25 травня 2018 року набрав чинності новий регламент Європейського парламенту, який стосується захисту персональних даних громадян ЄС – General Data Protection Regulation (GDPR). Особливість документу полягає в тому, що його дія не лімітована рамками Європейського союзу. Новий регламент вимагає надійно захищати персональні дані громадян ЄС без прив’язки до країни, на території якої вони зберігаються.
Це говорить про те, що Україна напряму не потрапляє під дію законодавства ЄС, але якщо у вашій базі знайдеться хоча б один європеєць, то дотримуватися нових правил доведеться. Що конкретно стоїть за абревіатурою GDPR та яким чином це відобразиться на українських підприємцях, розглянемо нижче.
Що вимагає регламент GDPR та на кого розповсюджується його дія?
Основа електронного маркетингу – аналіз великих об’ємів даних про споживачів. Щоб відстежити уподобання відвідувачів, сайти зберігають файли cookie, соціальні мережі розпізнають обличчя на фотографіях і пропонують публікації з урахуванням минулих переглядів, оператори стільникового зв’язку ведуть облік дзвінків, записують телефонні розмови та ін. Завдяки збору такої інформації вдається створювати релевантні пропозиції та отримувати високу віддачу. Однак обробка повинна здійснюватися законно.
Що стосується українських підприємців, то GDPR поширюється на три класи організацій:
зареєстровані на території Європейського союзу компанії, які можуть обробляти персональні дані європейців, незалежно від розташування головного офісу;
компанії, які здійснюють моніторинг віртуальних дій громадян ЄС (дата-центри). Основою їх діяльності є вивчення поведінки користувачів в Інтернеті, обробка персональних даних з метою прогнозування споживчих уподобань, тощо;
найбільша група компаній, заснованих не в ЄС, але які також мають відношення до обробки персональних даних громадян Євросоюзу в рамках реалізації товарів та послуг. У своїй більшості це інтернет-магазини, які напряму продають товари європейцям, приймають євро в якості оплати, веб-сайти з доменами верхнього рівня держав-членів ЄС. Крім того, під дію GDPR потрапляють онлайн-сервіси, які надають послуги доставки в країни ЄС, а також використовують таргетингову рекламу, спрямовану на їх громадян.
Українські підприємці мають зрозуміти, що регламент застосовується не лише до тих компаній, які були засновані на території Євросоюзу, а й до тих, хто просто працює на європейському ринку. При цьому GDPR не примушує організації впроваджувати будь-які конкретні методи захисту даних. Кожна компанія має право вибирати їх самостійно. Головне, щоб при цьому був забезпечений кінцевий результат – надійний захист персональних даних громадян Євросоюзу.
Хочете розвивати свій бізнес в Інтернеті і мати більше замовлень? Давайте працювати над цим разом!
Особливості обробки персональних даних згідно регламенту GDPR
Основні принципи обробки даних відповідно до GDPR такі:
обробка даних має здійснюватися на законних підставах, справедливо та прозоро. Компанії зобов’язані максимально просто і доступно інформувати користувачів про методи, цілі та обсяги оброблюваних даних;
інформація про користувачів повинна збиратися і використовуватися тільки в заявлених компанією цілях;
заборонено збирати персональні дані в об’ємі, який перевищує необхідний для цілей обробки;
користувач має право вимагати виправити або видалити неточні дані про себе;
зберігати будь-які персональні дані дозволяється лише протягом часу і в тому форматі, які дозволяють ідентифікувати особу в заявлених цілях обробки;
компанія, яка здійснює обробку персональних даних, зобов’язана гарантувати їх захист від незаконного або несанкціонованого доступу, а також пошкодження або знищення.
Стосовно згоди користувача на обробку персональних даних, то вона має бути виражена у формі ствердження або чітких активних дій. Якщо користувач не має можливості відкликати свою згоду без шкоди для себе, то вона буде вважатися недійсною. Особливої уваги потребує отримання згоди на обробку персональних даних дитини, яка має бути авторизована батьками або іншими законними представниками. Визначення даної вікової категорії залежить від держави Євросоюзу (до 13-16 років).
Зміни стосуються і термінів виявлення порушень. Якщо вони були виявлені компанією, то про це необхідно інформувати протягом 72 годин регулюючі органи. При затримках подачі відомостей або спробах приховати факт витоку інформації штрафні санкції неминучі.
Що дає GDPR користувачам?
Отримавши розширені права в рамках GDPR, громадяни, а також резиденти ЄС мають можливість:
робити запити підтвердження факту обробки їх персональних даних;
отримувати інформацію про період, місце та цілі збору інформації, а також про її категорії;
отримувати відомості про третіх осіб, яким надаються персональні дані;
уточнювати джерело і вимагати вносити правки або припиняти обробку даних.
Одне з нововведень GDPR – отримання користувачами права на перенесення особистих даних. Відповідно до регламенту, компанія на запит користувача зобов’язана безкоштовно передати його особисті дані іншій організації. Так, наприклад, користувач може передати свої уподобання покупок, історію запитів та іншу інформацію.
Що робити українським підприємцям після прийняття регламенту GDPR?
Одне із нагальних питань про GDPR стосується того, які штрафи і санкції передбачені за порушення прийнятого регламенту. Багато користувачів готувалися до цього моменту всерйоз, тому після 25 травня 2018 року на ряд найбільших світових компаній обрушився шквал судових позовів на мільйони євро. Як вважає адвокат United Lex Джейсон Стрейт (Jason Straight), повністю відповідає новим вимогам GDPR лише незначна частина навіть європейських організацій.
Адже, як правило, компанії отримують максимум інформації про користувачів для подальшого можливого (!) аналізу. А це значить, що в рамках GDPR доведеться видалити зайві дані, залишивши лише ті, які будуть необхідні для вирішення поточних завдань. Найголовніше, що може призвести до серйозних проблем, це право користувачів із ЄС на запити доступу до персональних даних для видалення, виправлення або перенесення інформації в будь-якому зручному форматі. При цьому дані можуть зберігатися на різних серверах і в різних форматах. Це говорить про те, що для ефективної обробки запитів доведеться створювати внутрішню інфраструктуру.
Хочете розвивати свій бізнес в Інтернеті і мати більше замовлень? Давайте працювати над цим разом!
Крім того, персональні дані – досить абстрактна категорія. Якщо з іменами, електронною поштою, номерами телефонів та геоданих все зрозуміло, то залишаються ще невизначені дані у вигляді непрямих відсилань, які також повинна буде надати компанія. Це говорить про те, що перехід на GDPR – хвороблива процедура навіть для багатьох європейських компаній, де від початку існували досить жорсткі закони про недоторканність приватного життя. В Україні ж ситуація з цим була зовсім іншою. І якщо ваш бізнес так чи інакше пов’язаний з громадянами Євросоюзу, то варто вжити заходів, щоб не потрапити під удар:
проведіть аналіз діяльності компанії і з’ясуйте, чи має вона відношення до персональних даних громадян ЄС. Якщо такий перетин є, то варто обов’язково оцінити ризики. Якщо ж ведеться безпосередній збір і контроль даних – збільшіть свою відповідальність в рази. Вам доведеться або привести свою діяльність у відповідність до GDPR або ж припинити її на території ЄС;
проведіть діагностику процесу збору, обробки та зберігання даних;
перегляньте існуючу згоду на обробку персональних даних, а також процедуру її отримання і реєстрації;
проаналізуйте наявність процедур виявлення порушень та їх розслідування;
оцініть можливі ризики при передачі даних третім особам;
визначте необхідність призначення комісара з питань захисту персональних даних і представника компанії в ЄС (пряма вимога GDPR).
Крім вирішення технічних та юридичних питань, важливо також підвищувати обізнаність у даному питанні серед співробітників своєї компанії. Не варто недооцінювати ризики і потенційні втрати від штрафів, які може отримати компанія за порушення регламенту GDPR. Вони можуть досягати €20 млн або 4% річного доходу.