Що таке GDPR, кого це стосується та як зміниться користування сайтами

Інтернет-компанії не лише в ЄС, але й за межами Євросоюзу, готуються до вступу в силу Загального регламенту щодо захисту даних. В оригіналі цей документ має назву General Data Protection Regulation (GDPR). Всі зміни почнуть діяти з 25 травня 2018 року. На часі розібратися докладніше, що це таке і як працюватиме новий регламент надання послуг в інтернеті.

Що таке GDPR?

GDPR — це по суті набір нових правил щодо того, як можна (або не можна) обробляти персональні дані клієнтів вашого бізнесу або користувачів вашого сайту. Стосується він громадян із ЄС — а от поширюється на усі сайти в світі (навіть якщо ці сайти знаходяться за межами ЄС, але ними користуються громадяни Союзу). Оскільки відфільтрувати чи заблокувати доступ громадянам ЄС у вас навряд чи вийде (як і в будь-кого із власників та адміністраторів інтернет-сервісів) — то GDPR стосується усіх.

Чи стосуються зміни лише сайтів?

Насправді, все трохи складніше. Персональні дані — це не лише файли cookies, логіни чи паролі. Дані кредитних карток в онлайн- та офлайн-магазинах, анкетні дані при заселенні до готелю, паспортні дані в каршерінговому чи прокатному сервісі, реєстраційні дані в додатку для онлайн-знайомств — усі вони підпадають під визначення даних. Отже, навіть якщо до вас заселився один турист із Німеччини або на сайті щось купив мешканець Польщі — вам теж доведеться оптимізувати свої послуги та сайти під GDPR.

Можна сказати, що ні — але штрафи за порушення там сягають €20 млн (чи до 4% від обороту). Якщо у вас немає часу й сил вичитати 99 статей та 150+ пунктів преамбули — просто повірте, ігнорувати цей припис ризиковано для вашого бізнесу.

Як зміни стосуються вже чинних документів щодо захисту приватних даних?

Нове законодавство виходить на заміну Директиви 1995 року. Визначення «персональних даних» при цьому суттєво не скориговано. Проте з’являється поняття «ідентифікатор». Воно вводить сукупність даних, за допомогою суб’єкт даних може бути ідентифікований. Сюди входять різні види інформації — від імені до геоінформаційних даних.

Як діє поняття «ідентифікації» за умовами GDPR?

За новими умовами, для ідентифікації паралельно використовуватимуться послуги 2 видів суб’єктів. Саме вони оброблятимуть персональні дані. Це — контролери і процесори:

  • Контролер (controller) — визначення цілей та засобів обробки персональних даних.
  • Оператор (processor) — здійснення обробки персональних даних від імені контролера.

На прикладі це виглядає так:

  • форма збору адрес від сервісу розсилок — це інструмент;
  • ваш сайт, на якому ви є адміністратором, і де розміщено форму — це контролююча особа;
  • компанія, якій належить інструмент збору розсилок, — це оператор зібраних персональних даних користувача.

Що таке знеособлення даних та як воно працюватиме з 25 травня?

Нове законодавство ЄС вимагає безпосередньо знеособлювати дані, які ви збираєте та зберігаєте. Директива 1995 року таких жорстких вимог не висувала. Тепер треба призначати відповідальну особу. Усі компанії, які є контролерами або операторами і перебувають за межами ЄС, мають призначати Data Protection Officer (DPO). Саме DPO притягуватимуть до відповідальності в разі, якщо контролер порушує вимоги GDPR. Проте цього «офіцера» не треба призначати, якщо обробка даних ведеться вашим бізнесом епізодично чи в малих обсягах.

Які права суб’єктів персональних даних тепер зафіксовано документом?

Окрім права «на забуття» та «на знеособлення», запроваджене також право на обмеження обробки даних та на здатність переносити дані. Суб’єкт надання послуг має право:

  • отримати копію своїх персональних даних;
  • безперешкодно перенести свої дані від одного контролера до іншого;
  • зберігати свої персональні дані на особистому пристрої та інше.

Як запровадити GDPR у вашій компанії чи організації?

  • Подивитися, чи ваша компанія працює із клієнтами / замовниками / партнерами / користувачами з ЄС.
  • Якщо так — час переходити до імплементації змін згідно вимогам GDPR.
  • Оцінити ризики від несвоєчасного виконання змін.
  • Скористатися інструментами, які допоможуть у переході на нові умови надання послуг.

Які інструменти можна використати для перевірок та повідомлення своїх клієнтів про зміни в умовах інтернет-послуг?

  • GDPR у скороченому вигляді та переписаний нормальними зрозумілими словами, а не нагромадженням заплутаних юридичних термінів — за посиланням.
  • Мапи інформації та даних — за їхньою допомогою можна збирати дані з різних департаментів організації. Зібрані дані дадуть вам уявлення про те, як обробляються персональні дані.
  • Розподіл ролей між контролером та оператором — за шаблоном.
  • Шаблони для надсилання електронних листів із повідомленнями про зміни для клієнтів та користувачів.
  • Чекліст на перевірку сумісності вашої компанії із вимогами GDPR.

Добавить комментарий

Please log in using one of these methods to post your comment:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.