Як уникнути штрафів за порушення норм про захист персональних даних (GDPR) для ІТ-бізнесу?
Сьогодні розглянемо питання про те, що таке персональні дані, чому важливо регулювати їх обробку для ІТ-бізнесу та як уникнути штрафів за порушення?
Що таке персональні дані?
Персональні дані – це інформація про фізичну особу, за допомогою якої така фізична особа ідентифікована або може бути ідентифікована.
Отже, щоб дані можна було вважати персональними, вони повинні відповідати вимогам:
- це інформація виключно про людину (у більшості юрисдикцій та випадків – дані про живу людину);
- за допомогою цієї інформації можна ідентифікувати конкретну людину.
А тому не можуть бути персональними даними анонімні дані, дані про юридичних осіб чи вже померлих людей.
До найпоширеніших прикладів персональних даних можна віднести: ПІБ, дата народження, місце проживання, номер телефону, адреса електронної пошти, сторінки у соціальних мережах і так далі.
Що можна вважати обробкою персональних даних?
До способів обробки персональних даних можна віднести безліч процесів. По суті єдиним критерієм для того, аби дії з персональними даними вважались обробкою є те, що ця дія відбувається по відношенню до персональних даних.
Серед прикладів обробки персональних даних можна віднести: збирання, реєстрацію, накопичення, організацію, структурування, зберігання, адаптацію, зміну, поновлення, ознайомлення, використання, поширення, розкриття, передачу, реалізацію і так далі.
В різних юрисдикціях обробка персональних даних регулюється по-різному. До прикладу в Україні – це Закон України “Про захист персональних даних”, на території ЄС – Загальний регламент про захист даних (GDPR). Нормативне регулювання буде безпосередньо залежати від того, на території якої держави знаходиться суб’єкт персональних.
Примітка: Суб’єкт персональних даних – та фізична особа, персональні дані якої обробляються.
Контролер персональних даних – та особа, яка визначає які персональні дані будуть оброблятися, в якому обсязі, з якою метою, тощо.
Процесор – та особа, яка безпосередньо обробляє персональні дані за вказівкою контролера.
Оскільки законодавство України у питаннях обробки персональних даних поки є застарілим та неефективним, сьогодні зосередимо увагу на GDPR як одному з найвищих стандартів обробки персональних даних.
У яких випадках до обробки персональних даних застосовуються положення GDPR?
Якщо фізична особа, чиї дані обробляються, фізично знаходиться на території ЄС – така обробка автоматично підлягає регулюванню GDPR.
Отже, припустимо, українська ІТ-компанія, яка розробляє сайти. У вас є власний сайт, на якому є форма зворотного зв’язку: ви просити ввести в ній ім’я, прізвище, номер телефону, адресу електронної пошти. На ваш сайт заходить українець, який тимчасово перебуває у Польщі, до прикладу, залишає свої контакти, аби ви зв’язались з ним.
До вашої компанії тепер автоматично застосовуються вимоги GDPR, адже ваш потенційний клієнт знаходиться фізично на території ЄС.
Які наслідки порушення вимог GDPR?
Штрафи: Одні з найвищих у світі серед актів щодо захисту даних. До 10 млн євро або до 2% загального річного обороту (залежно від того, що більше) за менші порушення (наприклад, неповна документація, порушення зобов’язань контролера чи процесора).
До 20 млн євро або до 4% загального річного обороту (залежно від того, що більше) за серйозні порушення (відсутність належної згоди на обробку, ігнорування прав суб’єктів, порушення принципів обробки даних).
Можливе блокування діяльності: Органи захисту даних можуть тимчасово чи остаточно заборонити обробку даних.
Репутаційні ризики: Публічне повідомлення про порушення може суттєво підірвати довіру клієнтів і партнерів.
Судові позови: Потерпілі особи можуть подавати колективні чи індивідуальні позови про відшкодування збитків.
Як убезпечити свій бізнес від штрафів?
Крім технічних вимог до обробки даних (шифрування, обмеження доступу) є також ряд правових вимог:
Контролер персональних даних має забезпечити повідомлення суб’єктів персональних даних про те: як обробляються його персональні дані, в якому обсязі, з якою метою, хто має право доступу до даних і так далі.
Отже, аби забезпечити дотримання вимог GDPR потрібно мати:
- Privacy Policy. В якій повинен бути вичерпний перелік інформації про мету обробки, дані контролера, контактні дані DPO (офіцера із захисту персональних даних, якщо він у вас є), потенційних одержувачів даних, терміни зберігання та ін.
- Cookies Policy (це стосується сайтів, застосунків). Дана політика має чітко пояснювати, які файли cookie використовуються, їхню мету та строк дії.
Всі документи мають бути зрозумілими, без суто юридичних чи технічних термінів.
Крім цього для випадків, коли обробка ґрунтується на згоді, обов’язково слід забезпечити: явні дії користувача (галочка, натискання кнопки, підпис на окремому документі), право відкликати згоду у будь-який момент, що має бути реалізоване технічно.
Висновки.
Політика конфіденційності, політика використання файлів кукі є надзвичайно важливими документами для ІТ-сектору сьогодні. Наша команда надає послуги з розробки політик конфіденційності та інших необхідних документів для бізнесу, а тому буде рада вам допомогти з дотриманням норм про охорону персональних даних.
Якщо Вам необхідна юридична консультація - звертайтесь.