В Европейском союзе новые требования к обработке персональных данных, известные как GDPR (General Data Protection Regulation), действуют с 25 мая 2018. Бизнес в Украине уже начал менять методы обработки личных данных. И главной причиной этого является применение новых европейских требований к защите персональных данных. Ведь под действие Регламента попадают все компании, работающие с персональными данными резидентов (а не граждан) ЕС. К нарушителям применяются немалые штрафы: до 20 млн евро или 4% от годового мирового оборота за предыдущий финансовый год (в зависимости от того, что больше).
Уже в январе 2019 года мы стали свидетелями применения Регламента в полную силу. Национальная комиссия информатизации и свободы Франции (CNIL) наложила штраф в размере 50 млн евро на компанию Google. Причиной стало отсутствие правового основания для обработки персональных данных пользователей, в частности относительно персонализации рекламы.
Google утверждает, что она получает согласие пользователей на обработку данных для персонализации объявлений. Однако комитет по вопросам ограничений CNIL посчитал, что такое согласие достаточно общее. Так, при регистрации Google-аккаунта пользователь должен предоставить два согласия, чтобы разрешить пользоваться своими данными. Однако GDPR предусматривает, что согласие будет релевантным только в случае, если оно предоставляется для четко сформулированной цели, а не для просто «обработки информации».
Ознакомившись с кейсом Google, компаниям стоит сделать выводы относительно прозрачности сбора информации, ее обработки и формулирования максимально четких условий для получения согласия пользователей.
Именно поэтому, IT-комитет Европейской бизнес ассоциации подготовил 10 основных советов для адаптации деятельности компании к требованиям GDPR.
Для начала, определим, что такое личная информация. В соответствии с Регламентом, - это любая информация, которая может быть использована для идентификации человека: имя, телефон, адрес, фото, IP-адрес и тому подобное.
А теперь, собственно, 10 советов.
1. Храните всю информацию о сотрудниках, клиентах, поставщиках структурировано и с удобным интерфейсом поиска. Сейчас большой выбор программ для хранения и учета информации. Благодаря им вы сможете достаточно быстро удовлетворить запрос на поиск нужной информации, а также сможете продемонстрировать структурированный учет хранимой информации, проходя проверку на соответствие GDPR.
2. Обеспечивайте надежную защиту информации. Конечно, вопросы безопасности очень глобальные, и довольно трудно защитить себя от хакерских атак. Однако важно сделать максимум для предупреждения утечек данных. Например, необходимо убедиться, что антивирусные программы у вас лицензионные и постоянно обновляются. Убедиться, что вы сможете дистанционно выйти из всех аккаунтов, чтобы никто не смог получить доступ к внутренней информации компании в случае потери рабочего ноутбука. Хорошая идея - прописать четкий алгоритм действий в случае кризисной ситуации. А в случае расследования на соответствие защиты персональных данных, вы сможете продемонстрировать, что сделали все возможное для максимального сохранения информации.
3. Храните только ту информацию, которая действительно необходима. Для минимизации рисков лучше не хранить то, что, возможно, когда-нибудь понадобится. Каждая единица информации создает дополнительный риск для компании в случае утечки. Поэтому лучше оперировать только необходимым массивом, а в будущем, если возникнет необходимость, запросить пользователей, чтобы получить информацию и согласие на ее использование с новой целью.
4. Создайте максимально подробную нотификацию, чтобы уведомлять клиентов о том, какую информацию и с какой целью вы сохраняете. При создании оповещения постарайтесь ответить в нем на такие вопросы:
- Какую информацию вы храните?
- Кто собирает информацию?
- Каким образом эта информация собирается?
- Почему эта информация собирается?
- Каким образом эта информация будет использоваться?
- Каким образом эта информация будет распространяться?
- Каким образом это будет влиять на человека, которого эта информация касается?
5. Оптимизируйте процесс предоставления информации, которая у вас сохраняется, по запросу пользователя - владельца персональных данных. В соответствии с Регламентом, вы обязаны в течение 1 месяца предоставить всю такую информацию бесплатно.
6. Разработайте механизм удаления личных данных пользователя по его запросу. Все данные любого лица должны иметь опцию оперативного удаления из всех возможных хранилищ, документов, рассылок и тому подобное. Этот процесс называется «право быть забытым».
7. Разработайте четкую и понятную форму-подтверждение, чтобы пользователи могли «активно» дать согласие. Активное согласие на обработку персональных данных предусматривает личную простановку соответствующей отметки («галочки») в электронной форме или подписание документа (если согласие предоставляется не онлайн) для каждой отдельной цели.
8. Реализуйте возможность быстрого прекращения поступления любых сообщений от вашей компании. Если вы создаете рассылки информационных писем, смс, дайджестов, рекламных акций, то должна быть опция немедленной отписки от ваших писем.
9. Донесите основную информацию о Регламенте до своих сотрудников. Поскольку именно они будут оперировать данными пользователей, а за нарушения штрафуется компания. Кроме этого, желательно назначить ответственное лицо за соблюдение требований, которые были перечислены выше.
10. Проверяйте базы данных при их приобретении. Убедитесь, что продавец правомерно собрал информацию, и все, кто предоставил ее, активно согласились на это.
С 9 по 23 октября 2020 приглашаем посетить курс "GDPR В УКРАИНЕ: практика применения". Во время мероприятий вы узнаете об: основах GDPR - принципах обработки, правах субъектов, ответственности; о применении GDPR комплаенс для компании; о кукисах и консентах в GDPR.
***
Узнать больше о требованиях к GDPR вы можете, прочитав официальный перевод Регламента по ссылке.
***
В модуле «Новации» информационно-правовых систем ЛІГА:ЗАКОН накапливается актуальная информация по нескольким темам, среди них - «Защита персональных данных».
