З 25 травня 2018 року – в ЄС діють нові правила обробки персональних даних громадян. Компаніям, які займаються збором і обробкою персональної інформації, слід керуватися регламентом GDPR. Що це таке і які особливості цих законів – розповідаємо в матеріалі.
Що таке GDPR?
- General Data Protection Regulation або GDPR – це звід законів, що регламентують особливості збору та обробки особистої інформації користувачів інтернет. Мова йде тільки про користувачів - громадян ЄС
- Мета GDPR – повернути контроль громадян над персональними даними
- Регламент GDPR передбачає роботу з даними, які користувачі надали веб-ресурсу:
- ПІБ, e-mail, телефон, стать
- IP-адреса, з якого здійснено вхід на ресурс, місцеперебування
GDPR – це 99 статей, які регулюють відносини між тими, хто надає дані та кому вони надані.
Регламент передбачає введення нових термінів:
- контролери – організації, що збирають особисті дані;
- процесори – організації, які проводять обробку даних.
Згідно з регламентом, персональні дані використовуються тільки з метою, з якою вони збираються та не передаються третім особам. Терміни зберігання інформації зводяться до мінімуму. Користувач попереджений про збір та згоден з наданням інформації.
Кому потрібно впроваджувати GDPR
Впровадження GDPR потрібно:
- компаніям, у яких відкриті постійні або тимчасові представництва в ЄС;
- компанії, які збирають дані користувачів на території ЄС;
- компанії, які співпрацюють з організаціями, які вже впровадили GDPR.
Принципи впровадження GDPR
- Законність та прозорість – інформація може бути отримана тільки законним шляхом;
- Обмеження цілі - мета збору інформації повідомляється користувачеві спочатку і не може бути використана для інших завдань;
- Мінімізація даних – не допускається збирання більшого масиву інформації, ніж того потребує мета;
- Точність – некоректні та неточні дані видаляються або виправляються;
- Обмеження зберігання – інформацію заборонено зберігати довше, ніж потрібно для обробки;
- Конфіденційність та цілісність – особиста інформація користувачів захищена від витоку, втрати, передачі третім особам, розкриття;
- Підзвітність – контролер несе відповідальність за дотримання норм GDPR.
Права користувача
Відповідно до GDPR, користувачі отримують право знати, з якою метою збирають особисті дані, отримують доступ і можливість виправити особисті дані, право очистити персональну інформацію, заблокувати обробку і використання персональної інформації.
Як обробляти дані згідно GDPR
Компанії, які переходять на норми GDPR, зобов'язані скорегувати політику збору і обробки інформації. На сайті впроваджується форма згоди користувача зі збором інформації, якщо користувач не підтверджує згоди – інформацію використовувати заборонено. Умови збору і мета збору прописується в умовах угоди з користувачем. Отримана інформація зберігається в особистому акаунті користувача, він може її коригувати. Платіжні дані користувача шифруються платіжним сервісом.
Наслідки невиконання регламенту
Невиконання норм GDPR призведе до серйозних штрафів для компаній – до 20 млн євро або 4% річного обороту бізнесу.
Замість висновку
Після скандалів з Cambridge Analytica, поява регламенту GDPR зрозуміла, про приклади застосування санкцій GDPR до європейських компаній ми розповімо в наступних матеріалах. Бажання захистити особисту інформацію актуальна для користувачів. Для IT-компаній правила регламенту обов'язкові, якщо ви працюєте зі споживачами в ЄС. GDPR комплаєнс підніме рівень довіри до вашої компанії та дозволить працювати з європейськими партнерами у їх правовому полі.
