Останнім часом ми часто чуємо ці чотири літери чи не від кожного підприємця, який володіє бізнесом на території ЄС. Чи не щодня абревіатура GDPR згадується на сторінках інформаційних інтернет-видань та у новинних стрічках соцмереж. Протягом останніх тижнів користувачам з різних країн продовжують надходити листи на електронну пошту від різних сервісів зі сповіщеннями про оновлені угоди з користувачами, змінені у відповідності до GDPR. Ще більше про це говорять юристи, які шукають максимально ефективне та швидке вирішення даного питання. Та хвилюватись не потрібно — компанії по всьому світу оновлюють свої системи захисту та обробки персональних даних через новий регламент ЄС. Давайте детальніше розглянемо, що таке GDPR, кого це стосується та як працюватиме новий регламент надання послуг в інтернеті.
Що таке GDPR?
Загальний регламент захисту даних, або General Data Protection Regulation (GDPR) – це постанова Європейського Союзу, яка передбачає новий підхід до обробки та зберігання персональних даних. Регламент був прийнятий 27 квітня 2016 року. Після дворічного перехідного періоду з 25 травня 2018 року GDPR набув чинності у всіх 28 державах-членах ЄС та країнах Європейської економічної зони (ЄЕЗ). Він не вимагає від урядів країн ЄС ніяких змін в локальних законодавствах, тому що є обов'язковим до виконання.
Основна мета GDPR
Основна мета GDPR — створити міцну законодавчу базу із захисту приватності для всіх громадян ЄС. Він містить вимоги до тих, хто збирає, використовує та обробляє персональні дані у своїй роботі. Ось три основні положення, на яких базується GDPR:
- Захист персональних даних;
- Захист прав та свобод людей у намірі захистити свої дані;
- Обмеження перенесення персональних даних у межах ЄС.
Що таке «персональні дані» згідно з GDPR?
Персональні дані відповідно до вимог GDPR — це будь-яка інформація, за якою можна прямо або побічно для ідентифікації особи. Як зазначено в документі, це один або кілька чинників, характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності фізичної особи.
До персональних даних належать:
- ПІБ;
- номер телефону;
- адреса електронної пошти та проживання;
- номер банківського рахунку, банківської картки і строк її дії;
- відомості про національність;
- політичні або релігійні погляди;
- дані про групу крові;
- фото;
- біометричні та паспортні дані;
- ідентифікаційний код;
- підпис;
- інформація про рівень особистих доходів;
- поточне місце перебування;
- IP-адреса та ін.
Відмінні особливості GDPR: до кого застосовується, конфіденційнсть, порушення та штрафи
GDPR приходить на заміну директиві 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року. Регламент має кілька значних відмінностей:
Ширша юридична дія.
Насамперед, GDPR стосується всіх компаній, які обробляють дані громадян країн ЄС, незалежно від розташування самих компаній. Загалом, будь-яка організація, яка пропонує товари або послуги фізособам ЄС, проводить маркетингові дослідження та здійснює моніторинг поведінки громадян ЄС, підпадає під дію GDPR. Тобто, якщо у вашої компанії є хоча б один клієнт з Європейського Союзу, персональні дані якого ви зберігаєте, ви автоматично також потрапляєте під дію GDPR.
Крім того, нові правила регламенту поширюються також на звичайних користувачів, які користуються європейськими онлайн-сервісами або відвідують сайти, перебуваючи в одній з країн ЄС. Але якщо і компанія, і користувач знаходяться за межами ЄС, дія GDPR на них не розповсюджуються.
Конфіденційність в пріоритеті.
Відповідно до вимог GDPR, будь-яка компанія, послугами якої користуються громадяни країн ЄС, повинна застосувати засоби захисту даних із самого початку розробки онлайн-сервісів, а не як додатковий компонент.
Зокрема, користувач має знати, які конкретно персональні дані компанія зберігає, скільки часу ці дані зберігаються, кому вона їх передає та як вони використовуватимуться далі. За бажанням клієнта організація повинна надати всі ці відомості у відповідь на запит (протягом місяця або трьох в окремих випадках). Користувач також має право вимагати виправлення даних. Хоча великі компанії й до цього давали можливість переглянути персональні дані користувачів, які вони зберігають, але зараз ця інформація стане більш зрозумілою та добре структурованою.
Згода та відкликання згоди.
Згода на обробку персональних даних користувача тепер повинна бути чіткою та однозначною. Іншим важливим положенням GDPR є право в будь-який момент відкликати свою згоду на обробку персональних даних, що має назву «право на забуття.» Більше того, процедура відкликання згоди має бути така ж проста, як і процедура надання згоди.
Сповіщення про порушення та штрафи.
У випадку недотримання регламенту, компанія повинна виконати дії із вирішення цієї проблеми протягом 72 годин з того моменту, як було отримано та прочитано повідомлення від користувача про порушення вимог безпеки.
Важливо, щоб усі компанії, які потрапляють під дію регламенту, забезпечили належні заходи для захисту персональних даних. Дотримання вимог та правил GDPR досягається за рахунок суворих санкцій. Для порушників передбачені штрафи, що можуть складати до 2-4% річного обороту компанії.
Якщо ви запитаєте, чи варто зараз запровадити GDPR у вашій компанії, ми однозначно відповімо: «Так!» Цей закон з часом пошириться на інші держави за межами ЄС, тому краще проводити обробку персональних даних користувачів вже за новими стандартами. Реалізація GDPR є для бізнесу конкурентною перевагою, що дасть можливість підвищити рівень довіри до компанії. Для детальнішої інформації, ви можете ознайомитись з текстом GDPR тут.
Подбайте про ваших користувачів вже сьогодні. Рекомендуємо оновити політику конфіденційності вашої компанії, як це зробили ми. Згідно вимог GDPR, налаштуйте на сайті всі необхідні форми та запити користувачів, що передбачають обробку та використання їх персональних даних. А в цьому вам допоможуть розробники InternetDevels.