Автор: 02.04.2019 Оновлено: 02.04.2019

що таке gdpr, захист персональних даних

Якщо детально вивчити українське законодавство, то можна зробити висновок про те, що в існуючих законах вже частково є правові норми ЄС, які регламентують захист персональних даних. Ці основні принципи присутні також і в новому Регламенті ЄС, який називається GDPR.

Розберемося, що таке GDPR, хто ж повинен впроваджувати GDPR в життя, чи варто його боятися, скільки може коштувати перехід до нових вимог європейського закону про GDPR для середнього бізнесу в Україні, а також спробуємо спрогнозувати подальший розвиток теми захисту персональних даних і її вплив на IT-ринок в цілому.

Читайте також: «Внимание! Социальные сети передают персональные данные правоохранителям в Украине!»

Що таке GDPR та чи варто його боятися?

Нові вимоги Європейського Союзу (ЄС) щодо захисту персональних даних (GDPR) було введено в дію та встановлено обов’язковими до виконання з 25 травня 2018 року. З текстом можна ознайомитися ТУТ.

Чим частіше зараз згадують Загальний регламент щодо захисту даних (General Data Protection Regulation або GDPR), тим більше з`являється трактувань і численних версій законодавства і тим складніше стає розібратися, як ефективно застосувати цю інформацію на практиці.

Отже:

  • Дія GDPR поширюється на операції з обробки персональних даних в контексті присутності на території ЄС їх оператора або обробника, незалежно від того, чи проводиться така обробка на території ЄС чи ні.
  • Дія GDPR поширюється на обробку персональних даних суб`єктів, що знаходяться на території ЄС, та здійснюється оператором (або ж обробником), які не мають присутності на території ЄС.

Поширення відбувається в тих випадках, коли така діяльність з обробки відноситься до:

  • пропозицій товарів або послуг знаходиться на території ЄС суб`єктам персональних даних як на оплатній, так і на безоплатній основі;
  • відстеження їх дій за умови, що такі здійснюються в межах ЄС.

Насправді саме на прийняття необхідності, вивчення та розуміння цього питання йде половина відведеного на цю активність часу. Деякі компанії з країн СНД (які успішно подолали цей етап) вже знаходяться на фінальній стадії впровадження принципів GDPR. Варто поділитися з вами цим досвідом ще й тому, що у них була можливість пройти цей процес від «А» до «Я» у самих актуальних на сьогодні сферах.

Здається, що головне питання, яке мучить представників пострадянських країн – «боятися або не боятися» даного положення. Насправді ж самим «страшним» в ньому є тільки те, що багато хто обговорює цю тему саме в такому ключі.

Вам нема чого боятися, якщо ви:

  • Не купуєте списки email-адрес і не робите т.з. «холодних» розсилок;
  • Відкрито розповідаєте про типи персональної інформації, яку збираєте, тобто попереджуєте відвідувачів сайту за допомогою спливаючих вікон про політику конфіденційності (Privacy Policy) та положенні, що описує всі cookie-файли (Use of Cookies, Navigational Information Statement). Саме у цих документах людина зможе прочитати, які саме персональні дані ви збираєте, з якою метою, на який строк, а також дізнатися про свої права;
  • Не робите запитів у користувачів на дані, які не потрібні для роботи продукту або надання послуг;
  • Завжди надаєте клієнтам можливість «відписатися» від розсилок вашої компанії чи фірми;
  • Забезпечуєте належний рівень збереження даних, тобто: намагаєтеся використовувати шифрування чутливих даних; уважно стежте за тим, щоб чутливі дані не потрапляли в логи в чистому вигляді та обмежуєте (по можливості) доступ до своїх production-баз.

Ще одна важлива помилка пов`язана з тим, що головною метою GDPR є накладення адміністративних штрафів на бізнес. При цьому мало хто звертає увагу на факт, що при введенні таких заходів GDPR викликав переполох і змусив багатьох світових лідерів (Google Inc., Hubspot Inc., Apple Inc., Amazon.com Inc., Atlassian Inc. та інших) переглянути свої підходи до захисту не тільки персональних даних, а й до забезпечення цілісності та надійності зберігання інформації в цілому.

що таке gdpr, захист персональних даних

Захист персональних даних: хто повинен дотримуватись GDPR?

Отже, давайте розберемося, хто ж повинен впроваджувати GDPR. Ознайомившись з текстом регламенту, ми бачимо, що це повинні бути компанії, які:

  • мають постійне представництво в ЄС;
  • не мають постійного представництва, але обробляють персональні дані людей (суб`єктів персональних даних), що знаходяться в одній з країн ЄС і можуть мати громадянство іншої держави;
  • співпрацюють з організаціями, які вже імплементували GDPR і для збереження свого статусу зобов`язані вибирати підрядника за тим же принципом.

Є очевидним, що такі умови допоможуть GDPR швидко та з легкістю поширитися далеко за межі одного економіко-політичного об`єднання. А саме таким чином – вивести права людини на захист персональних даних на новий рівень у всьому світі.

З чого треба почати українському бізнесу?

Перше, що ми радимо зробити, це все-таки прочитати положення та виділити з них головні моменти для своєї організації.

Під час вивчення GDPR ми звернули особливу увагу на кілька наступних пунктів:

  • GDPR представив розширене трактування персональних даних, яке тепер включає в себе інформацію, що відноситься не тільки до ідентифікованої (identified) фізичної особі, а ще й до того, що можна ідентифікувати за непрямими ознаками (identifiable). Таким чином, концепція персональних даних доповнилася такою інформацією, як Client ID та User ID (online identifier), місцем розташування та іншими факторами, які мають відношення до фізичного, фізіологічного, генетичного, економічного, культурного та інших визначень кожної людини (особистості). Загалом цей пункт не викликав особливих проблем, а скоріше вніс ясність, яку варто постаралися відобразити в офіційних документах компанії (Privacy Policy, або ж Navigational Information Statement).
  • GDPR встановив чіткі вимоги до персональних даних. Вони повинні бути коректними, актуальними і збиратися лише в тій кількості, яка необхідна для роботи продукту, надання послуги, або ж досягнення будь-якої іншої мети, для якої вони запрошувалися. Також положення рекомендує скоротити строки зберігання цієї інформації до мінімуму. Для цього варто встановити чіткий часовий проміжок, після закінчення якого всі дані будуть переглядатися (groomed) або видалятися. Це питання викликало чимало заперечень від багатьох компаній, оскільки такий підхід суперечив існуючій думці, що будь-які дані – корисні однаково. В результаті багатьом довелося переглянули обсяги та терміни зберігання персональної інформації (а також терміни зберігання логів, бекапів й іншої інформації в аналітичних системах того ж Google Analytics) і відобразити ці зміни в політиці зберігання даних (Data Retention Policy).
  • В регламенті мається цікава стаття (№ 13, стор. 8), яка (якщо перекладати її дослівно) каже, що «регламент включає послаблення щодо ведення обліку для організацій з менш ніж 250 співробітниками». При цьому кожна держава-член ЄС має вживати необхідних заходів щодо застосування регламенту на місцях. У Польщі, наприклад, намагалися використовувати цю статтю щоб звільнити малий бізнес від необхідності відповідати принципам GDPR, що старанно позначили в драфті польського Закону «Про захист інформації» (Data Protection Act, чи «DPA»). Але після численних дебатів розділ прибрали, а закон відправили на узгодження.

Незважаючи на існування цього пункту, ми радимо все ж не ігнорувати тему GDPR тільки тому, що у вашій компанії, скажімо, 50 співробітників. Навпаки, краще залучити юристів, які, вивчивши ваш конкретний випадок, зможуть дати слушну пораду.

Читайте також: «Социальные сети: защита персональных данных спецслужбами?»

що таке gdpr, захист персональних даних

Як GDPR вплине на подальшу розробку програм?

Автори положення говорять про те, що стрімкий розвиток технологій призвів до небувалих масштабів зростання збору персональної інформації в усьому світі. Майже кожен продукт або сервіс в будь-якій точці земної кулі може безперешкодно та на свій розсуд збирати і використовувати дані фізичних осіб. Тому GDPR нагадує про необхідність використання на практиці вже відомих нам концепцій «privacy by design» і «privacy by default».

Концепція «privacy by design» має бути застосовна до кожної активності, що є пов`язаною зі збором та обробкою персональних даних, активності всередині компанії. Даний підхід зустрічається і в подальшому вплине на процеси планування та розробки саме продукту, а також на становлення таких напрямків, як маркетинг, продаж, рекрутинг та інші.

Саме концепція «рrivacy by design» закликає мінімізувати збір персональної інформації, що є необхідною для роботи будь-якого продукту, сервісу або проекту всередині компанії.

Для цього перед початком будь-якого процесу GDPR рекомендує оцінити ризики, до яких буде схильна людина (суб`єкт персональних даних) в результаті збору та обробки вашим ресурсом (відділом, співробітниками) його персональної інформації (Data Privacy Impact Assessment). Надалі проведення таких аудитів можна інтегрувати в процес управління проектами та при необхідності повторювати на кожному наступному етапі розвитку проекту.

Підтвердженням тому, що ви у своїй практиці користуєтеся цим принципом може бути внутрішній документ або процедура, сертифікат, інструкція або ж письмовий наказ від імені власника (керівника) компанії або особи, що є відповідальною за організацію обробки персональних даних.

Також «рrivacy by default» в свою чергу закликає власників продуктів і послуг збирати й обробляти лише необхідну для роботи сервісу або програми інформацію. А також зберігати її до моменту, доки людина продовжує користуватися цим продуктом або послугою.

В даному випадку GDPR підштовхує нас до «усвідомленого прагнення» слідувати даним принципам на практиці, що в майбутньому призведе до повного переходу і 100%-му виконанню вимог регламенту.

Що зміниться в роботі з персональними даними?

РЕКОМЕНДУЄМО ТАКОЖ:

Найбільша зміна, яке відбудеться відтепер у вашій організації стосовно GDPR, буде не поява нових правил і політик, а захист персональних даних.

Отож відтепер:

  • Компанії відчують посилену відповідальність за збір, обробку та зберігання даних;
  • Велика кількість даних вже не буде дорівнюватися до «хорошого результату», а буде, швидше за все, мати на увазі незнання та невміння ефективно використовувати їх у своїй роботі;
  • Розробка продукту або сервісу буде починатися з продумування й оцінки впливу та ризиків для даних вже до, а не після релізу;
  • Кожен співробітник, що має доступ до персональної інформації, буде обізнаний про правила, а тому буде вже усвідомлено піклуватися про збереження персональних даних, тим самим дотримуючись базових правил щодо їх захисту.

Захист персональних даних за GDPR

GDPR – це непроста тема, яку потрібно детально вивчати. До того ж застосування цього регламенту (на відміну від будь-якого іншого закону) вимагає уваги не тільки з боку менеджменту компанії, але і технічних фахівців.

Отже кожен його пункт плану по імплементації GDPR повинен адаптуватися під конкретний проект виходячи з: 1) кількості клієнтів, лідів і їх географії; 2) обсягів даних, які продукт або менеджер має збирати й обробляти; 3) активностей, які будуть пов`язаних зі збором даних; 4) каналів, через які ці дані будуть надходити (форма на сайті та інше).

Як бачите, процес планування збору персональної інформації стане тільки вершиною айсберга, але ігнорувати вимог GDPR тягне за собою відповідальність.

Про захист персональних даних і що таке GDPR дивіться також на відео:

Оцініть статтю:
Не дуже файноНе файноФайноДуже файноСупер файно 1 5,00 з 5
ОТРИМАТИ КОНСУЛЬТАЦІЮ
Знайшли помилку? Виділіть її і натисніть Ctrl+Enter
Читайте юридичні лайфхаки на нашому «Telegram» каналі

Тисни на «Новини»

Нам є чим вас здивувати!

Підпишись та отримай корисні лайфхаки, останні новини та приємні бонуси!
ПІДПИСАТИСЯ
і підпишись на унікальну поштову розсилку

ЧИТАЙТЕ ТАКОЖ:

2019-04-02T11:16:52+03:00
Адвокат Novgorodskiy&Partners. Експерт з кримінального, цивільного, господарського права. Автор блогу на pravoconsult.com.ua
Підписатися
Сповістити про
guest

0 Комментарий
Вбудовані Відгуки
Переглянути всі коментарі