Що таке GDPR
GDPR, а саме General Data Protection Regulation (укр. Загальний регламент про захист даних) можна вважати найкращим у світі набором правил щодо захисту даних, які спрощують доступ людей до інформації про них та обмежують зловживання їхніми персональними даними. Європейський парламент та Європейська Рада прийняли GDPR ще у квітні 2016 р. (набрав чинності навесні 2018 р.) на заміну Директиві про захист даних, як основний закон, що регулює процес захисту особистих даних громадян Євросоюзу.
Остаточна редакція GDPR складається з 11 розділів, що містять 99 статей, та є результатом більш ніж чотирьох років обговорень і переговорів.
Метою GDPR є створення єдиного узгодженого закону про захист даних для всіх членів ЄС. Важливо знати, що окрім членів ЄС будь-яка компанія, яка продає товари чи послуги резидентам ЄС, незалежно від її місцезнаходження, підпадає під дію цього регулювання. Таким чином, GDPR впливає на вимоги щодо захисту даних у всьому світі.
До кого застосовується GDPR
В основі GDPR – особисті дані. У цілому це інформація, яка дає змогу безпосередньо або опосередковано ідентифікувати живу людину з наявних даних. Це можуть бути як ім'я особи, дані про місцезнаходження, ім'я користувача в інтернеті, так і IP-адреси та ідентифікатори файлів cookiе.
Також існує особлива категорія конфіденційних персональних даних, які отримують ще більший захист, – це персональні дані, що включають інформацію про расове чи етнічне походження, політичні погляди, релігійні переконання, членство в профспілках, генетичні та біометричні дані, інформація про здоров'я та дані про статеве життя або орієнтацію людини.
Відповідно до Регламенту основними керуючими органами, що приймають рішення, є контролери, вони здійснюють загальний контроль за цілями й засобами обробки персональних даних. Також існують процесори, які діють від імені відповідного контролера. Вони не працюють з фізичними особами безпосередньо, а лише обробляють їх персональні дані за вказівками контролерів. Контролери мають жорсткіші зобов'язання згідно з GDPR, ніж процесори.
Основні принципи GDPR
Основними принципами GDPR є:
Це означає документування того, як обробляються особисті дані, та вживання певного переліку кроків для забезпечення цільового доступу до певної інформації. Підзвітність також включає навчання персоналу з питань захисту даних та регулярну оцінку й обробку даних.
Принцип підзвітності також може мати вирішальне значення, якщо організацію досліджують щодо потенційного порушення одного з принципів GDPR. Наявність точних записів усіх існуючих систем, способу обробки інформації та вжитих заходів для попередження помилок допоможе організації довести регуляторним органам, що вона серйозно сприймає свої зобов'язання щодо GDPR.
Про знищення, втрату, зміну, несанкціоноване розкриття або доступ до даних людей слід повідомляти державному регулятору захисту даних. Це можуть бути фінансові втрати, порушення конфіденційності, вплив на репутацію тощо. Необхідно попередити наглядові органи про порушення даних через 72 години після того, як організація дізнається про це. Організація також повинна повідомити людину про наслідки порушення.
Для компаній, які мають понад 250 працівників, потрібно мати відповідну документацію щодо того, чому збирають і обробляють інформацію людей, описи інформації, що зберігається, як довго її зберігають та описи заходів технічного захисту.
Крім того, організації, які здійснюють регулярний і систематичний моніторинг осіб у великих масштабах або обробляють багато конфіденційних персональних даних, повинні наймати службовця з питань захисту даних (DPO). Чимало організацій, на які поширюється GDPR, повинні були наймати нового співробітника. На цій роботі особа має звітувати перед старшими співробітниками, стежити за дотриманням GDPR і бути контактною особою для працівників та клієнтів.
Основними правами GDPR для фізичних осіб є: право бути поінформованим, право доступу, право на виправлення, право на видалення, право на обмеження обробки, право на перенесення даних, право на заперечення, право на автоматизоване прийняття рішень і профілювання.
Розглянемо деякі з них.
Доступ до ваших даних. Якщо ви хочете дізнатись, що компанія чи організація знає про вас, вам потрібен запит на предметний доступ (SAR). Раніше ці запити були платними, але зараз GDPR дає змогу безоплатно запитувати вашу інформацію. Ви не можете подати запит на чужу інформацію, хоча дехто – наприклад, адвокат – може подати запит від імені іншої особи.
Коли особа робить SAR, вона має законне право на отримання підтвердження, що організація обробляє її персональні дані, копії цих персональних даних та будь-якої іншої додаткової інформації, яка стосується запиту. На запит потрібно відповісти протягом одного місяця.
Окрім запитуваної інформації організація повинна надати докладну інформацію про те, чому вона обробляла особисту інформацію, як цю інформацію використовує та як довго вона повинна зберігатися.
Чимало великих технологічних компаній мають власні портали передачі даних, з яких можна завантажити частину своєї інформації. Наприклад, Facebook дозволяє своїм користувачам завантажувати всі свої старі зображення та публікації. Twitter і Google також дозволяють отримувати доступ до інформації, пов'язаної з обліковими записами, без необхідності складати SAR.
Автоматизована обробка, видалення та перенесення даних. Регламент надає особам право видаляти свої персональні дані за певних обставин, а саме тоді, коли це більше не є необхідним для початкової цілі збору, або якщо інформацію було незаконно оброблено.
Що стосується перенесення, ідея полягає в тому, щоб створити можливість обмінюватися інформацією від однієї служби до іншої. Одним із найкращих прикладів обміну даними є можливість Facebook автоматично переносити ваші фотографії та дані в облікові записи інших програм під час реєстрації. Це було створено проектом передачі даних, який включає Apple, Google, Facebook, Twitter та Microsoft.
Відповідальність за порушення GDRP
Порівняно з колишньою Директивою про захист даних, у GDPR посилено покарання за невиконання вимог. Державні агенції мають більше повноважень, ніж у попередньому законодавстві, оскільки GDPR установлює стандарт для всіх компаній, які обробляють особисті дані громадян ЄС. Держслужбові агенти мають слідчі та виправні повноваження, можуть виносити попередження за недотримання вимог, проводити аудит для забезпечення відповідності, вимагати від компаній внести певні вдосконалення до встановлених термінів, замовляти видалення даних і забороняти компаніям передавати дані в інші країни. На контролерів і процесорів даних поширюються повноваження та штрафи.
Штрафи визначаються виходячи з обставин у конкретному випадку. Для компаній, які не виконують певні вимоги GDPR, штрафи можуть становити від 2 % до 4 % від загального річного обороту.
Згідно з дослідженнями компанії DLA Piper за останній рік:
Органи захисту даних зафіксували більш як 120000 повідомлень про порушення даних та отримали понад 2500 повідомлень про порушення даних.
Найпоширенішим випадком кібербезпеки був фішинг.
Зазвичай найпоширенішою причиною порушень даних була неправильна адреса електронної пошти.
Найбільші штрафи за порушення положень GDPR:
