GDPR – що це і кого стосується?

З появою Інтернету, громадська стурбованість з приводу рівня конфіденційності особистих даних досягла свого піку. Це – досить істотний показник, і він зростає з кожним новим випадком витоку інформації, створюючи серйозні перешкоди на шляху використання переваг цифрової економіки. На цю ситуацію відреагував Європейський Парламент, який у 2016 році затвердив GDPR (General Data Protection Regulation – Загальний Регламент про Захист Даних). Цей документ набрав чинності у травні 2018 року та замінив застарілу директиву від 1995 року й об’єднав у собі положення, які є однаковими для всіх 28-ми країн-членів ЄС.

Що таке GDPR?

GDPR розшифровується як Загальний Регламент про Захист Даних. Він містить в собі перелік положень, що вимагають від підприємств дотримання максимальної конфіденційності в роботі з особистими даними громадян Європейського Союзу на території держав-членів ЄС або за їх межами.

• Для суб’єктів даних– це набагато більше контролю над збереженням їх персональних даних;
• Для підприємств– це додаткові зобов’язання у конфіденційності особистих даних суб’єктів.

З першого погляду може здатися, що дотримання GDPR створює масу проблем для бізнесу, але в цьому є й ряд переваг:

• Підвищення довіри клієнтів;
• Покращення іміджу та репутації бренду;
• Зниження ризику витоку даних;
• Отримання конкурентної переваги у вигляді інформаційної безпеки.

До речі, більшість основних концепцій та принципів GDPR багато в чому збігаються з положеннями локально чинного Закону про Захист Даних (DPA), тому тим, хто його вже дотримувався, особливих змін не доведеться зазнати.

Ключові положення GDPR

Основні пункти Загального Регламенту щодо Захисту Даних включають:

• Вимога згоди суб’єктів на обробку їх особистих даних;
• Своєчасне оповіщення про витік або втрату даних;
• Право на видалення даних і відмова від різного роду інформаційних розсилок;
• Вимога до деяких компаній призначити співробітника щодо захисту даних для здійснення нагляду за дотриманням правил GDPR.

Простіше кажучи, GDPR встановлює базовий набір стандартів для компаній, які використовують персональні дані громадян ЄС, щоб краще захистити їх в процесі обробки та переміщення. На практиці це може виглядати як:

• Встановлення паролів на всі види доступів до особистої інформації;
• Підписання договорів про нерозголошення інформації (NDA) з усіма працівниками компанії;
• Тотальне знищення паперових, електронних та інших носіїв даних після закінчення терміну їх використання.

Останній пункт може бути реалізований на штатному обладнанні, але ще більш надійним способом вважається автоматизований процес знищення з використанням послуг спеціалізованих компаній.

Що входить в поняття особистих даних?

Типи інформації, які згідно з чинним регламентом визначаються як особисті, включають:

• Ім’я, прізвище;
• Адреса проживання та/або реєстрації;
• Особисті фотографії;
• Адреса електронної пошти;
• IP-адреса;
• Генетичні дані;
• Біометричні дані;
• Інформацію про місцезнаходження;
• Дані профілювання та аналітики;
• Расу;
• Релігію;
• Сексуальну орієнтацію;
• Проблеми зі здоров’ям;
• Поведінка в онлайн-просторі (файли cookie).

Додаткова інформація, така як економічна, політична або культурна позиція також підлягає захисту.

Хто повинен дотримуватися GDPR?

GDPR застосовується до кожної організації, яка використовує дані резидентів ЄС, перебуваючи в наступних ситуаціях:

• Юридично і фізично перебуває на території ЄС;
• Надає послуги для резидентів ЄС за його межами;
• Знаходиться за межами ЄС, але наймає працівників з числа резидентів ЄС.

Регламент потенційно розширює своє регулююче значення на всіх, хто хоче якимось чином взаємодіяти з внутрішнім ринковим простором ЄС. У кінцевому підсумку, це означає, що майже кожній великій корпорації в світі потрібна стратегія дотримання GDPR.

Штрафні санкції за порушення правил

Однією фразою – порушувати GDPR — дуже й дуже боляче дорого.

Всього два рівні штрафів.

Перший рівень, коли за менш серйозні порушення передбачається штраф до €10 млн або 2% глобального доходу компанії (якщо цей дохід понад  €10 млн). На другому рівні порушення положень GDPR штрафується сумою до 20 млн. євро або 4% від фін. обороту компанії за рік (до уваги береться та сума, яка більше). Так, наприклад, в січні 2019 року Французький Наглядовий Орган щодо Захисту Даних CNIL оштрафував компанію Google LLC за недотримання GDPR щодо прозорості та наявності чинної правової основи при обробці даних людей в рекламних цілях.

Хто відповідає за дотримання вимог GDPR?

GDPR визначає кілька посад, які несуть відповідальність за захист інформації суб’єктів:

1. Фахівець із захисту даних (DPO) – це штатний співробітник, який є експертом в цій області та підпорядковується вищому керівництву.
2. Контролер даних – фізична/юридична особа або спеціальний держорган, який визначає, яким чином і для чого проводиться збір особистих даних. Він бере відповідальність за дотримання GDPR і повинен показати, що обробники даних дотримуються всі нормативні вимоги.
3. Обробник даних – це фізична/юридична особа або спеціальний держорган, який здійснює обробку персональних даних від імені контролера. Це може означати одержання або запис даних, адаптацію, розкриття або надання їх іншим особам.

Згідно з визначеннями, наведеними в GDPR, представник юридичної особи/приватна особа може бути одночасно контролером для одних та обробником для інших даних.

GDPR в Україні

Все більше компаній в Україні приходять до розуміння важливості дотримання конфіденційності для будь-якої особистої інформації своїх клієнтів та співробітників. Надіємося, що в українському законодавстві теж скоро з’явиться відповідний регламент, вони створюють двофакторні автентифікації для доступу до даних, що використовують послуги спеціалізованих компаній зі знищення носіїв даних та роблять все можливе, аби виключити будь-які варіанти їх витоку або втрати.