Навесні 2018 року у загальний дискурс у Європі та за її межами увійшли такі вирази як «персональні дані», «активна згода» та «захист даних» - і це цілком закономірно.
Загальний регламент захисту даних (GDPR), що набув чинності у травні 2018 року, запроваджує суворі правила захисту персональних даних. Його мета - допомогти громадянам і підприємствам скористатися всіма перевагами цифрової економіки. Однак оновити свої процеси задля уникнення значних штрафів слід не лише європейським фірмам. Нові стандарти GDPR впливають на підприємства у всьому світі.
Згідно GDPR, якщо будь-яка компанія - незалежно від місцезнаходження - має установу в Європейському союзі або опрацьовує персональні дані громадян ЄС, вона повинна дотримуватися ряду правил. Той факт, що спеціальні норми GDPR регулюють передачу персональних даних за межі ЄС, свідчить, що регламент діє не лише в Союзі.
Нещодавні скандали показали, що недоторканність особистої інформації дуже важлива для споживачів. Нині підприємства усвідомлюють, що високі стандарти захисту даних не лише захищають їх від фінансових ризиків, а й надають перевагу перед конкурентами.
Чим би ви не займалися: здійснювали підприємницьку діяльність у ЄС, надавали товари чи послуги у країнах-членах ЄС, стежили за поведінкою громадян ЄС, опрацьовували персональні дані на замовлення європейських компаній чи готувалися розширити свій бізнес, - пропонуємо кілька порад.
Перегляньте усі персональні дані у вашому розпорядженні, визначте, з якою метою ви їх зберігаєте, та ведіть облікові записи. Персональні дані - це будь-яка інформація, що дозволяє ідентифікувати особу, у тому числі імена, прізвища, адреси, онлайн-ідентифікатори та інформація про стан здоров'я. Згідно GDPR, слід вести облік даних, якими ви володієте, а також методів і цілей їхньої обробки. Опрацювання персональних даних базується на активній та відновлюваній згоді. Згода надається виключно зі вказаною метою використання даних шляхом акту підтвердження - «Правил та умов користування» із проставленими «галочками» більше не досить. Крім того, будь-який громадянин ЄС, чиї дані знаходяться у вас, має право просити доступу до них, а також змінювати, видаляти чи передавати їх безоплатно.
Готуйтеся оновити ваші комерційні угоди. Робота з персональними даними ЄС у партнерстві з іншими юридичними особами вимагає чіткого окреслення ваших обов'язків: ви збираєте дані та контролюєте їхню структуру чи лише обробляєте отримані дані? Так чи інакше, якщо ви працюєте з даними в Україні, слід дотримуватися суворих правил. Оскільки ЄС поки не вважає, що дані в Україні захищаються належним чином, передавати їх можна лише за вживання відповідних заходів і наявності юридично захищених прав і можливостей в межах правового поля. Під заходами маються на увазі, наприклад, умови угод, уже затверджені Європейським союзом, дотримання кодексу корпоративної етики або сертифікація. За відсутності цих механізмів дані дозволяється передавати в окремих випадках - наприклад, якщо особа чітко дала на це згоду після того, як її ознайомили з усіма ризиками, пов'язаними із передачею даних.
Проаналізуйте свою систему управління. Сюди відносяться усі організаційні та ІТ-заходи, за допомогою яких можна довести дотримання стандартів GDPR. Підприємствам необхідні системи, які дозволяють швидко обмінюватися записами, оскільки такі вимоги зазвичай вимагається задовольняти в межах 30 днів. Необхідно переглянути політику конфіденційності та кодекси корпоративної етики. Про витік даних слід повідомляти протягом 72-х годин. Компанії, що працюють із конфіденційною інформацією або використовують засоби автоматичного складення профілів мають більше зобов'язань: зокрема, вони повинні призначити відповідального за захист даних або зібрати групу спеціалістів з оцінювання впливу на захист даних.
Загальний регламент про захист даних доводить, що захист і обмін персональними даними - це не взаємовиключні поняття. Він зміцнює довіру людей до установ, які дбають про їхні дані. Україна - одна з країн, які вдосконалюють своє законодавство аби скористатися перевагами такої довіри. У жовтні 2018 року в рамках Угоди про асоціацію між Україною та Європейським Союзом було представлено законопроект, мета якого - забезпечити дотримання цих європейських стандартів.
***
У модулі «Новації» інформаційно-пошукових систем ЛІГА:ЗАКОН у міру надходження накопичується новинна та аналітична інформація, в тому числі й по темі захисту персональних даних.
