Що таке GDPR та як дотримуватися вимог Регламенту?
Після набрання чинності Загального регламенту про захист даних, принципи гри в діловому світі кардинально змінилися. Порушувати правила зберігання персональних даних стало невигідно, адже за недотримання GDPR на компанію можуть накласти багатомільйонний штраф. Тому, якщо ви плануєте продовжувати вести бізнес у Європі, важливо адаптуватися, щоб захистити особисті дані ваших клієнтів і користувачів. Однак давайте про все по порядку.
Що таке GDPR?
GDPR (Загальний регламент захисту даних) — міжнародний закон, прийнятий в Європейському Союзі в 2016 році. Він поширюється на всіх юридичних осіб з усіх країн світу, якщо вони збирають або обробляють персональні дані громадян або резидентів ЄС. Тобто будь-який бізнес, який отримує особисту інформацію від фізичних осіб у ЄС, повинен дотримуватися GDPR.
Основною метою GDPR є захист прав людей та їхньої особистої інформації, яка описує їх будь-яким чином, від несанкціонованої чи незаконної обробки. Закон GDPR вимагає від організацій гарантувати, що персональні дані користувачів і клієнтів обробляються та зберігаються відповідально.
Яку інформацію захищає GDPR?
Ціллю закону про персональні дані є будь-яка інформація, яка стосується особи, яка може бути ідентифікована, суб’єкта даних. Зокрема:
1. Ім'я користувача або клієнта, адреса проживання, ідентифікаційний номер;
2. Біометричні дані;
3. Банківські дані;
4. Інформація про стан здоров'я або медичне обслуговування особи;
5. Політичні погляди, релігійні переконання;
6. Расова або етнічна інформація про особу;
7. Сімейний стан;
8. Сексуальна орієнтація;
9. Дані про місцезнаходження, IP-адреса, файли cookie тощо.
Відразу зазначимо, що закон зобов'язує знеособлювати ці дані та зберігати їх у різних місцях. Тобто інформація, яка відповідає пунктам із наведеного вище списку, повинна зберігатися в різних базах: в одній ім’я, у другій сімейний стан, у третій адреса тощо.
Вимоги та принципи GDPR
Захист персональних даних у GDPR базується на восьми принципах, які були задокументовані в Рекомендаціях OECD щодо захисту конфіденційності та транскордонних потоків персональних даних ще в 1980 році. У GDPR вони представлені в семи пунктах:
1. Законність, справедливість, прозорість. Персональні дані мають бути отримані законним шляхом, за згодою суб’єкта даних.
2. Обмеження за призначенням. Мета збору інформації має бути чітко визначена під час збору. Дані не повинні використовуватися для будь-яких інших цілей, окрім зазначених.
3. Мінімізація даних. Забороняється збирати більше інформації, ніж це необхідно для зазначених цілей.
4. Точність. Інформація має бути точною, повною та актуальною настільки, щоб досягти поставленої мети.
5. Обмеження зберігання. Дані не повинні зберігатися довше, ніж це необхідно.
6. Чесність і конфіденційність. Інформація повинна бути захищена від несанкціонованого доступу, крадіжки, зміни або розголошення.
7. Відповідальність. Розпорядник інформації відповідає за дотримання вимог GDPR.
Виходить, що розпорядник інформації має пояснювати користувачам зрозумілою для них мовою, для чого збираються їхні персональні дані. Вони також повинні мати легкий доступ до інформації про вже зібрані дані. Інформація не повинна зберігатися довше необхідного часу, і контролер зобов'язаний забезпечити її безпеку.
Враховуючи принципи GDPR, існує кілька основних правил:
1. Попередити користувачів про те, що ви плануєте збирати ті чи інші персональні дані;
2. Збирайте лише ту інформацію, яка вам дійсно потрібна для ваших завдань, оскільки ви несете відповідальність за всі дані, незалежно від того, використовуєте ви їх чи ні;
3. Передача інформації можлива лише за згодою суб'єктів інформації;
4. Резервні копії повинні знаходитися в різних місцях, їх шифрування обов'язкове;
5. Необхідно мати інструменти для простого та швидкого редагування та видалення персональних даних.
На перший погляд може здатися, що все просто. Проте, як це часто буває, прості за специфікою стандарти дуже часто виявляються обтяжливими для малого та середнього бізнесу. Оскільки вони охоплюють широку юридичну сферу і вимагають від компанії власного юридичного відділу або підтримки висококваліфікованих спеціалістів.
Впровадження GDPR у вашій організації
Примітно, що GDPR описує лише очікувані результати відповідального управління даними. І хоча це об’ємний і дуже жорсткий регламент на 88 сторінках, він не містить жодних технічних рекомендацій, методів, заходів і засобів досягнення вимог. Тобто компанії повинні самі їх визначати, враховуючи специфіку свого бізнесу.
Закон також говорить, що контролери даних повинні мати можливість продемонструвати свою відповідність GDPR. Тобто, якщо ви вважаєте, що відповідаєте вимогам GDPR, але не можете це показати, ви не відповідаєте вимогам GDPR.
Експерти ESKA допоможуть Вам відповідати вимогам GDPR.
Країни, на які розповсюджується дія GDPR
GDPR – це регламент ЄС щодо захисту даних і конфіденційності в Європейському Союзі та Європейській економічній зоні. Країни, на які поширюється GDPR: Австрія, Бельгія, Болгарія, Кіпр, Чехія, Данія, Естонія, Фінляндія, Франція, Німеччина, Греція, Угорщина, Ірландія, Італія, Латвія, Литва, Люксембург, Мальта, Нідерланди, Польща, Португалія , Румунії, Словаччини, Словенії, Іспанії, Швеції та Великобританії.
Чому GDPR важливий?
Відповідність GDPR допомагає підвищити довіру та надійність, а також краще зрозуміти дані, які збираються, і те, як ними керують. Будь-яка компанія, яка зберігає або обробляє особисту інформацію про громадян ЄС у державах ЄС, повинна дотримуватися GDPR, навіть якщо вони не мають бізнесу в ЄС. GDPR має серйозні наслідки за невідповідність, як-от пошкодження репутації та значні штрафи в розмірі до 20 мільйонів євро або, якщо вище, до чотирьох відсотків загального доходу.
Рекомендації
Загалом, підприємству спочатку потрібно з’ясувати, в якому стані зараз знаходиться збір і обробка інформації про користувачів. Відповідно, якщо ви зараз використовуєте один сервер, то краще розбити його на кілька, щоб неможливо було зламати всі бази з одного джерела. Повинен бути міжмережевий екран, а сервер повинен постійно контролюватися антивірусом.
Бажано наявність двох інтернет-каналів. Щоб у разі злому через один канал його можна було вимкнути і працювати з сервером через другий. Вся інформація повинна бути зашифрована, як під час зберігання, так і під час передачі. Насправді технічні заходи можуть означати що завгодно.
Також необхідно розробити або оновити політики безпеки та деякі інші документи відповідно до ст. 24, 30, 33 і 34 GDPR. Відповідно, ваші співробітники повинні бути належним чином навчені, розуміти та використовувати принципи інформаційної безпеки та захисту конфіденційної інформації у своїй щоденній роботі.
Якщо вам необхідно переконатися, що ваше підприємство відповідає вимогам описаного закону, або підготуватися до аудиту, зв’яжіться з нашими фахівцями для запису на консультацію.
Ми пропонуємо послуги, щоб відповідати необхідним вимогам безпеки, а також у нас є автоматизоване рішення від Vanta, яке спрощує та пришвидшує отримання сертифікації.