Играем по правилам GDPR: почему бизнесу надо беспокоиться о защите персональных данных
Дедалі частіше український бізнес прагне зацікавити громадян Євросоюзу своїм продуктом та вийти на ринки країн ЄС. Не секрет, що Євросоюз дуже жорстко стежить за дотриманням свого законодавства. Тому якісне виконання всіх вимог – необхідна умова для довготривалих зв’язків з європейськими клієнтами та схвального ставлення європейських регуляторів.
Одна зі сфер, що пронизує майже кожну галузь економіки, – захист персональних даних.
Ми підготували лайфхаки для українського бізнесу, що допоможуть якісно виконати вимоги ЄС у цій сфері та завоювати довіру вибагливого європейського споживача.
Захист персональних даних 2.0 — суворий GDPR
Уже майже три роки всі організації, які працюють із персональними даними громадян у Євросоюзі, мають дотримуватися норм Загального регламенту про захист даних (далі — GDPR/Регламент). Документ діє з травня 2018 року, а його вимоги стали одними з найсуворіших за останні майже чверть століття. Регламент встановив нові європейські стандарти у сфері приватності.
Ключова вимога GDPR – дати людям більше законодавчих механізмів контролю за власними персональними даними і збільшити відповідальність організацій за порушення цих вимог.
У перший рік дії регламенту контролюючі органи ЄС були відносно неактивними, коли йшлося про покарання за недотримання регламенту. Тому поступово занепокоєння бізнесу щодо жорсткості вимог дещо вщухли і склалося враження, що GDPR не такий уже ефективний і суворий.
Однак статистика свідчить: необхідність узгодити внутрішні процеси організацій з вимогами регламенту зберігає актуальність. Для прикладу, у 2018 році за порушення правил законодавства оштрафували всього 9 організацій. Натомість цьогоріч лише за перший квартал контролюючі органи країн ЄС притягнули до відповідальності близько 85 компаній.
За час дії GDPR загальна сума штрафів перевищила 270 млн євро. Більшою мірою ці стягнення стосуються великих компаній, таких як Google і Facebook, але багато малих і середніх бізнесів теж потрапили під санкції.
Порівняно зі старою Директивою 95/46/ЄС від 24 жовтня 1995 року, регламент ввів суттєві зміни в кількох аспектах сфери захисту приватності.
По-перше, європейське законодавство має екстратериторіальну дію – тобто вимоги регламенту поширюються на організації, що обробляють персональні дані осіб, які перебувають на території Євросоюзу. Навіть якщо вони зареєстровані за межами Євросоюзу, наприклад, в Україні.
По-друге, GDPR зобов'язав організації:
• визначати всі деталі щодо обробки персональних даних в окремому документі та регулярно його оновлювати;
• перевіряти постачальників послуг, які мають доступ до персональних даних організації та укладати з ними спеціальні угоди про обробку (DPA — data protection agreement);
• призначати відповідальну особу за захист персональних даних в організації (DPO — data protection officer);
• проводити оцінку впливу на захист персональних даних у встановлених випадках (DPIA — data protection impact assessment);
• повідомляти контролюючі органи і людей у разі витоку персональних даних.
По-третє, регламент посилив відповідальність за порушення його вимог. Зокрема, підвищив штрафи, які можуть накладати європейські наглядові органи та дозволив заборонити обробку даних, якщо процес не відповідає законодавству.
Інакше кажучи, наразі компанії, окрім репутаційних ризиків, можуть нести суттєві фінансові збитки і навіть отримати заборону на ведення бізнесу, якщо оброблятимуть дані всупереч вимогам.
Про помилки, яких припускаються бізнеси під час обробки персональних даних, та рекомендації, як уникнути фінансових санкцій на основі аналізу практики притягнення до відповідальності контролюючими органами ЄС, розповім далі.
Я веду бізнес в Україні: чи дійсно мені не варто хвилюватись?
GDPR поширюється навіть на компанії, розташовані за межами Євросоюзу, якщо вони співпрацюють із внутрішнім ринком однієї або кількох країн ЄС. Тож якщо ви ведете бізнес в Україні, але серед ваших клієнтів, користувачів чи партнерів, від яких ви отримуєте персональні дані, є такі, що перебувають на території Євросоюзу, то, найімовірніше, діяльність вашої компанії потрапляє під дію GDPR.
Ознаки, які підкажуть, що ваш бізнес має відповідати вимогам GDPR (цей перелік не є вичерпним):
• проведення маркетингової кампанії, спрямованої на людей, що проживають у країнах ЄС;
• використання мови чи валюти для оплати послуг/товарів однієї або більше країн ЄС;
• наявність контактної інформації, опублікованої для споживачів в країнах ЄС.
Тобто, якщо діяльність українського бізнесу полягає у пропозиції товарів або обслуговуванні осіб в ЄС, то GDPR застосовуватиметься до процесів обробки персональних даних таких компаній.
Наприклад, французькому регулятору CNIL вдалося притягнути до відповідальності за порушення численних вимог регламенту та прав користувачів з Євросоюзу компанію Google, розташовану у США. Згодом рішення французького регулятора підтримав Вищий адміністративний суд Франції. Справа була однією з найгучніших за перший рік дії GDPR, оскільки Google втратив 50 млн євро. Згідно з рішенням CNIL, Google не зовсім чітко і вичерпно повідомляв своїх користувачів про деталі обробки персональних даних.
Політика конфіденційності — персональна конституція вашої компанії
55 000 євро — штраф на таку суму отримала австрійська клініка за порушення кількох вимог GDPR. З'ясувалося, що політика конфіденційності медустанови була недостатньо прозорою. Пацієнтам надали неповну інформацію про деталі обробки, зокрема бракувало контактних даних відповідальної особи з питань захисту персональних даних, а також чітко визначених підстав для використання особистої інформації.
Рекомендації
1. Прозорість — одна з головних вимог GDPR. Обов'язково повідомляйте людей про мету, підстави, строки обробки їхніх персональних даних, а також їхні права.
2. Інформація має бути викладена чітко, доступно та легко шукатися, а не приховуватися від людини десь глибоко в налаштуваннях сайту.
3. Керуйтеся першоджерелами, у статтях 13 і 14 GDPR є вся інформація, яку потрібно знати людям, чиї дані ви використовуєте.
Персональні дані мають термін зберігання, не тримайте їх "про всяк випадок"
У 2018 році данський наглядовий орган вирішив перевірити бізнес на дотримання вимог щодо захисту персональних даних і провів незаплановані аудити.
Порушення виявили в сервісі таксі. Під час перевірки з'ясувалося, що компанія незаконно зберігала у своїх системах більше 8 млн записів щодо поїздок. Там були номери телефонів та маршрути клієнтів за останні 5 років. Попри те, що імена замовників видалялися через 2 роки з моменту поїздки, дані були не повністю анонімізовані. А це порушувало один з головних принципів GDPR — обмеження на зберігання (storage limitation).
Як наслідок, данський регулятор звернувся до поліції і порекомендував накласти 160 000 євро штрафу (у Данії адміністративні штрафи щодо порушень вимог захисту персональних даних можуть накладати лише правоохоронці за відповідною рекомендацією наглядового органу).
Рекомендації
1. Визначте та запишіть цілі обробки і терміни зберігання для різних категорій персональних даних.
2. Зберігайте персональну інформацію не довше, ніж вимагає мета її обробки.
3. Регулярно видаляйте персональні дані або робіть їх анонімними, якщо вони ще потрібні.
Укладайте договори про обробку з постачальниками
Нещодавно польський регулятор оштрафував Національну школу судочинства і прокуратури на 22 000 євро за кілька порушень. Виявилося, що в договорі про обробку персональних даних з постачальником тренінгової онлайн-платформи бракувало кількох обов'язкових положень, а рівень захисту інформації в цій ІТ-системі був недостатнім.
Рекомендації
1. Визначте підрядників, які надають послуги вашій організації і мають доступ до ваших персональних даних або ваших клієнтів.
2. Впевніться, що такі постачальники послуг належним чином забезпечують захист приватності.
3. Укладіть з кожним із них угоди про обробку персональних даних та переконайтеся, що угода містить всі положення статті 28 GDPR.
Які ще вимоги існують і як вашому бізнесу їх дотримуватися?
Вище були окреслені лише декілька правил, які встановлює регламент для організацій, що працюють з персональними даними. Насправді список вимог набагато довший. Більше того, вони не завжди зрозумілі компаніям, які хочуть відповідати законодавству.
Для того, щоб українському бізнесу було легше в них розібратися, Мінцифра спільно з партнерами запустили toolkit. Цей інструмент допоможе організаціям перевірити себе на дотримання вимог приватності. Залежно від ролі організації (контролер чи процесор) та законодавства, яке поширюється на неї, сервіс пропонує на вибір один із 4 тестів. Питання сформовані на основі українського законодавства у сфері захисту персональних даних та GDPR за аналогією з інструментом, який розроблявся британським регулятором ІСО.
Тест допоможе:
• зекономити час на дослідження законодавства, зокрема й українського, та дізнатись, чи ваш бізнес відповідає його вимогам;
• отримати конкретні рекомендації, як поліпшити систему саме вашої організації;
• уникнути штрафів за порушення GDPR.
Як це зробити:
1. зайдіть на платформу Дія.Бізнес;
2. оберіть тест відповідно до параметрів вашої компанії;
3. дайте відповіді на запитання стосовно захисту приватності;
4. отримайте набір підказок, як удосконалити діяльність вашого бізнесу у сфері персональних даних.
Toolkit буде корисним представникам малого та середнього бізнесу, а також юридичним радникам компаній. Тест можна пройти анонімно, а можна авторизуватися і зберегти результати в особистий кабінет, щоб потім до них повернутися.
Дотримання законодавства, зокрема й європейського, є надважливим, якщо ви хочете будувати міцну та довгострокову співпрацю з клієнтами, бізнес-партнерами та державою.
Безвідповідальне ставлення до захисту приватності може вкрай негативно позначитись на репутації організації, потягнути за собою фінансові витрати та знизити її конкурентоспроможність на ринку.
Пам'ятайте, що репутація – цінна та крихка річ. Тому увага до приватності допоможе зберегти повагу клієнтів і заощадити гроші.