З появою Інтернету, громадська стурбованість з приводу рівня конфіденційності особистих даних досягла свого піку. Це – досить істотний показник, і він зростає з кожним новим випадком витоку інформації, створюючи серйозні перешкоди на шляху використання переваг цифрової економіки.
На цю ситуацію відреагував Європейський Парламент, який у 2016 році затвердив GDPR (General Data Protection Regulation – Загальний Регламент про Захист Даних). Цей документ набрав чинності у травні 2018 року та замінив застарілу директиву від 1995 року й об’єднав у собі положення, які є однаковими для всіх 28-ми країн-членів ЄС.
Що таке GDPR?
GDPR розшифровується як Загальний Регламент про Захист Даних. Він містить в собі перелік положень, що вимагають від підприємств дотримання максимальної конфіденційності в роботі з особистими даними громадян Європейського Союзу на території держав-членів ЄС або за їх межами.- Для суб’єктів даних– це набагато більше контролю над збереженням їх персональних даних;
- Для підприємств– це додаткові зобов’язання у конфіденційності особистих даних суб’єктів.
- Підвищення довіри клієнтів;
- Покращення іміджу та репутації бренду;
- Зниження ризику витоку даних;
- Отримання конкурентної переваги у вигляді інформаційної безпеки.
Ключові положення GDPR
Основні пункти Загального Регламенту щодо Захисту Даних включають:- Вимога згоди суб’єктів на обробку їх особистих даних;
- Своєчасне оповіщення про витік або втрату даних;
- Право на видалення даних і відмова від різного роду інформаційних розсилок;
- Вимога до деяких компаній призначити співробітника щодо захисту даних для здійснення нагляду за дотриманням правил GDPR.
- Встановлення паролів на всі види доступів до особистої інформації;
- Підписання договорів про нерозголошення інформації (NDA) з усіма працівниками компанії;
- Тотальне знищення паперових, електронних та інших носіїв даних після закінчення терміну їх використання.
Що входить в поняття особистих даних?
Типи інформації, які згідно з чинним регламентом визначаються як особисті, включають:- Ім’я, прізвище;
- Адреса проживання та/або реєстрації;
- Особисті фотографії;
- Адреса електронної пошти;
- IP-адреса;
- Генетичні дані;
- Біометричні дані;
- Інформацію про місцезнаходження;
- Дані профілювання та аналітики;
- Расу;
- Релігію;
- Сексуальну орієнтацію;
- Проблеми зі здоров’ям;
- Поведінка в онлайн-просторі (файли cookie).
Хто повинен дотримуватися GDPR?
GDPR застосовується до кожної організації, яка використовує дані резидентів ЄС, перебуваючи в наступних ситуаціях:- Юридично і фізично перебуває на території ЄС;
- Надає послуги для резидентів ЄС за його межами;
- Знаходиться за межами ЄС, але наймає працівників з числа резидентів ЄС.
Штрафні санкції за порушення правил
Однією фразою – порушувати GDPR — дуже й дуже боляче дорого.Всього два рівні штрафів.
Перший рівень, коли за менш серйозні порушення передбачається штраф до €10 млн або 2% глобального доходу компанії (якщо цей дохід понад €10 млн). На другому рівні порушення положень GDPR штрафується сумою до 20 млн. євро або 4% від фін. обороту компанії за рік (до уваги береться та сума, яка більше). Так, наприклад, в січні 2019 року Французький Наглядовий Орган щодо Захисту Даних CNIL оштрафував компанію Google LLC за недотримання GDPR щодо прозорості та наявності чинної правової основи при обробці даних людей в рекламних цілях.Хто відповідає за дотримання вимог GDPR?
GDPR визначає кілька посад, які несуть відповідальність за захист інформації суб’єктів:- Фахівець із захисту даних (DPO) – це штатний співробітник, який є експертом в цій області та підпорядковується вищому керівництву.
- Контролер даних – фізична/юридична особа або спеціальний держорган, який визначає, яким чином і для чого проводиться збір особистих даних. Він бере відповідальність за дотримання GDPR і повинен показати, що обробники даних дотримуються всі нормативні вимоги.
- Обробник даних – це фізична/юридична особа або спеціальний держорган, який здійснює обробку персональних даних від імені контролера. Це може означати одержання або запис даних, адаптацію, розкриття або надання їх іншим особам.
GDPR в Україні
Все більше компаній в Україні приходять до розуміння важливості дотримання конфіденційності для будь-якої особистої інформації своїх клієнтів та співробітників. Надіємося, що в українському законодавстві теж скоро з’явиться відповідний регламент, вони створюють двофакторні автентифікації для доступу до даних, що використовують послуги спеціалізованих компаній зі знищення носіїв даних та роблять все можливе, аби виключити будь-які варіанти їх витоку або втрати.Якщо ви прагнете працювати по-європейськи або маєте ділові взаємини з громадянами або компаніями Європейського Союзу, то вам варто звернути увагу на наступні послуги: