер телефону, місцезнаходження потрібно отримувати окремою згодою.
6. Обов’язково вкажіть в «формі згоди» всі треті сторони, яким Ви можливо будете передавати чи передаєте дані.
7. Відділіть «форму згоди» на обробку даних від інших форм згоди. Більше ніяких скупчень великої кількості тексту!
8. Зробіть так, щоб користувачі бачили Вашу «форму згоди» та не шукали її.
9. Дайте можливість користувачам легко «забирати» свою згоду назад.
10. Змініть свою політику, щодо cookie. Якщо користувач зайшов на сайт вперше, то Ви не маєте права збирати будь-яку інформацію щодо нього, навіть якщо у вас є напис «Зайшовши на цей сайт ви автоматично погодились на збір даних cookie». Після виходу користувача ви зобов’язані видалити всі дані, щодо нього, навіть якщо він погодився на збір cookie.
11. Уникайте питань безпеки, які можуть бути пов’язані з персональними даними. Більше ніяких дівочих прізвищ матері, першого імені Вашого кота і таке інше. Це заборонено новим Регламентом.
12. Використовуючи будь-яку інформацію пов’язану з IP адресою, Ви зобов’язані попередити користувачів про це та повідомити скільки ви будете зберігати цю інформацію та яким способом.
13. Користуючись «формами оплати» після проведення такої оплати Ви зобов’язані видалити реквізити та всю інформацію пов’язану з цим.
14. Якщо ви відслідковуєте поведінку користувача на вашому сайті, щоб потім зробити йому кращі пропозиції, то тепер Ви маєте отримати згоду на такі дії.
15. Якщо користувач відмовився від користування – видаляйте його дані. Дані користувача – це лише його власність.

 

Підготовка компанії до Регламенту

• Для початку потрібно створити так звану «карту» персональних даних.
• На «карті» має бути позначено звідки беруться дані (авторизація акаунтів, збір та внесення вручну, автоматичний збір в Інтернеті, тощо).
• По «карті» має бути зрозуміло куди ці дані надходять, хто з ними контактує, як вони обробляються, ким і як вони можуть передаватись.
• Також треба зазначити, яка інформація збирається, та як довго її  будуть обробляюти, зберігати.
• Має також бути зазначено, в яких випадках дані передаються третім особам.
• Потрібно підготувати нову Privacy policy, вона має бути зрозумілою, короткою та позбавлена зайвої інформації.

Наступним кроком для такого «аудиту» має бути проведення оцінки ризиків. Ви маєте визначитись чи шифруються Ваші дані, чи є теоретична можливість їх  втрати? Чи відповідає ваша політика конфіденційності вимогам? Чи є у Вас відповідні спеціалісти в цій галузі?

І завершальним має бути усунення всіх негараздів та прогалин, тобто найм відповідного спеціаліста на роботу, шифрування даних, написання нової політики конфіденційності.

Дії після проведення аналізу та оцінки ризиків

 Потрібно віднайти необхідного спеціаліста, розробити інструкції поводження працівників з системами зберігання та обробки даних, заключити відповідні договори з партнерами про обробку персональних даних.

Адже, дуже важливо розуміти, що при втраті даних одним із ваших партнерів порушується конфіденційність даних і ви вже не відповідаєте вимогам GDPR, бо порушився ланцюг передачі інформації і її охорони, тобто стався витік.

 

Висновок

Цілі Регламенту передбачають собою не просто підвищення рівня «безпечності» даних та способів їх обробки, а й удосконалюють збір такої інформації. Тобто, більше не повинно бути ніяких «згод за замовчуванням», або «згоди на все», на всю інформацію яку вводить особа має бути відповідна, конкретна згода.

Вважаємо, що важливою новиною Регламенту є введення таких понять, як контролер, оператор та співробітник з захисту даних, які мають створити умови технічного та організаційного забезпечення, що гарантуватиме відповідність вимогам з приводу дотримання прав  суб’єкта даних.

Проаналізувавши  запровадження GDPR, ми дійшли до висновку, що цей Регламент дозволить створити міцну законодавчу базу із захисту персональних даних для громадян ЄС незалежно від території їх перебування, і, як наслідок, такий захист буде мати вплив на світову систему захисту інформації.

Якщо вивчати це питання стосовно України та українських організацій, то можемо стверджувати, що введення Регламенту безсумнівно надасть стабільності, створить нову платформу та сприятливий клімат для ведення бізнесу, пов’язаного з галуззю співпраці з іноземними громадянами.