GDPR: вимоги, як підготуватися
GDPR: вимоги, як підготуватися
«1990-ті рр. стали свідками справжнього вибуху інтернет-технологій. Сьогодні Великий Брат неможливий, зате справжньою проблемою стали «маленькі брати» – пліткарі, дрібні шахраї, жовта преса і навіть корпорації, які збирають в мережі дані, намагаючись визначити наші особисті смаки і переваги. »
К. Митио – Фізика майбутнього.
Європейський союз в зв’язку з глибокою інтеграцією інтернету в життя звичайних людей всерйоз взявся за захист персональних даних в мережі. Європарламент прийняв рішення вдосконалити свою нормативну базу і прийняв новий документ замість Директиви 95/46 / ЄС про захист персональних даних. General Data Protection Regulation посилюють захист особистої інформації громадян і встановлюють відповідальність для тих, хто допустив витік інформації.
З набранням чинності GDPR персональні дані користувачів до своєї цінності додадуть ще й відповідальність, їх необхідно правильно збирати, зберігати, використовувати, видаляти і переносити на прохання суб’єкта даних (людина, якій належать персональні дані – далі «суб’єкт даних»). У разі порушення правил GDPR підприємством, до нього будуть застосовані фінансові санкції.
У даній статті ми досліджуємо GDPR за наступними критеріями:
- Основні положення GDPR;
- Права щодо захисту персональних даних для громадян
- Що робити компаніям в Україні для підготовки до GDPR?
-
Основні положення GDPR
General Data Protection Regulation (далі – GDPR або Правила) прийняті 27 квітня 2016 року Парламентом Європейського союзу згідно з Регламентом № 2016/679 «Про захист фізичних осіб стосовно обробки особистих даних і про вільний рух таких даних, а також про скасування Директиви 95/46 / ЄС ». Правила вступають в силу з 25 травня 2018 року і стають обов’язковими для всіх, хто збирає персональні дані резидентів ЄС.
У яких випадках не резиденти ЄС, в тому числі українські підприємства повинні дотримуватися GDPR:
Правила містять порядок визначення на кого вони поширюються. Доступність сайту на території ЄС не говорить про обов’язок підкоряться Правил.
Підприємство має дотримуватися GDPR в таких випадках:
– використання мови або валюти, яка зазвичай використовується в одному або більше держав-членів ЄС;
– можливість замовляти товари та послуги на мові держав-членів ЄС.
Але продаж товарів і послуг громадянам ЄС – це не єдина діяльність, яка підпадає під Правила. Моніторинг поведінки резидентів ЄС теж підпадає в зону дії нових Правил. Такий процес обробки може полягати в аналізі та прогнозуванні особистих переваг людини. Прикладом такого монірінга є функція аккаунта Google Activity controls, де збираються дані про геолокації, історія активності в інтернеті, інформація про пристрої, запис голосу і аудіо.
Вводяться два нових поняття «контролер даних» і «процесор даних».
Контролер даних – це підприємство, яке збирає і обробляє персональні дані резидентів ЄС. Процесор даних – це підрядник контролера, який здійснює дії з персональними даними за договором з ним. На контролера даних покладається основна відповідальність за законною обробці персональних даних, для процесора передбачені окремі правила роботи з даними. Свою діяльність контролер і процесор повинні вести тільки при наявності договору між ними.
Створюється новий орган із захисту персональних даних.
Згідно GDPR створюється новий загальноєвропейський орган із захисту персональних даних – Європейська рада із захисту даних (European Data Protection Board). Одночасно в кожній країні Євросоюзу діє орган із захисту персональних даних, який буде стежити за дотриманням Правил, і в разі чого буде приймати рішення про відповідальність винних.
Обов’язок повідомляти про порушення
Контролер зобов’язаний протягом 72 годин з моменту виявлення порушення щодо персональних даних (витік, копіювання, розголос) повідомити державні органи та суб’єктів даних про інцидент. У разі порушення цієї вимоги передбачено штраф до 4% від річного обороту підприємства.
Data protection officer і представник в ЄС.
Правила GDPR зобов’язують підприємства, які здійснюють обробку персональних даних систематично і в великих масштабах, ввести в штат відповідального за захист персональних даних. У GDPR не встановлено критеріїв «великого масштабу» збору персональних даних.
Компанія повинна опублікувати інформацію про призначення такого співробітника на своєму сайті і повідомити відповідний орган в своєму регіоні. Також, якщо компанія, яка розташована за межами ЄС, здійснює обробку персональних даних у великому масштабі і збирає спеціальні категорії персональних даних, то такий компанії необхідно призначити свого представника по захисту персональних даних в ЄС. До спеціальних категорій персональних даних відносять: дані про здоров’я, релігійних переконаннях, статевої орієнтації, політичних переконаннях і т.д.
Цим представником може бути резидент ЄС, на плечі якого лягає обов’язок подавати підприємство перед контролюючим органом, відповідати на запити громадян, представляти інтереси контролера в своєму регіоні.
Безпека обробки персональних даних
Контролер зобов’язаний здійснювати технічні та організаційні заходи для забезпечення схоронності персональних даних, а також в разі необхідності продемонструвати їх на першу вимогу суб’єкта або контролюючому органу.
Залежно від ризику, контролер повинен вживати таких заходів:
– Псевдонімізація – зберігання даних, які можна ідентифікувати з конкретною людиною окремо від даних, які до нього ставляться. Наприклад: ім’я людини зберігається окремо від адреси електронної пошти;
– Шифрування особистих даних;
– Можливість забезпечення конфіденційності, цілісності, доступності та стійкості системи обробки, зберігання.
Контролер і процесор повинні гарантувати обробку персональних даних своїми співробітниками тільки способами передбаченими інструкцією підприємства. Для цього необхідно створити інструкції по роботі з персональними даними користувачів, належним чином проінструктувати персонал, що працює з особистою інформацією і укласти з такими працівниками Договору про нерозголошення.
Відповідальність.
Будь-яка людина, якій завдано матеріальну чи нематеріальну шкоду,
в результаті порушення Правил, має право на отримання компенсації від контролера або процесора.
Згідно GDPR штрафи за порушення правил обробки персональних даних повинні бути відповідні заподіяному збитку, але не більше ніж 20 000 000 євро або 4% від річного обороту.
У разі заподіяння матеріальної або моральної шкоди спір розглядається в суді відповідно до місцевого законодавства позивача.
За порушення порядку обробки даних накладається адміністративний штраф компетентним органом в даному регіоні.
У нормах щодо відповідальності немає розмежування на компанії знаходяться на території Євросоюзу і за його кордоном, штрафи для всіх однакові.
- Права громадян, чиї дані збираються.
GDPR містить в собі безліч прав для громадян щодо захисту інформації в мережі. Нові правила включають, як вже існуючі права, так і нові, наприклад: можливість перенести дані іншому контролеру. Нижче пропонуємо підбір основних прав і свобод для користувачів з короткими поясненнями.
Принцип законності. У статті 7 Правил встановлено, що якщо персональні дані обробляються на основі згоди суб’єкта даних на таку обробку, то контролер повинен мати можливість продемонструвати таку згоду.
Тобто система збору даних повинна бути налаштована таким чином, щоб користувач спочатку погодився з Політикою конфіденційності яка містить опис категорій даних і мета обробки, а вже після цього міг залишити персональні дані.
Згода користувача на обробку даних має бути проявлено активною дією, збирати дані за замовчуванням забороняється. Текст Політики конфіденційності повинен бути викладений в простій формі і інформувати про те, хто збирає дані, які дані збираються, на який термін і т.д.
Принцип прозорості. Громадяни мають право в будь-який момент вимагати інформацію про те, які дані зібрані, кому персональні дані розкриваються, період обробки персональних даних.
Контролер даних зобов’язаний дати вичерпну відповідь на поставлені питання в розумний термін. У разі ненадання контролером відповіді користувачеві може прийматися рішення про відповідальність.
Право на перенесення даних. Фізична особа має право вимагати від контролера персональних даних передати їх копію іншій контролеру. Це право створено для економії часу і зручності користувача. Замість того щоб заново вносити персональні дані в новий додаток їх можна скопіювати з бази даних іншого контролера.
За вказівкою користувача контролер зобов’язаний надати копію персональних даних іншому контролеру упродовж розумного строку.
Право на видалення даних. Суб’єкту персональних даних гарантується можливість в будь-який момент відкликати свою згоду на їх обробку. Така можливість повинна бути прописана в політиці конфіденційності контролера і в разі отримання запиту від людини про видалення даних такі повинні бути знищені, про що контролер повинен проінформувати заявника.
Посилення захисту даних дітей в мережі. У GDPR особливу увагу приділено захисту персональних даних дітей, оскільки в силу свого віку вони не усвідомлюють ризиків і наслідків обробки таких даних. Контролер даних повинен докладати розумних зусиль для перевірки віку клієнта. Згода на обробку персональних даних дитини має даватися його батьками або законними представниками.
Право на апеляцію. Цікаво, що якщо контролер приймає якесь рішення на основі автоматичної обробки персональних даних, то фізичній особі гарантується право на оскарження такого рішення.
Прикладом автоматичної обробки даних є китайська система Alipay, яка встановлює умовні «бали» від 350 до 950 для кожного користувача, що, по суті, є кредитним рейтингом. Система оцінює не тільки платіжну дисципліну користувача, але і те, що він купує, яка в нього освіта і середній кредитний рейтинг його друзів. Грунтуючись на цих даних, Alipay надає власникам високого рейтингу пільгові умови для кредитування, оренди квартири або, наприклад, право отримати в спрощеному порядку візу в Люксембург. Користувачам з низьким рейтингом може бути відмовлено в деяких службах, таких як покупка VIP квитків на поїзд або ж бронювання номера в хорошому готелі.
-
Що робити компаніям в Україні для підготовки до GDPR?
- Впровадження захисту даних на початку розробки.
При розробці нового ПО необхідно впроваджувати стандарти GDPR в архітектуру проекту. З 25 травня 2018 року нові стандарти захисту персональних даних будуть єдині для всіх, хто орієнтований на європейський ринок. Значить, якщо замовник ПЗ планує надавати послуги на території ЄС, то стандарти GDPR будуть включені в технічне завдання проекту за замовчуванням. Якщо готовий продукт буде не відповідати новими Правилами, його просто не приймуть.
- Адаптація діючих компаній до GDPR.
Українські компанії, які вже працювати в поле Європейського Союзу (надання послуг, продаж товарів, розробка ПО, користувачі якого потенційно можуть бути громадянами Союзу), повинні поміняти підхід до обробки персональних даних.
Необхідно провести аналіз роботи з персональними даними:
– які дані збираються (можливо, слід їх мінімізувати);
– порядок отримання згоди на обробку;
– порядок зберігання;
– порядок використання;
– взаємодія з суб’єктами даних і державними органами;
– внесення змін до даних;
– перенесення даних;
– порядок видалення і т.д.
Та все це повинно відповідати стандартам GDPR.
- Адаптація юридичних документів до GDPR.
Необхідно переглянути політику конфіденційності (Privacy Policy). Також варто переглянути правила користування сайту, додатки, сервісу (Terms of use). Ці юридичні документи повинні бути узгоджені між собою і з GDPR.
- Демонстрація відповідності GDPR.
Компаніям варто заздалегідь розробити і впровадити внутрішні правила обробки персональних даних.
Для співробітників, що працюють з масивом даних, це можуть бути інструкції, в яких чітко прописані правила роботи з персональними даними, порядок передачі інформації третім особам і так далі.
Безпосередньо на етапі розробки необхідно враховувати вимоги GDPR. З цією метою треба буде провести комплексне навчання програмістів, дизайнерів, всіх тих, хто трудиться для випуску готового продукту. Не зайвим буде підготувати внутрішні документи, що включають в себе принципи розробки програмного забезпечення, згідно GDPR.
Зі співробітниками слід підписати Договору про нерозголошення або включати відповідний розділ в контракти.
На даний момент процедури сертифікації відповідності GDPR немає, але вона передбачена самими Правилами, тому через деякий час отримання такого сертифіката буде звичайною справою для підвищення лояльності споживачів до продукту.
- Розробити проекти шаблонів документів.
Згідно з правилами користувачі мають право звертатися до контролеру з різними питаннями та проханнями, а контролер зобов’язаний відповідати на них. Для того щоб не вигадувати форму відповіді для заявника на ходу, можна заздалегідь підготувати шаблони. Це спростить завдання для виконавців, заощадить час і стандартизує роботу для такого роду завдань.
Які знадобляться стандартні документи:
– шаблон відповіді фізичній особі про що зберігаються персональних даних по ньому;
– шаблон відповіді особі на запит про переведення персональних даних;
– шаблон повідомлення про видалення персональних даних користувача з бази даних контролера і т.д.
Висновки
З 25 травня 2018 року стартує глобальна реформа по обробці персональних даних в європейському сегменті інтернету. Основа цієї реформи – ряд строгих вимог для компаній збирають, або використовують персональну інформацію європейців. Такі компанії підпадають під дію Правил незалежно від їх місцезнаходження. Штрафи за порушення GDPR можуть досягати 20 млн. Євро.
Українські IT компанії вже зараз повинні впроваджувати принципи GDPR, адаптація до нових стандартів забезпечить захист компанії від штрафів, а також придбання додаткової конкурентної переваги.