м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Gdpr compliance: що це та кому потрібно виконати умови регламенту про захист персональних даних?

Університет Меріленда підрахував, що кожні 39 секунд відбуваються атаки хакерів на комп'ютери з доступом в Інтернет. Щоб зробити рух даних безпечним, понад 120 країн ухвалили міжнародні закони про їхній захист. Один із таких законів – GDPR. Що це, кому доведеться впровадити, і в чому суть GDPR – розповідаємо у статті.

Що таке GDPR?

GDPR – це загальний регламент про захист персональних даних громадян Європейського союзу (ЄС). Закон пояснює що таке персональні дані та встановлює правила їхньої обробки. Впровадити GDPR доведеться бізнесу, який для надання послуг збирає, обробляє і зберігає дані мешканців наступних країн:

GDPR: що це та де застосовується

Територіально ваша компанія може перебувати в Україні чи США, але продавати товари, надавати послуги, або наймати на роботу громадян ЄС, а отже, на вас поширюється дія європейського регламенту. Щоб розібратися, чи потрібно вам впроваджувати GDPR, дайте відповідь на запитання нижче.

Чи треба вашій компаніх впроваджувати GDPR?

Що означає GDPR для українських компаній?

Якщо український бізнес продає товари та надає послуги громадянам ЄС, то процес роботи з персональними даними клієнтів регулюється GDPR. Окрім прямої взаємодії з громадянами ЄС, українські компанії отримують непрямий доступ до їхньої особистої інформації. Наприклад, ІТ-компанія з України розробляє програмний продукт для німецького банку. Для реалізації завдань команда розробників отримує доступ до даних клієнтів банку і повинна виконувати вимоги GDPR. Європейські замовники не підпишуть контракт з IT-компанією, якщо вона не створила безпечне середовище обробки персональних даних. Якщо в таких умовах відбудеться порушення правил обробки, то замовник отримає штраф на сотні тисяч євро. Наймаючи компанію для розробки програмного продукту, замовник надішле GDPR-опитувальник, щоб перевірити наскільки реалізовані заходи безпеки в IT-компанії.

Таким чином, компаніям з України слід розібратися з тим, як виконати умови регламенту із захисту персональних даних. Тому IT-юристи Stalirov&Co підготували огляд основних принципів GDPR.

 

Принципи обробки персональних даних

Обробка персональних даних повинна виконуватись відповідно до 7 принципів, які закріплені у статті 5 регламенту.

Законність, справедливість та прозорість

Це означає, що компанія отримує дані на законних підставах; виконує взяті на себе зобов'язання зі зберігання і передачі даних; надає вичерпну інформацію про збирання, обробку та зберігання.

Одна із законних підстав для обробки – згода клієнта. Кожна дія з персональними даними має бути узгоджена. Наприклад, компанія Nos з маркетинговою метою передала телекомунікаційній компанії Vodafone близько 3 мільйонів 800 тисяч персональних даних потенційних клієнтів. За такі дії Nos довелося сплатити 20 000 EUR. Виявилося, що компанія не отримала згоду клієнтів на передачу, хоча цього вимагає стаття 7 GDPR.

 

Інформація про те, як компанія обробляє дані має бути повною.

З такою вимогою не впорався шведський Klarna Bank, внаслідок чого Управління захисту даних Швеції наклало на банк штраф у розмірі 720 000 EUR. Банк не надав клієнтам інформацію про цілі та правові підстави обробки їх даних; одержувачів та країни за межами ЄС, яким передаються дані; права суб'єктів даних.

 

Вимога про повноту включає заборону прихованої та невидимої обробки.

Це правило порушив роздрібний продавець продуктів та товарів для дому EasyLife. Коли клієнт оформлював покупку, компанія робила припущення про його стан здоров'я, а потім пропонувала йому нові товари. На підставі "тригерних продуктів" EasyLife склала профілі 145 400 покупців, але забула попередити їх про профілювання. Це була незаконна та невидима обробка даних, яка коштувала компанії 1,5 млн EUR.

 

Крім повноти, необхідно виконати умову доступності.

DPA Ірландії наклало на WhatsApp 225 млн EUR штрафу. Одним із порушень стало те, що месенджер не виконав вимоги щодо легкодоступності політики конфіденційності, у той час, коли GDPR вимагає, щоб компанії використовували мову, зрозумілу для користувачів.

 

Компаніям, які публікують політики конфіденційності на сайтах та в додатках, важливо описувати процеси збору та обробки чітко, коротко та простою мовою, щоб полегшити користувачеві розуміння того, як обробляються його дані. Власник IT-продукту має виділяти найважливіші моменти у документі та надавати інформацію за допомогою різних каналів взаємодії. Наприклад, використовувати відеоконтент, інформаційні фрагменти або спливаючі вікна. Окрім цього, політику конфіденційності необхідно розмістити у доступному місці. Звички користувача демонструють, що футер сайту або меню мобільного додатку ідеальні місця для посилання на політику. Таким чином, користувач завжди знаходиться в одному або двох кліках від доступу до документа.

 

Обмеження мети

Компанія повідомляє клієнтам цілі збору даних. Вони мають бути конкретними, чіткими та законними. Дані можуть збиратися та використовуватися лише для цілей, які необхідні для надання послуг.

IT-юристи Stalirov&Co розробили політику конфіденційності для SmartWatch – мобільного додатка для синхронізації годинника з Android-пристроєм. У документі юристи описали конкретні та законні цілі збору персональних даних: SmartWatch збирає персональні дані для покращення сервісу, спілкування з користувачами, онлайн-продажів, надання послуг, пов'язаних із спеціалізацією програми та інших безпечних дій. SmartWatch використовує особисті дані, щоб програма працювала швидко та ефективно. Основна мета обробки даних – переконатися, що використання програми буде зручним та зрозумілим. Крім того, програма використовує дані з інших причин, таких як безпека, підтримка клієнтів, маркетинг, дотримання юридичних зобов'язань, вимог бухгалтерського обліку та розробка програмного забезпечення.

Чим детальніший список цілей, тим менша ймовірність отримати штраф за порушення принципів GDPR.

 

Мінімізація

Збирайте мінімум необхідних та обов'язкових даних.

Наведемо приклад. Інтернет-магазин електронних книг розмістив на сайті форму, яку користувач має заповнити, щоб оформити замовлення. Власник інтернет-магазину використовував стандартну контактну форму, де запитував ім'я та прізвище, дату народження, номер телефону, електронну пошту та домашню адресу. Але не всі поля у формі необхідні. Для оформлення замовлення на електронну книгу потрібні лише ім'я, прізвище та електронна пошта, на яку буде надіслано текст книги. Збір інших персональних даних – порушення принципу мінімізації.

Доступ до даних повинні отримувати лише ті працівники, яким це потрібно для виконання робочих завдань.

Наприклад, у медичній установі Azienda sanitaria universitaria Friuli Occidentale доступ до даних про здоров'я клієнтів був у всіх співробітників. Виявилося, що IT-платформа медичного закладу дозволяла будь-якому співробітнику отримати доступ до особистих даних пацієнтів, навіть якщо вони фактично їх не лікували. Така помилка коштувала компанії 50 000 EUR.

 

Точність

Зберігайте лише актуальні дані та оновлюйте їх за потреби. Переконатись у точності даних можна за допомогою запиту на оновлення. Наприклад, інвестиційна компанія Freedom Finance щорічно просить власників брокерських рахунків подавати доручення на зміну відомостей та додати актуальні документи у десктопній та мобільній версіях програми Tradernet. Якщо клієнт цього не робить, доступ до рахунку блокується до оновлення даних.

Щоб виконати вимогу точності, медичні установи впроваджують метод хешування. Існує ризик помилки, коли дві людини одночасно отримують однакове лікування, а ім'я – це єдиний параметр, який їх ідентифікує. Тому потрібен унікальний ідентифікатор для кожної людини, а значить більше інформації, ніж ім'я пацієнта. Для цього установи створюють незмінні хеш-підписи для записів журналу лікування та пов'язаного з пацієнтом співробітника. Завдяки цьому будь-які зміни персональних даних можна розпізнати, зіставити та відстежити.

Порушення принципу точності призводить до штрафів. Так румунська філія Raiffeisen Bank порушила принцип точності, коли обробляла недостовірні дані клієнтів. Розслідування розпочалося за скаргою заявника, який отримував текстові SMS-повідомлення про грошові перекази, які він не робив. Виявилося, що номер заявника помилково ввели в додаток банку, але GDPR вимагає, щоб дані регулярно актуалізувалися та перевірялися. Тому Raiffeisen Bank сплатив штраф у 2000 EUR.

 

Обмеження зберігання

Вам потрібно встановити термін зберігання персональних даних та обґрунтувати, що цей період необхідний для конкретних цілей.

За порушення вимог про розумні терміни зберігання іспанський банк сплатив 50 000 EUR. Особисті дані зберігалися протягом кількох років після того, як суб'єкт даних перестав бути клієнтом, і були доступні співробітникам банку.

 

Цілісність та конфіденційність

Ви повинні впроваджувати технічні рішення для захисту даних від несанкціонованого або незаконного оброблення, випадкової втрати, знищення або пошкодження.

Наведемо приклад. Компанія хоче перенести особисті відомості клієнтів з бази даних на сервер. Ризик полягає в тому, що доступ до сервера є у всіх співробітників, але обробляти дані потрібно лише одному відділу. Щоб регулювати доступ та зменшити ймовірні збитки від шкідливих програм, компанія може розділити мережу та встановити контроль доступу до сервера. Крім цього, можна впровадити моніторинг безпеки та встановити систему виявлення та запобігання вторгненням. Завдяки автоматизованій системі аудиту порушення правил обробки можна буде швидко і легко розпізнати.

За порушення принципу цілісності та конфіденційності американська компанія з онлайн-продажів квитків Ticketmaster отримала штраф на 1,4 млн EUR від Комісара за інформацією Сполученого Королівства. Ticketmaster використовувала недостатньо захищений чат-бот, за допомогою якого проводились онлайн-платежі. Це дозволило зловмиснику отримати доступ до фінансової інформації клієнтів. У вільному доступі опинилися імена, номери платіжних карток, дати закінчення терміну їхньої дії та номери підтвердження (CVV).
Ще один кейс стався із польською фінансовою компанією ID Finance. Під час перезапуску сервера було скинуто налаштування програмного забезпечення, яке відповідає за безпеку. Через це інформація про ім'я та прізвище, адресу, національність та сімейне становище 140 699 клієнтів стала загальнодоступною.

 

Підзвітність

Кожен крок роботи з персональними даними повинен детально описуватися в офіційних документах: політиках конфіденційності, угодах про захист даних, інструкціях про захист даних для співробітників та процедурах реагування та повідомлення про витік. Всі ці документи компанія повинна демонструвати органам нагляду для підтвердження відповідності GDPR. В іншому випадку можна отримати великі штрафи.

Наприклад, Danske Bank заплатив 1,3 млн. EUR за те, що не задокументував правила видалення та зберігання персональних даних у більш ніж 400 системах. Банк не зміг довести, що такі правила, які вимагаються за GDPR, будь-коли існували.

Які технічні та організаційні заходи безпеки має впровадити компанія, щоб відповідати GDPR?

Компанія зобов'язана реалізувати такі технічні та організаційні заходи для забезпечення високого рівня безпеки: 

  • псевдонімізація та шифрування;
  • забезпечення конфіденційності та цілісності, доступності та стійкості систем та сервісів обробки;
  • здатність оперативно відновити доступність даних;
  • регулярне тестування заходів безпеки.

 

Помилки безпеки можуть призводити як до мінімальних, так і до мільйонних штрафів.

Наприклад, маркетинговій компанії SC Interactions Marketing SRL довелося заплатити 1000 EUR штрафу за розсилку електронних листів із відкритим списком адресатів. Через це кожен одержувач листа мав несанкціонований доступ до адрес електронної пошти інших одержувачів. Компанія не вжила необхідних заходів для забезпечення конфіденційності персональних даних та порушила вимоги ст. 32 GDPR для безпеки обробки.
А ось Fortum Marketing and Sales довелося заплатити 1 млн. EUR. Під час внесення змін до ІТ-середовища компанії було створено додаткову клієнтську базу даних. Однак сервер, на якому зберігалася база, не мав достатніх заходів безпеки, через що стороннім особам вдалося отримати до неї доступ. Польське національне управління захисту даних виявило, що компанія не змогла зашифрувати дані клієнтів. Крім того, під час реалізації змін у системі агент обробки використовував реальні дані клієнтів, а не тестові.

 

Щоб забезпечити відповідність GDPR та підвищити безпеку даних, розгляньте можливість впровадження таких рішень кібербезпеки:

технічні та організаційні заходи безпеки за GDPR

Як пройти GDPR Compliance?

IT-юристи Stalirov&Co склали список дій щодо виконання вимог регламенту.

  1. Проведіть GDPR-аудит, щоб визначити, які персональні дані збирає компанія, на яких підставах і з якою метою. Це допоможе реалізувати принцип законності.
  2. Розробіть GDPR-документацію, як цього вимагає принцип підзвітності. Інтернет-магазинам, маркетплейсам, мобільним додаткам, Gamedev продуктам та іншим програмним рішенням, які збирають персональні дані користувачів в Інтернеті, знадобиться Політика конфіденційності. Компаніям із сфер фінансів, медицини, страхування, туризму, промисловості та інших галузей потрібно впроваджувати внутрішні угоди, політики та інструкції. Наприклад, Data protection agreement з підрядниками та співробітниками.
  3. Регулярно вносьте зміни до GDPR-документації, щоб клієнти отримували актуальну інформацію щодо обробки та зберігання їх даних. Оперативно оновлюйте відомості на запит суб'єктів даних. Це дозволить реалізувати принцип прозорості та точності.
  4. Розробіть графік зберігання даних, щоб не порушувати термін зберігання та виконати вимогу про видалення.
  5. Найміть у команду Data protection officer, який/а допоможе впровадити технічні та організаційні заходи безпеки, контролювати відповідність обробки регламенту GDPR для реалізації принципу цілісності та конфіденційності.

 

 

Меню статті

Публікації в ЗМІ зі схожою тематикою

04.04.2023
Коли IT-компанії потрібен GDPR аудит?
IT-юристи пояснили у чому полягає GDPR аудит, коли він потрібен і як провести GDPR аналіз
Перейти до джерела
23.02.2023
Аудит GDPR для вебсервісів: досвід GDPR адвоката
GDPR адвокат розповів про пункти, котрі повинні бути в Політиці конфіденційності вебсервісів
Перейти до джерела
24.12.2021
Коли діє GDPR в Україні?
Дія правил регламенту із захисту персональних даних поширюється на українські компанії у 3-х випадках. Про них розповідаємо у статті.
Перейти до джерела

Останні статті

Про контрольовані іноземні компанії (КІК) для IT-бізнесу простими словами
Про контрольовані іноземні компанії (КІК) для IT-бізнесу простими словами
18.09.23
Що таке КІК, яку звітність слід подавати та які податки сплачувати - розповідаємо у статті
Читати статтю

Кейси на тему статті

Всі кейси
Для повноцінної роботи вебсайту та покращення надання послуг ми використовуємо анонімні дані, надані файлами Cookies!
ОК
Передзвоніть мені IT-юрист зв'яжеться з вами
для обговорення деталей
Запит на розрахунок послуги IT-юрист зв'яжеться з вами
для обговорення деталей
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK