GDPR compliance: про що варто пам'ятати

14 / 05 / 2021

Що таке GDPR 

GDPR, а саме General Data Protection Regulation (укр. Загальний регламент про захист даних) можна вважати найкращим у світі набором правил щодо захисту даних, які спрощують доступ людей до інформації про них та обмежують зловживання їхніми персональними даними. Європейський парламент та Європейська Рада прийняли GDPR ще у квітні 2016 р. (набрав чинності навесні 2018 р.) на заміну Директиві про захист даних, як основний закон, що регулює процес захисту особистих даних громадян Євросоюзу. 

Остаточна редакція GDPR складається з 11 розділів, що містять 99 статей, та є результатом більш ніж чотирьох років обговорень і переговорів. 

Метою GDPR є створення єдиного узгодженого закону про захист даних для всіх членів ЄС. Важливо знати, що окрім членів ЄС будь-яка компанія, яка продає товари чи послуги резидентам ЄС, незалежно від її місцезнаходження, підпадає під дію цього регулювання. Таким чином, GDPR впливає на вимоги щодо захисту даних у всьому світі. 

До кого застосовується GDPR 

В основі GDPR – особисті дані. У цілому це інформація, яка дає змогу безпосередньо або опосередковано ідентифікувати живу людину з наявних даних. Це можуть бути як ім'я особи, дані про місцезнаходження, ім'я користувача в інтернеті, так і IP-адреси та ідентифікатори файлів cookiе. 

Також існує особлива категорія конфіденційних персональних даних, які отримують ще більший захист, – це персональні дані, що включають інформацію про расове чи етнічне походження, політичні погляди, релігійні переконання, членство в профспілках, генетичні та біометричні дані, інформація про здоров'я та дані про статеве життя або орієнтацію людини. 

Відповідно до Регламенту основними керуючими органами, що приймають рішення, є контролери, вони здійснюють загальний контроль за цілями й засобами обробки персональних даних. Також існують процесори, які діють від імені відповідного контролера. Вони не працюють з фізичними особами безпосередньо, а лише обробляють їх персональні дані за вказівками контролерів. Контролери мають жорсткіші зобов'язання згідно з GDPR, ніж процесори. 

Основні принципи GDPR 

Основними принципами GDPR є: 

  • законність, справедливість і прозорість – персональні дані має бути захищено від несанкціонованої або незаконної обробки, а також випадкової втрати, знищення або пошкодження. GDPR не визначає, як мають виглядати належні засоби безпеки, оскільки вони різні для кожної організації. Однак, загалом, слід запровадити належний контроль доступу до інформації, вебсайти має бути зашифровано, заохочується псевдонімізація. Заходи з кібербезпеки повинні відповідати розміру та використанню мережі й інформаційних систем; 
  • обмеження мети – ціль збору даних має бути вказана на початку збору даних і не виходити за необхідні межі; 
  • мінімізація даних – організації не повинні збирати від своїх користувачів особистої інформації більше, ніж їм потрібно. Наприклад, малоймовірно, що інтернет-магазину потрібно буде збирати інформацію про політичні думки людей під час реєстрації в списку розсилки електронної пошти продавця, щоб отримувати сповіщення про здійснення розпродажів; 
  • точність – персональна інформація має бути точною і відповідати вказаним цілям; 
  • обмеження зберігання – дані зберігаються не більше, ніж того потребує конкретна ціль збору такої інформації; 
  • цілісність і конфіденційність (безпека) – персональні дані мають бути захищені гарантіями безпеки від несанкціонованого доступу; 
  • підзвітність – є новим принципом GDPR. Його було додано задля гарантування того, що компанії можуть довести, що вони працюють відповідно до інших принципів. Контролер несе відповідальність за зберігання даних і повинен у будь-який момент продемонструвати дотримання відповідних правил безпеки. 

Це означає документування того, як обробляються особисті дані, та вживання певного переліку кроків для забезпечення цільового доступу до певної інформації. Підзвітність також включає навчання персоналу з питань захисту даних та регулярну оцінку й обробку даних. 

Принцип підзвітності також може мати вирішальне значення, якщо організацію досліджують щодо потенційного порушення одного з принципів GDPR. Наявність точних записів усіх існуючих систем, способу обробки інформації та вжитих заходів для попередження помилок допоможе організації довести регуляторним органам, що вона серйозно сприймає свої зобов'язання щодо GDPR.

Про знищення, втрату, зміну, несанкціоноване розкриття або доступ до даних людей слід повідомляти державному регулятору захисту даних. Це можуть бути фінансові втрати, порушення конфіденційності, вплив на репутацію тощо. Необхідно попередити наглядові органи про порушення даних через 72 години після того, як організація дізнається про це. Організація також повинна повідомити людину про наслідки порушення. 

Для компаній, які мають понад 250 працівників, потрібно мати відповідну документацію щодо того, чому збирають і обробляють інформацію людей, описи інформації, що зберігається, як довго її зберігають та описи заходів технічного захисту. 

Крім того, організації, які здійснюють регулярний і систематичний моніторинг осіб у великих масштабах або обробляють багато конфіденційних персональних даних, повинні наймати службовця з питань захисту даних (DPO). Чимало організацій, на які поширюється GDPR, повинні були наймати нового співробітника. На цій роботі особа має звітувати перед старшими співробітниками, стежити за дотриманням GDPR і бути контактною особою для працівників та клієнтів. 

Основними правами GDPR для фізичних осіб є: право бути поінформованим, право доступу, право на виправлення, право на видалення, право на обмеження обробки, право на перенесення даних, право на заперечення, право на автоматизоване прийняття рішень і профілювання. 

Розглянемо деякі з них. 

Доступ до ваших даних. Якщо ви хочете дізнатись, що компанія чи організація знає про вас, вам потрібен запит на предметний доступ (SAR). Раніше ці запити були платними, але зараз GDPR дає змогу безоплатно запитувати вашу інформацію. Ви не можете подати запит на чужу інформацію, хоча дехто – наприклад, адвокат – може подати запит від імені іншої особи. 

Коли особа робить SAR, вона має законне право на отримання підтвердження, що організація обробляє її персональні дані, копії цих персональних даних та будь-якої іншої додаткової інформації, яка стосується запиту. На запит потрібно відповісти протягом одного місяця. 

Окрім запитуваної інформації організація повинна надати докладну інформацію про те, чому вона обробляла особисту інформацію, як цю інформацію використовує та як довго вона повинна зберігатися. 

Чимало великих технологічних компаній мають власні портали передачі даних, з яких можна завантажити частину своєї інформації. Наприклад, Facebook дозволяє своїм користувачам завантажувати всі свої старі зображення та публікації. Twitter і Google також дозволяють отримувати доступ до інформації, пов'язаної з обліковими записами, без необхідності складати SAR. 

Автоматизована обробка, видалення та перенесення даних. Регламент надає особам право видаляти свої персональні дані за певних обставин, а саме тоді, коли це більше не є необхідним для початкової цілі збору, або якщо інформацію було незаконно оброблено. 

Що стосується перенесення, ідея полягає в тому, щоб створити можливість обмінюватися інформацією від однієї служби до іншої. Одним із найкращих прикладів обміну даними є можливість Facebook автоматично переносити ваші фотографії та дані в облікові записи інших програм під час реєстрації. Це було створено проектом передачі даних, який включає Apple, Google, Facebook, Twitter та Microsoft. 

Відповідальність за порушення GDRP 

Порівняно з колишньою Директивою про захист даних, у GDPR посилено покарання за невиконання вимог. Державні агенції мають більше повноважень, ніж у попередньому законодавстві, оскільки GDPR установлює стандарт для всіх компаній, які обробляють особисті дані громадян ЄС. Держслужбові агенти мають слідчі та виправні повноваження, можуть виносити попередження за недотримання вимог, проводити аудит для забезпечення відповідності, вимагати від компаній внести певні вдосконалення до встановлених термінів, замовляти видалення даних і забороняти компаніям передавати дані в інші країни. На контролерів і процесорів даних поширюються повноваження та штрафи. 

Штрафи визначаються виходячи з обставин у конкретному випадку. Для компаній, які не виконують певні вимоги GDPR, штрафи можуть становити від 2 % до 4 % від загального річного обороту. 

Згідно з дослідженнями компанії DLA Piper за останній рік:

  • штрафи GDPR зросли майже на 40 %;
  • штрафи згідно з GDPR склали майже 160 млн євро. 

Органи захисту даних зафіксували більш як 120000 повідомлень про порушення даних та отримали понад 2500 повідомлень про порушення даних. 

Найпоширенішим випадком кібербезпеки був фішинг. 

Зазвичай найпоширенішою причиною порушень даних була неправильна адреса електронної пошти. 

Найбільші штрафи за порушення положень GDPR:

  1. Google – 50 млн євро за недоліки в інформації користувачам у політиці згоди. 
  2. H&M – 35 млн євро за порушення принципу мінімізації даних, за обробку особистої інформації працівників щодо стану їх здоров'я. 
  3. Telecom Italia – 27,8 млн євро за звичайний спам. Мільйони людей були засипані рекламними дзвінками й небажаними повідомленнями. 
  4. British Airways – 22 млн євро за слабку безпеку. Хакери отримали доступ до персональної інформації 400000 клієнтів (платіжні картки, імена й адреси мандрівників). 
  5. Marriott – 20,4 млн євро також за порушення конфіденційності. 383 мільйони гостьових записів було розкрито після компрометації бази даних бронювання гостей. Інформація про клієнтів – імена гостей, адреси, номери паспортів та інформація про платіжні картки. 
  6. Телекомунікаційна компанія Wind – 17 млн євро. Виявилось, що мобільні додатки Wind вимагали від користувачів згоди на прямий маркетинг і відстеження місцезнаходження, а її ділові партнери здійснювали незаконні заходи зі збору даних. 
  7. Німецький роздрібний продавець електроніки notebooksbilliger.de (NBB) – 10,4 млн євро. Компанія використовувала камери відеоспостереження для спостереження за своїми працівниками та клієнтами. Було доведено, що моніторинг є втручанням у конфіденційність працівників і клієнтів. 
  8. Іспанський Caixabank – 6 млн євро за порушення вимог прозорості та використання приватних даних споживачів. 
  9. Медична страхова компанія Allgemeine Ortskrankenkasse (AOK) – 1,24 млн євро за використання особистої інформації своїх клієнтів, включаючи дані їх медичного страхування, для прямого маркетингу. 
  10. Телекомунікаційна компанія Iliad Italia – 800000 євро за незаконну обробку персональних даних своїх користувачів різними способами.