г. Киев, ул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Gdpr compliance: что это и кому нужно выполнить условия регламента о защите персональных данных?

Университет Мэриленда подсчитал, что каждые 39 секунд происходят хакерские атаки на компьютеры с доступом в Интернет. Чтобы сделать движение данных безопасным, более 120 стран приняли международные законы об их защите. Один из таких законов  – GDPR. Что это, кому придется внедрить, и в чем суть GDPR – рассказываем в статье.

Что такое GDPR?

GDPR — это общий регламент о защите персональных данных граждан Европейского союза (ЕС). Закон объясняет что такое персональные данные и устанавливает правила их обработки. Внедрить GDPR придется бизнесу, который для оказания услуг собирает, обрабатывает и хранит данные жителей следующих стран:

GDPR: что это и где применяется

Территориально ваша компания может находиться в Украине или США, но продавать товары, предоставлять услуги, или нанимать на работу граждан ЕС, а значит на вас распространяется действие европейского регламента. Чтобы разобраться, нужно ли вам внедрять GDPR, ответьте на вопросы ниже.

GDPR compliance. Нужно ли вам внедрять GDPR?

Что значит GDPR для украинских компаний?

Если украинский бизнес продает товары и предоставляет услуги гражданам ЕС то процесс работы с персональными данными клиентов регулируется GDPR. Кроме прямого взаимодействия с гражданами ЕС, украинские компании получают непрямой доступ к их личной информации. Например, IT-компания из Украины разрабатывает программный продукт для немецкого банка. Для реализации задач, команда разработчиков получает доступ к данным клиентов банка и должна выполнять требования GDPR. Европейские заказчики не подпишут контракт с IT-компанией, если она не создала безопасную среду обработки персональных данных. Если в таких условиях произойдет нарушение правил обработки, то и заказчик получит штраф на сотни тысяч евро. Нанимая компанию для разработки программного продукта, заказчик пришлет GDPR-опросник, чтобы проверить насколько реализованы меры безопасности в IT-компании. 

Таким образом, компаниям из Украины нужно разобраться с тем, как выполнить условия общего регламента о защите персональных данных. Поэтому IT-юристы Stalirov&Co подготовили обзор основных принципов GDPR.

 

Принципы обработки персональных данных

Обработка персональных данных должна выполняться в соответствии с 7 принципами, которые закреплены в 5 статье регламента.

Законность, справедливость и прозрачность

Это означает, что компания получает данные на законных основаниях; выполняет взятые на себя обязательства по хранению и передаче данных; предоставляет исчерпывающую информацию про сбор, обработку и хранение.

Одно из законных оснований для обработки — согласие клиента. Каждое действие с персональными данными должно быть согласовано.

Например, компания Nos в маркетинговых целях передала телекоммуникационной компании Vodafone около 3 миллионов 800 тысяч персональных данных потенциальных клиентов. За такие действия Nos пришлось заплатить 20 000 EUR. Оказалось, что компания не получила согласие клиентов на передачу, хотя этого требует статья 7 GDPR.

 

Информация о том, как компания обрабатывает данные должна быть полной.

С таким требованием не справился шведский Klarna Bank, вследствие чего Управление по защите данных Швеции наложило на банк штраф в размере 720 000 EUR. Банк не предоставил клиентам информацию о целях и правовых основаниях обработки; получателях и странах за пределами ЕС, в которые передавались данные;  правах субъектов данных.

 

Требование о полноте включает запрет скрытой и невидимой обработки.

Это правило нарушил розничный продавец продуктов и товаров для дома EasyLife. Когда клиент совершал покупку, компания делала предположение о его состоянии здоровья, а потом предлагала ему новые товары. На основании “триггерных продуктов” EasyLife составила профили 145 400 покупателей, но забыла предупредить их о профилировании. Это была незаконная и невидимая обработка данных, которая стоила компании 1,5 млн EUR.

 

Кроме полноты, нужно выполнить условие доступности.

DPA Ирландии наложило на WhatsApp 225 млн EUR штрафа. Одним из нарушений стало то, что мессенджер не выполнил требования о легкодоступности политики конфиденциальности. Но GDPR требует, чтобы компании использовали язык, понятный для пользователей.

Компаниям, которые публикуют политики конфиденциальности на сайтах и в приложениях, важно описывать процессы сбора и обработки четко, кратко и простым языком, чтобы облегчить пользователю понимание того, как обрабатываются его данные. Собственник IT-продукта должен выделять самые важные моменты в документе и предоставлять информацию с помощью разных каналов взаимодействия. Например, использовать видеоконтент, информационные фрагменты или всплывающие окна. Кроме этого, политику конфиденциально необходимо разместить в доступном месте. Пользовательские привычки демонстрируют, что футер сайта или раскрывающееся меню приложения идеальные места для ссылки на политику. Таким образом пользователь всегда находится в одном или двух кликах от доступа к документу.

 

Ограничение цели

Компания сообщает клиентам цели сбора данных. Они должны быть конкретными, отчетливыми и законными. Данные могут собираться и использоваться только для целей, которые необходимы для предоставления услуг.

IT-юристы Stalirov&Co разрабатывали политику конфиденциальности SmartWatch – мобильного приложения для синхронизации часов с Android-устройством. В документе юристы описали конкретные и законные цели сбора персональных данных: SmartWatch собирает персональные данные для улучшения сервиса, общения с посетителями, онлайн-продаж, предоставления услуг, связанных со специализацией приложения и других безопасных действий. SmartWatch использует личные данные, чтобы приложение работало быстро и эффективно. Основная цель обработки данных — убедиться, что использование приложения будет удобным и понятным. Кроме того, приложение использует данные по другим причинам, таким как безопасность, поддержка клиентов,  маркетинг, соблюдение юридических обязательств, требований бухгалтерского учета и разработка программного обеспечения.

Чем детальнее список целей, тем меньше вероятность получить штраф за нарушение принципов GDPR.

 

Минимизация

Собирайте минимум необходимых и обязательных данных. 

Приведем пример. Интернет-магазин электронных книг разместил на сайте форму, которую пользователь должен заполнить, чтобы оформить заказ. Собственник интернет-магазина использовал стандартную контактную форму, где запрашивал имя и фамилию, дату рождения, номер телефона, электронную почту и домашний адрес. Но не все поля в форме строго необходимы. Для оформления заказа на электронную книгу нужны только имя, фамилия и электронная почта, на которую будет отправлен текст книги. Сбор остальных персональных данных - это нарушение принципа минимизации. 

Доступ к данным должны получать только те сотрудники, которым это нужно для выполнения рабочих задач. Например, в медицинском учреждении Azienda sanitaria universitaria Friuli Occidentale доступ к данным о здоровье клиентов был у всех сотрудников. Оказалось, что IT-платформа медицинского учреждения позволяет любому сотруднику получать доступ к личным данным пациентов, даже если они фактически не лечили их. Такая ошибка стоила компании 50 000 EUR.

 

Точность

Храните только актуальные данные и обновляйте их при необходимости. Убедиться в точности данных можно с помощью запроса на обновление. Например, инвестиционная компания Freedom Finance ежегодно просит собственников брокерских счетов подавать поручение на изменение сведений и прилагать актуальные документы в десктопной и мобильной версиях приложения Tradernet. Если клиент этого не делает, доступ к счету блокируется до обновления данных.

 

Чтобы выполнить требование точности, медицинские учреждения внедряют метод хэширования. Существует риск ошибки, когда два человека одновременно получают одинаковое лечение, а имя — это единственным параметр, который их разделяет. Поэтому, нужен уникальный идентификатор для каждого человека, а значит больше информации, чем имя пациента. Для этого учреждения создают неизменяемые хэш-подписи для записей журнала лечения и связанного с пациентом сотрудника. Благодаря этому любые изменения персональных данных можно распознать, сопоставить и отследить.

Нарушение принципа точности приводит к штрафам.

Так румынский филиал Raiffeisen Bank нарушил принцип точности, когда обрабатывал недостоверные данные клиентов. Расследование началось по жалобе заявителя, который получал текстовые SMS-сообщения о денежных переводах, которые он не делал. Оказалось, что номер заявителя ошибочно ввели в приложение банка, но GDPR требует, чтобы данные регулярно актуализировались и проверялись. Поэтому Raiffeisen Bank заплатил штраф в 2000 EUR.

 

Ограничение хранения

Вам нужно установить срок хранения персональных данных и обосновать, что этот период необходим для конкретных целей.

За нарушение требования о разумных сроках хранения испанский банк заплатил 50000 EUR. Личные данные хранились в течение нескольких лет после того, как субъект данных перестал быть клиентом, и были доступны для сотрудников банка.

 

Целостность и конфиденциальность

Вы должны внедрять технические решения для защиты данных от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения. 

Приведем пример. Компания хочет перенести личные сведения клиентов из базы данных на сервер. Риск состоит в том, что доступ к серверу есть у всех сотрудников, но обрабатывать данные нужно только одному отделу. Чтобы регулировать доступ и уменьшить вероятный ущерб от вредоносных программ, компания может разделить сеть и установить контроль доступа к серверу. Кроме этого, можно внедрить мониторинг безопасности и установить систему обнаружения и предотвращения вторжений. Благодаря автоматизированной системе аудита, нарушение правил обработки может быть быстро и легко распознано.

За нарушение принципа целостности и конфиденциальности американская компания по онлайн продажам билетов Ticketmaster получила штраф на 1,4 млн EUR от Комиссара по информации Соединенного Королевства. Ticketmaster использовала недостаточно защищенный чат-бот, с помощью которого проводились онлайн-платежи. Это позволило злоумышленнику получить доступ к финансовой информации клиентов. В свободном доступе оказались имена, номера платежных карт, даты истечения срока их действия и номера подтверждения (CVV).
Еще один кейс случился с польской финансовой компанией ID Finance. Во время перезапуска сервера были сброшены настройки программного обеспечения, отвечающего за безопасность. Из-за этого информация об имени и фамилии, адресе, национальности и семейном положении 140 699 клиентов стала общедоступной.

 

Подотчетность

Каждый шаг работы с персональными данными должен детально описываться в официальных документах: политиках конфиденциальности, соглашениях о защите данных, инструкциях о защите данных для сотрудниках и процедурах про реагированию и уведомлению об утечке. Все эти документы компания должна демонстрировать надзорным органам для подтверждения соответствия GDPR. В противном случае можно получить большие штрафы.

Например, Danske Bank заплатил 1,3 млн EUR за то, что не задокументировал правила удаления и хранения персональных данных в более чем 400 системах. Банк не смог доказать, что такие правила, которые требуются GDPR, когда-либо существовали.

 

Какие технические и организационные меры безопасности должна внедрить компания, чтобы соответствовать GDPR?

Компания обязана реализовать такие технические и организационные меры для обеспечения высокого уровня безопасности:

  • псевдонимизация и шифрование;
  • обеспечение конфиденциальности и целостности, доступности и устойчивости систем и сервисов обработки;
  • способность оперативно восстановить доступность данных;
  • регулярное тестирование мер безопасности. 

 

Ошибки системы безопасности могут приводить как к минимальным, так и к миллионным штрафам.

Например, маркетинговой компании SC Interactions Marketing SRL пришлось заплатить 1000 EUR штрафа за рассылку электронных писем с открытым списком адресатов. Из-за этого каждый получатель письма имел несанкционированный доступ к адресам электронной почты других получателей. Компания не приняла необходимых мер для обеспечения конфиденциальности персональных данных, и нарушила требования ст. 32 GDPR про безопасность обработки.
А вот Fortum Marketing and Sales пришлось заплатить 1 млн EUR. Во время внесения изменений в ИТ-среду компании, была создана дополнительная клиентская база данных. Однако сервер, на котором хранилась база, не имел достаточных мер безопасности, из-за чего посторонним лицам удалось получить доступ к ней. Польское национальное управление по защите данных обнаружило, что компания не смогла зашифровать данные клиентов. Кроме того, во время реализации изменений в системе, агент обработки использовал реальные данные клиентов, а не тестовые. 

 

Чтобы обеспечить соответствие GDPR и повысить безопасность данных, рассмотрите возможность внедрения таких решений кибербезопасности:

технические и организационные меры безопасности по GDPR

Как пройти GDPR Compliance?

IT-юристы Stalirov&Co составили список действий по выполнению требований регламента.

  1. Проведите GDPR-аудит, чтобы определить какие персональные данные собирает компания, на каких основаниях и с какой целью. Это поможет реализовать принцип законности.
  2. Разработайте GDPR-документацию как этого требует принцип подотчетности. Интернет-магазинам, маркетплейсам, мобильным приложениям, Gamedev продуктам и другим программным решениям, которые собирают персональные данные пользователей в Интернете понадобится Политика конфиденциальности. Компаниям из сфер финансов, медицины, страхования, туризма, промышленности и других отраслей нужно внедрять внутренние соглашения, политики и инструкции. Например, Data protection agreement c подрядчиками и сотрудниками.
  3. Регулярно вносите изменения в GDPR-документацию, чтобы клиенты получали актуальную информацию про обработку и хранение их данных. Оперативно обновляйте сведения по запросу субъектов данных. Это позволит реализовать принцип прозрачности и точности.
  4. Разработайте график хранения данных, чтобы не нарушать сроки хранения и выполнить требование об удалении.
  5. Наймите в команду Data protection officer, который/ая поможет внедрить технические и организационные меры безопасности, контролировать соответствие обработки регламенту GDPR , для реализации принципа целостности и конфиденциальности.

 

 

 

Меню статьи
Статьи со схожей тематикой

Публикации в СМИ со схожей тематикой

04.04.2023
Когда IT-компании нужен GDPR аудит?
IT-юристы объяснили в чем заключается GDPR аудит, когда он нужен и как провести GDPR анализ
Перейти к источнику
23.02.2023
Аудит GDPR для веб-сервисов: опыт GDPR адвоката
GDPR адвоката рассказал о пунктах, которые должны быть в Политике конфиденциальности веб-сервисов
Перейти к источнику
24.12.2021
Когда действует GDPR в Украине?
Действие правил регламента по защите персональных данных распространяется на украинские компании в 3-х случаях. О них рассказываем в статье.
Перейти к источнику

Последние статьи

Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
18.09.23
Что такое КИК, какую отчетность нужно подавать и какие налоги платить - рассказываем в статье
Читать статью

Кейсы по теме статьи

Все кейсы
Для полноценной работы веб-сайта и улучшения предоставления услуг мы используем анонимные данные, предоставленные файлами Cookies!
ОК
Перезвоните мне IT-юрист свяжется с вами
для обсуждения деталей
Запрос на расчет услуги IT-юрист свяжется с вами
для обсуждения деталей
Благодарим за обращение!

IT-юрист свяжется с вами и расскажет о юридических решениях

OK
Благодарим за запрос!

IT-юрист перезвонит вам для обсуждения деталей

OK
Благодарим за отзыв!

Мы будем рады, если вы расскажете о нас друзьям и коллегам

OK
Благодарим за запрос!

Команда IT-юристов свяжется с вами и расскажет о вариантах решений

OK
Благодарим за запрос!

IT-юрист свяжется с вами и задаст несколько дополнительных вопросов

OK
Благодарим за интерес!

Ожидайте рекомендации IT-юристов

OK
Благодарим за запрос!

Команда IT-юристов подготовит решение для вас

OK
Благодарим за обращение!

IT-юрист разберет вашу ситуацию и предложит решение

OK