Через тиждень, 25 травня 2018 року, в Європейському Союзі вступить в дію General Data Protection Regulation (Загальний регламент захисту даних). Скорочено: GDPR. Цей документ спрямований на те, щоб захистити по максимуму персональні дані громадян Євросоюзу. На порушників очікують страшні санкції.
А що нам до того?
Хоча GDPR запроваджують в ЄС, його дія поширюватиметься і за його межі — на всі країни, де мають справу з персональними даними європейців. І на Україну в тому числі.
Насамперед, нововведення зачепить соціальні мережі, великі інтернет-магазини, Saas- і туристичні компанії. Майже всі вони, мабуть, вже привели свою діяльність у відповідність до GDPR, позаяк мають потужні юридичні служби, які ретельно стежать за змінами у правовому полі. Проте, не залишаться поза увагою нового регуляторного акту і дрібні онлайн-крамниці, регіональні інтернет-медіа тощо. Далеко не всі вони усвідомлюють, що і їм також слід відповідати нормам Загального регламенту захисту даних.
Допустимо, навіть якщо йдеться про невеликий сайт львівської майстрині, на якому вона продає товари хенд-мейд і пересилає їх покупцям поштою в межах України, то й він може підпасти під дію GDPR.
Як?
А от так. На цьому умовному сайті, допустимо, як і на великій кількості інших, стоїть код для збору даних про відвідувачів та їх поведінку від Google Analitics. І от, якщо на сайт, хай навіть випадково, зайшов хто-небудь з ЄС, то Google Analitics обробить цей хост, а це вже сфера, яку регулює GDPR.
Або e-mail розсилка. Допустимо, на тому ж умовному інтернет-магазині з хенд-мейдом майстриня зі Львова пропонує відвідувачам підписатися на електронну розсилку з цікавою інформацією про рукоділля, акції та знижки. І от якщо серед підписників затесався бодай один з Євросоюзу, то, знову ж таки, треба подбати, щоб робота з даними цього одного підписника здійснювалась відповідно до Загального регламенту захисту даних.
Що буде, якщо «забити» на GDPR?
Штраф. І немалий: 20 млн євро або ж 4% від обороту компанії-порушника. Причому, при накладенні штрафу перевагу надаватимуть більшій сумі. Тобто, якщо, наприклад, у компанії оборот всього 1 млн євро, то штраф «вліплять» саме у розмірі 20 млн євро, а не 40 тис. євро.
Що робити?
Згідно з Загальним регламентом захисту даних, компанія з-за меж ЄС, якщо вона має справу з персональними даними громадян Євросоюзу, має відкрити представництво чи принаймні мати свого представника на території ЄС.
Окрім того, у документі прописано, що деяким компаніям доцільно ввести посаду Data Protection Officer (DPO), який би, зокрема, контролював дотримання заходів для захисту даних. Причому, не обов’язково на цю посаду брати окрему людину — ці обов’язки може виконувати один з існуючих співробітників. Порушення вимоги про призначення DPO може тягнути за собою відповідальність у вигляді штрафу до 10 млн євро або 2% від річного обігу компанії.
Отримані персональні дані громадян ЄС слід шифрувати, а ключ, який дозволяє їх розшифрувати, тримати у надійному місці. (У випадку, якщо трапиться витік даних, упродовж 72 годин сповістити про цю халепу Національний орган із захисту даних).
Збирати персональні дані громадян ЄС виключно в тому обсязі, який необхідний, і після того, як вони стануть непотрібні, видалити.
Перш ніж обробляти дані громадянина ЄС, необхідно його про це попередити і отримати від нього на це згоду, зрозумілою мовою пояснивши, з якою метою здійснюватиметься обробка його даних. (На сайті це може бути застереження про використання cookie).
У жодному разі персональні дані європейців без їхнього дозволу не можна передавати третім особам.
Слід передбачити механізм, який дозволить громадянину ЄС, за запитом, видалити усі дані про себе або ж вилучити їх.
Заборонити користуватись сайтом/сервісом дітям до 16 років. (Так, до речі, уже зробив Periscope — сервіс для трансляції потокового відео, сильно популярний серед українських школярів).
***
В принципі, фахівці стверджують, що не такий страшний GPDR, як здається на перший погляд. Бо і раніше українські компанії, якщо хотіли працювати на європейських ринках, змушені були враховувати тамтешні особливості щодо поводження з персональними даними. Проте, якщо раніше у кожної країни-члена ЄС були свої особливі правила, то тепер їх уніфікували і звели в один документ — Загальний регламент захисту даних.
Нижче подаємо посилання на публікації, в яких більш вичерпно розкривається тема GDPR-сумісності, піднята у цій статті:
– Нові вимоги ЄС до захисту персональних даних з травня 2018 року
– Регламент захисту даних GDPR і як просто його дотримуватися
– GDPR – нові виклики для обробників персональних даних в Україні
– Що таке GDPR і як бути українським Saas-компаніям (рос.м.)
– Через рік в ЄС зміняться правила щодо персональних даних: що треба знати ІТ-компаніям? (рос.м.)
– Регламент із захисту даних GDPR — наслідки для email маркетингу (рос.м.)
– Текст Загального регламенту захисту даних мовами країн ЄС
– Стисло про GDPR (інфографіка; англ. м.)