• Facebook
  • Twitter
  • Google+
  • Pinterest
  • Gmail
  • LinkedIn

Трохи менше року тому вступили в силу нові правила збору та обробки персональних даних – GDPR. Активність навколо них стихла, так як конкретних кейсів у цій сфері в Україні ще немає, але на наш погляд важливо нагадати про те, що відбувається, адже якщо почати вводити зміни зараз – навіть маленькими кроками можна привести все у відповідність установленим регламентом.

Основне нововведення GDPR – громадяни Європейського Союзу отримали повний контроль над своїми персональними даними. Здавалося б, при чому тут громадяни ЄС до України, але не тут-то було. GDPR вводить екстериторіальний принцип дії свого регламенту, а отже кожен, хто яким-небудь чином збирає або обробляє дані європейських громадян потрапляє під його дію. Навіть якщо б в кафе продали десерт іноземцю, і він розплатився своєї банківської картою – GDPR стосується і вас. Так, начебто несуттєво, і заради однієї операції перевірка навряд чи буде, але підстрахуватися і зробити все можливе, щоб убезпечити свою діяльність не завадить.

Зауважимо, що під дію GDPR потрапляють і всі сайти покупки квитків та бронювання житла, так як вони по суті відстежують активність громадян.

Перелік того, що входить у поняття «персональних даних» не є вичерпним, фактично всі дані, які дозволяють так чи інакше ідентифікувати особу будуть персональними. Дані про геолокаціі, ІР-адресі, будь-які ідентифікатори – теж. Тому не дивно, що першими про зміни своєї політики обробки персональних даних заявили великі інтернет-ресурси, адже у них користувачі і авторизуйтесь, і вказують особисту інформацію, та ще й своє переміщення періодично транслюють.

Обробка персональних даних також не передбачає вичерпний перелік дій, які в неї входять. По факту це абсолютно всі операції, які можуть виконуватися з персональними даними. При цьому, GDPR вводить основні правила обробки даних:

  • Прозорість, справедливість, законність;
  • Цільове використання інформації;
  • Обмежений обсяг запитуваних даних;
  • Строковість зберігання даних;
  • Доступ користувача до наявних даних щодо нього;
  • Безпека зберігання даних.

Що в підсумку отримали самі «власники» персональних даних? Фактично, у них з’явилися інструменти контролю за інформацією. Вони мають право запитувати, які дані про них збираються і використовуються, вимагати замінити неактуальну інформацію або видалити її, а також таке цікаве право, як право на перенесення даних (одна компанія на запит громадянина в електронному форматі передає дані про суб’єкта іншої компанії).

Важлива увага GDPR приділяють згодою користувачів на збір і обробку даних про них. Так, тепер така згода повинна бути ясно і чітко виражена, і навіть «поставити галочку у відповідному віконці» може бути недостатньо. Не зовсім зрозуміло поки, як при цьому бути інтернет-ресурсів, тому чекаємо практику застосування. Правилами обробки даних має бути передбачено право користувача відкликати свою згоду.

Деякі особливості є в частині захисту дитячих даних. Згоду на таку обробку має бути дано батьками дитини, причому кожна держава самостійно встановлює вік, до якого така згоду потрібно.

Важливим моментом для українського бізнесу стала необхідність документального оформлення процедур збору та обробки персональних даних. Всі внутрішні документи повинні відповідати GDPR, у компанії повинна бути особа, відповідальна за цю процедуру. В якійсь мірі це допоможе і самим компаніям чіткіше розуміти, що саме і в яких обсягах їм потрібні персональні дані, а також доопрацювати свою інформаційну безпеку для запобігання їх витоку.

Для рядових користувачів ці зміни допоможуть чітко розуміти обсяги і порядок використання їх персональних даних, якщо, звичайно, вони будуть ознайомлюватися з документацією перш ніж давати згоду на обробку даних. Але так чи інакше, це буде сприяти обізнаності пересічних громадян.

Хочете дізнатися більше? Приходьте на наш одноденний інтенсив, на якому ми розберемо всі питання про GDPR. Докладніше тут.