Максим Герасименко, Paralegal в Stron Legal Services
Війна змушує людей та бізнес пристосовуватись та шукати нові можливості. Значна кількість українців виїхала до країн ЄС, і бізнес рухається за своїми клієнтами. Виходячи на європейський ринок, більшості компаній потрібно переглянути свою політику обробки персональних даних клієнтів, щоб уникнути неприємностей у вигляді штрафів.
Що таке GDPR
GDPR – це набір правил, який складається з 99 статей та 173 пункти Преамбули, та за допомогою якого Європейський парламент, Рада Європейського союзу і Європейська комісія захищають персональні дані осіб, які є громадянами ЄС.
Ці правила регулюють процедуру збору, обробки, зберігання і розповсюдження персональних даних, а також дають визначення поняттю персональні дані.
Згідно з GDPR, будь-яка інформація, що дозволяє ідентифікувати конкретну особу, є персональними даними. Наприклад: імʼя та прізвище, електронна адреса, інформація про місцезнаходження людини, етнічність, стать, номер телефону і так далі.
Коли українські компанії підпадають під дію GDPR
Регламент стосується громадян ЄС — і поширюється на усі сайти в світі, навіть якщо ці сайти знаходяться за межами ЄС, але ними користуються громадяни ЄС.
Персональні дані — це не лише файли cookies, логіни чи паролі. Дані кредитних карток в онлайн- та офлайн-магазинах, фотографії, резюме, анкетні дані при заселенні до готелю, паспортні дані, реєстраційні дані — усі вони підпадають під визначення даних.
Отже, навіть якщо у вас оплачують онлайн товари клієнти з Польщі, або до вас звернувся за консультацією мешканець Чехії — вам доведеться налаштувати свої послуги та сайти під GDPR.
На що потрібно звернути увагу при виході на ринок ЄС
Щоб компанія відповідала регламенту GDPR, вона повинна дотримуватись наступних чотирьох правил:
Отримувати згоду на збір персональних даних та їх обробку
Обробляти персональні дані можна тільки за згодою суб’єктів цих даних. Обробка даних включає в себе: збір, зберігання, зміну, використання, поширення, знеособлення та знищення.
Форма згоди на обробку персональних даних має ряд встановлених вимог:
- повний опис того, на що особа дає згоду, і як надалі будуть використані її дані;
- велика частина форми і тексту повинні бути видимими;
- форму не можна пропустити і перейти далі, не надавши згоду;
- в базі даних потрібно зберігати інформацію про кожну згоду, з текстом згоди і датою підтвердження;
- після підтвердження в формі потрібно повідомити суб’єкта про те, як він в майбутньому зможе відкликати свою згоду.
Шифрувати дані з метою їнього захисту від поширення
Псевдонімізація – один із технічних і організаційних інструментів щодо забезпечення рівня безпеки, відповідного ризику. Вона передбачає зміну інформації таким чином, щоб персональні дані не могли бути віднесені до конкретного суб’єкта.
Досить розповсюдженою практикою є просте шифрування, ключі до дешифрування необхідно зберігати окремо. Тоді у разі витоку даних без ключа дані не можна буде ідентифікувати. А в разі втрати самого ключа – його можна просто змінити.
Документувати і зберігати усі дії по виконанню GDPR
Документувати перелік всіх заходів щодо захисту персональних даних можна у вигляді опису, чек-листа, бортового журналу і т.д. Це потрібно, щоб убезпечити себе або своїх клієнтів на випадок витоку інформації. Кращий спосіб довести виконання регламенту – мати документальне підтвердження всіх проведених заходів. Тоді у разі витоку інформації компанія може бути звільнена від адміністративних штрафів за порушення Регламенту, оскільки зробила все від неї залежне.
Призначити відповідального співробітника
Це рекомендація, виконання якої є обов’язковим не для всіх. Державні і деякі види приватних організацій повинні мати співробітника, відповідального за захист персональних даних – Data protection officers (DPO, або офіцер із захисту даних). Він повинен контролювати дотримання заходів безпеки, виступати консультантом з оцінки впливу на дані – Data Protection Impact Assessments (DPIA), і бути контактною особою для суб’єктів даних і наглядового органу.
Штрафи за порушення GDPR
Найбільш частими “жертвами” штрафних санкцій стають представники індустрії виробництва та продажу товарів, медіа-сервіси та публічний сектор освіти. З моменту вступу GDPR у дію, контролюючі органи активно почали виконувати свої функції та штрафувати порушників Регламенту. В 2021 році кількість штрафів варіювалася від 22 до 47 щомісяця.
Адміністративні заходи описані в статті 58 GDPR. Наприклад, вони передбачають винесення попереджень та доган компанії або наказ виконати запит суб’єкта даних. Штрафи за невиконання положень GDPR високі:
- за суттєві порушення — або 4% річного світового обороту, або до 20 млн євро;
- за інші порушення — або 2% від річного світового обороту, або до 10 млн євро.
Так, компанія Amazon отримала штраф в розмірі 746 мільйонів євро за недотримання принципів обробки даних, що призвело до data breach (витоку даних). WhatsApp був оштрафований на 225 мільйонів за неналежне виконання зобов’язань з інформування, Google — на 50 мільйонів доларів за недостатню правову базу для обробки даних.