GDPR (General data protection regulation) – це Загальний регламент захисту даних (далі – Регламент), який з 25 травня 2018 року регулюватиме збір, уніфікацію й використання персональних даних у країнах ЄС. Дія цього Регламенту поширюватиметься й на компанії за межами ЄС, тому підприємства, які здійснюють діяльність на території Євросоюзу або в процесі своєї діяльності збирають дані громадян ЄС, повинні відповідати вимогам GDPR.
Дотримання цих правил має велике значення, зокрема, для SaaS-компаній, які працюють із даними клієнтів з усього світу. За порушення Регламенту компанії доведеться заплатити до 20 млн євро або 4 % річного доходу.
До нових правил готові не всі
GDPR регулює роботу з особистими даними, які зберігаються як на електронних носіях інформації, так і в іншому вигляді. Відповідно до норм Регламенту персональні дані – це всі дані, що стосуються конкретної особи, за якими її може бути ідентифіковано (ім'я, IP, адреса електронної пошти тощо).
Введення Регламенту в дію створює дуже неприємну ситуацію для компаній – ніхто не має досвіду впровадження його правил і норм. Великі фірми будуть змушені наймати команди юристів, а решті доведеться ретельно вивчати досвід і сподіватися, що перевірка дотримання вимог GDPR їх омине.
Європейці отримають право не лише на захист даних, а й на роботу з ними
Нормами GDPR передбачено, що збирати персональну інформацію можна лише у випадку, якщо користувач дав явну й обґрунтовану згоду на це. Також користувачеві має бути надано доступ до його персональних даних, які він може видалити чи отримати в машиночитанному форматі для передання третій стороні, наприклад, щоб переслати інформацію медичної карти з однієї лікарні в іншу.
Регламент поділяє всіх, хто працює з даними, на контролерів, які їх збирають, і тих, хто ці дані обробляє. SaaS-компанії переважно тільки обробляють інформацію, але мають і певні функції контролера (наприклад, збирають дані, реєструючи користувачів). Згідно з GDPR компаніям дозволено збирати та зберігати дані, які є ключовими для бізнесу, після розгляду інтересів залучених осіб.
Що робити, щоб стати GDPR-сумісним?
1. Проінформуйте всіх працівників про норми GDPR.
2. Працюйте з інформацією, яку маєте, – перегляньте потоки даних. Не треба збирати непотрібні дані, а застарілу інформацію краще видалити. Ваші контрагенти теж повинні бути готові до введення GDPR і відповідати положенням цього Регламенту.
3. Оновіть політику конфіденційності – краще, щоб вона була простою й зрозумілою.
4. Переконайтеся, що ви надаєте можливість переглядати, змінювати й видаляти дані. Коли користувачі видаляють свої дані, їх також має бути видалено в усіх, кому ви їх передавали чи хто мав до них доступ.
5. Оберіть процедуру, згідно з якою компанія реагуватиме на запити користувачів із питань персональних даних.
6. Обґрунтуйте свою позицію щодо персональних даних: у політиці конфіденційності має бути вказано, які дані збираються та для чого.
7. Ви маєте отримувати від інших чітку згоду на збір інформації. Фіксуйте, коли й за яких умов цю згоду було отримано.
8. Забороніть користуватися своїм сервісом дітям із ЄС віком до 16 років.
9. Визначте процедуру, згідно з якою інформацію про порушення буде передано користувачам і відповідним агенціям ЄС.
10. Захищайте дані від викрадення.
11. Призначте співробітника, який займатиметься захистом даних, запобігаючи конфліктам інтересів.
12. Потурбуйтесь про потенційну необхідність відповідати на запити користувачів усіма офіційними мовами ЄС.
Поки ви обмірковуєте кроки на шляху до GDPR-сумісності, можете розмістити інформацію на сайті про те, що ваша компанія готується чи вже готова до норм Загального регламенту захисту даних, адже до введення його в дію лишилося менше ніж три місяці.
_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018
У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.
