GDPR для українських IT-компаній

З 25 травня 2018 року – в ЄС діють нові правила обробки персональних даних громадян. Компаніям, які займаються збором і обробкою персональної інформації, слід керуватися регламентом GDPR. Що це таке і які особливості цих законів – розповідаємо в матеріалі.

Що таке GDPR?

• General Data Protection Regulation або GDPR – це звід законів, що регламентують особливості збору та обробки особистої інформації користувачів інтернет. Мова йде тільки про користувачів - громадян ЄС
• Мета GDPR – повернути контроль громадян над персональними даними
• Регламент GDPR передбачає роботу з даними, які користувачі надали веб-ресурсу:
  • ПІБ, e-mail, телефон, стать
  • IP-адреса, з якого здійснено вхід на ресурс, місцеперебування

GDPR – це 99 статей, які регулюють відносини між тими, хто надає дані та кому вони надані.

Регламент передбачає введення нових термінів:

• контролери – організації, що збирають особисті дані;
• процесори – організації, які проводять обробку даних.

Згідно з регламентом, персональні дані використовуються тільки з метою, з якою вони збираються та не передаються третім особам. Терміни зберігання інформації зводяться до мінімуму. Користувач попереджений про збір та згоден з наданням інформації.

Кому потрібно впроваджувати GDPR

Впровадження GDPR потрібно:

• компаніям, у яких відкриті постійні або тимчасові представництва в ЄС;
• компанії, які збирають дані користувачів на території ЄС;
• компанії, які співпрацюють з організаціями, які вже впровадили GDPR.

Принципи впровадження GDPR

1. Законність та прозорість – інформація може бути отримана тільки законним шляхом;
2. Обмеження цілі - мета збору інформації повідомляється користувачеві спочатку і не може бути використана для інших завдань;
3. Мінімізація даних – не допускається збирання більшого масиву інформації, ніж того потребує мета;
4. Точність – некоректні та неточні дані видаляються або виправляються;
5. Обмеження зберігання – інформацію заборонено зберігати довше, ніж потрібно для обробки;
6. Конфіденційність та цілісність – особиста інформація користувачів захищена від витоку, втрати, передачі третім особам, розкриття;
7. Підзвітність – контролер несе відповідальність за дотримання норм GDPR.

Права користувача

Відповідно до GDPR, користувачі отримують право знати, з якою метою збирають особисті дані, отримують доступ і можливість виправити особисті дані, право очистити персональну інформацію, заблокувати обробку і використання персональної інформації.

Як обробляти дані згідно GDPR

Компанії, які переходять на норми GDPR, зобов'язані скорегувати політику збору і обробки інформації. На сайті впроваджується форма згоди користувача зі збором інформації, якщо користувач не підтверджує згоди – інформацію використовувати заборонено. Умови збору і мета збору прописується в умовах угоди з користувачем. Отримана інформація зберігається в особистому акаунті користувача, він може її коригувати. Платіжні дані користувача шифруються платіжним сервісом.

Наслідки невиконання регламенту

Невиконання норм GDPR призведе до серйозних штрафів для компаній – до 20 млн євро або 4% річного обороту бізнесу.

Замість висновку

Після скандалів з Cambridge Analytica, поява регламенту GDPR зрозуміла, про приклади застосування санкцій GDPR до європейських компаній ми розповімо в наступних матеріалах. Бажання захистити особисту інформацію актуальна для користувачів. Для IT-компаній правила регламенту обов'язкові, якщо ви працюєте зі споживачами в ЄС. GDPR комплаєнс підніме рівень довіри до вашої компанії та дозволить працювати з європейськими партнерами у їх правовому полі.