Регламент GDPR для захисту особистих даних
25 травня 2018 року набув чинності стандарт GDPR (General Data Protection Regulation) – оновлена політика конфіденційності та захисту персональної інформації громадян Євросоюзу.
Що таке GDPR?
За своєю суттю GDPR — це зведення правил, об’єднаних у регламент, покликаний захищати особисті дані користувачів. Він дає їм більше контролю за особистою інформацією. Діє на території всіх 27 країн Євросоюзу.
Дотримання Регламенту є обов’язковим:
- для компаній, які ведуть бізнес у Європі або мають європейські філії;
- для організацій, які обробляють дані мешканців ЄС.
GDPR застосовується, якщо діяльність фірми пов’язана з наданням товарів для громадян, які перебувають на території Євросоюзу (зокрема на безоплатній основі), а також у разі, якщо обробка даних пов’язана з відстеженням їхніх дій з метою визначення їхніх особистих переваг, складання маркетингових прогнозів.
До таких компаній відносять телеком-оператори, авіакомпанії, РЗ, банківські структури, інтернет-магазини.
Навіть якщо до вас на сайт просто заходять відвідувачі з Великобританії, Німеччини чи інших країн ЄС, ці вимоги поширюються на вашу компанію.
Персональні дані в GDPR
Персональні дані по-європейськи – це будь-яка інформація, що стосується ідентифікованої фізичної особи чи такої, яку ідентифікують (суб’єкт даних), за якою можна її визначити прямо чи опосередковано.
До такої інформації належить:
- ім’я;
- дані про місцезнаходження;
- онлайн ідентифікатор;
- дохід;
- інформація про здоров’я;
- IP-адреса;
- культурний профіль.
Зазначимо, що є певний вид даних, який стосується особливої категорії конфіденційної інформації. До неї можна віднести політичні погляди, релігійні переконання, біометричні дані, відомості про стан здоров’я чи орієнтацію.
Штрафи за недотримання
GDPR цілком і повністю націлений на дотримання прав і свобод суб’єктів персональних даних.
Регламент передбачає два типи штрафів:
- за незначні порушення. Максимальний розмір — 10 млн. євро чи 2% від річного обороту компанії;
- За значні порушення (наприклад, недотримання основних принципів GDPR). До 20 млн. євро або до 4% від річного обороту компанії, залежно від того, яка сума буде більшою.
Компанії зобов’язані самостійно повідомляти регулюючі органи про будь-які порушення, витік персональних даних не менше ніж за 72 години після виявлення проблеми. Крім того, необхідно повідомити про вжиті заходи щодо усунення неполадок.
Регуляція дотримання GDPR
Спеціальні органи нагляду здійснюють перевірку дотримання вимог Регламенту в усіх країнах ЄС.
Перевірки можуть бути проведені у формі виїзду (юрист та IT-фахівець), так і онлайн. В останньому випадку регулююча організація отримує доступ до повідомлень про порядок забезпечення конфіденційності на веб-сайті компанії та інших загальнодоступних джерел.
Насамперед запитують реєстр обробки персональних даних. Будь-які інші документи також повинні надаватися на запит регулятора.
Права фізичних осіб (суб'єктів даних)
- Право отримати інформацію. Суб’єкт персональних даних може запросити у оброблювача всю інформацію, яку обробник отримав від нього, а також мету обробки та яким третім особам передавалася інформація.
- Право на забуття (right to erasure, right to be forgotten). Якщо від суб’єкта надійде прохання знищити всі персональні дані, компанія зобов’язана його задовольнити.
- Право на перенесення інформації. Організація зобов’язана надати в електронному вигляді всі персональні дані іншої компанії на особисту вимогу самого суб’єкта.
Що робити?
Якщо ви орієнтовані на країни Євросоюзу або плануєте розширювати послуги на європейську аудиторію, вам варто провести повну діагностику всіх онлайн-сервісів і ресурсів щодо їх відповідності приписам регламенту GDPR.
Головне правило — користувачі повинні чітко давати свою згоду на обробку даних. Воно має бути сформульовано як чітке затвердження або активний заклик до дії.
Перевірте свій ресурс за цим чек-листом:
- Відвідувачі розуміють, що ви збираєте cookies (кукі). Попередження з’являється у спливаючому вікні pop-up на видному місці сторінки, щоб кожен відвідувач міг з ним ознайомитися. Додайте кнопку «ОК» – натиснувши на неї, користувач підтверджує, що повідомлення прочитано та прийняте до відома.
- Політика cookies. Чітко пропишіть, які кукі ви збираєте та навіщо. Якщо ви використовуєте на сайті функціонал сторонніх провайдерів (наприклад, Google Analytics), потрібно також проставити посилання на їхню політику.
- Політика конфіденційності. Що ви обробляєте, з якою метою, а також порядок захисту, надання та зміни даних.
- SSL-сертифікат. Шифрування з’єднання між користувачем і веб-сайтом. Корисно придбати зокрема для якісного ранжування в пошуку. Гарна практика, щоб у користувачів не виникало зайвого занепокоєння.
- Онлайн-форми, підписки. У них обов’язково має бути присутнім пункт про те, що користувач дає згоду на обробку даних. Пташка не повинна стояти за замовчуванням — її відвідувач проставить самостійно. Не допускається, щоб кілька пташок ставилися у формах автоматично.
- Платежі. Якщо ви приймаєте на сайті платежі PayPal тощо, обов’язково потрібно вказати посилання на їхню політику конфіденційності. Не працюйте з тими, хто не дотримується політики GDPR.
- Онлайн-чат, e-mail розсилки. Обирайте тих провайдерів, які відповідають вимогам GDPR. Проставляйте на сайті посилання на їхні політики безпеки.
Оновлені вимоги обробки даних здаються суворими, але несуть у собі значну користь для ринку. Дотримуватись єдиного зведення правил набагато простіше, ніж підлаштовуватися під окремі вимоги всіх 27 країн ЄС. Це полегшує невеликим і перспективним компаніям вихід на міжнародну арену.
Вся суть GDPR
- GDPR – важливий документ, покликаний захищати персональні дані користувачів у ЄС.
- Містить у собі зведення чітких правил, яким повинен відповідати будь-який ресурс або сервіс, що збирає особисту інформацію про європейських користувачів з метою комерції чи маркетингу.
- За порушення GDPR накладається штраф залежно від тяжкості.
- Привести сайт у відповідність до вимог Регламенту вам допоможе Webnauts.
Комментарии