10 ПОРАД ЩОДО АДАПТАЦІЇ БІЗНЕСУ ДО ЙОГО ВИМОГ


В Європейському союзі нові вимоги до обробки персональних даних, відомі як GDPR (General Data Protection Regulation), діють вже більше ніж пів року – з 25 травня 2018.
Водночас, бізнес в Україні вже почав змінювати методи обробки особистих даних. І головною причиною якраз є застосування нових європейських вимог до захисту персональних даних.
Адже, під Регламент потрапляють усі компанії, які працюють з персональними даними резидентів (а не громадян) ЄС. В той же час, тому, що до порушників застосовуються чималі штрафи: до 20 млн євро або 4% від річного світового обороту за попередній фінансовий рік (залежно від того, що більше).

Вже в січні 2019 року ми стали свідками застосування Регламенту в повному масштабі. Національна комісія інформатизації та свободи Франції (CNIL) наклала штраф у розмірі 50 млн євро на компанію Google. Причиною стала відсутність дійсного правового підґрунтя для обробки персональних даних користувачів, зокрема стосовно персоналізації реклами.

Google стверджує, що вона отримує згоду користувачів на обробку даних з метою персоналізації оголошень. Проте, комітет з питань обмежень CNIL вважає, що згода є достатньо загальною, так як користувачі не є достатньо поінформованими. Так, при реєстрації Google-аккаунту користувач має надати дві згоди, щоб дозволити користуватись своїми даними. Проте, GDPR передбачає, що згода є релевантною лише у випадку, якщо вона надається для чітко сформульованої мети, а не загальної обробки інформації.

Детально ознайомившись з кейсом Google, компаніям варто зробити висновки стосовно прозорості збору інформації, її обробки та надання максимально чітких умов для згоди користувачів.

Проте, для початку, необхідно чітко розуміти визначення «особиста інформація». Відповідно до Регламенту, особиста інформація – це будь-яка інформація, котра може бути використана з метою ідентифікації людини: ім’я, телефон, електронна адреса, фото, ІР-адреса тощо.

А тепер, власне, 10 порад.

1. Зберігайте всю інформацію про співробітників, клієнтів, постачальників структуровано та зі зручним інтерфейсом пошуку. У вік сучасних технологій існує велика кількість програм для зберігання і обліку інформації. Їх використання зручне з двох причин: ви зможете досить швидко задовольнити запит на пошук потрібної інформації; ви зможете продемонструвати структурований облік інформації, що зберігається, проходячи перевірку на відповідність GDPR.

2. Забезпечуйте надійний захист інформації. Звичайно, питання безпеки дуже глобальне і досить важко захистити себе від хакерських атак. Проте, важливо зробити все для попередження витоків даних. Наприклад, необхідно пересвідчитись, що антивірусні програми у вас ліцензійні та постійно оновлюються. Впевнитись, що ви зможете дистанційно вийти з усіх аккаунтів, щоб ніхто не зміг отримати доступ до внутрішньої інформації компанії у разі втрати робочого ноутбука. Прописати чіткий алгоритм дій у разі кризової ситуації – досить гарна ідея. Співробітники зможуть діяти централізовано, знатимуть як себе поводити. І навіть у випадку розслідування на відповідність захисту персональних даних, ви зможете продемонструвати, що зробили усі можливі кроки для максимального збереження інформації.

3. Зберігайте лише ту інформація, яка вам дійсно необхідна. Задля мінімізації ризиків краще не зберігати зайву інформацію, котра, можливо, колись знадобиться. Кожна одиниця інформації створює додатковий ризик для компанії у разі витоку. Тому краще оперувати лише необхідним масивом, а в майбутньому, якщо виникне потреба у розширені бази, надіслати запит користувачам, щоб отримати інформацію та згоду на її використання з новою метою.

4. Створіть максимально детальну нотифікацію, щоб повідомляти клієнтів стосовно того, яку інформацію і з якою метою ви зберігаєте. Чітких вимог стосовно її змісту немає, тому найкраще писати простою мовою, щоб людині, котра не так багато стикається з цим питанням, було зрозуміло.

При створенні інформативного оповіщення, спробуйте відповісти на такі питання:

– Яку інформацію ви зберігаєте?

– Хто збирає інформацію?

– Яким чином ця інформація збирається?

– Чому ця інформація збирається?

– Яким чином ця інформація буде використовуватись?

– Яким чином ця інформація буде розповсюджена?

– Яким чином це буде впливати на людину, котру ця інформація стосується?

5. Оптимізуйте процес надання інформації, що у вас зберігається, за запитом користувача-власника персональних даних. Відповідно до Регламенту, ви зобов’язані протягом 1 місяця надати всю інформацію безкоштовно.

6. Розробіть механізм видалення всіх особистих даних користувача за його запитом. Абсолютно всі дані будь-якої особи повинні мати опцію оперативного видалення з усіх можливих сховищ, документів, розсилок тощо. Цей процес має назву «право бути забутим».

7. Розробіть чітку та зрозумілу форму-підтвердження, щоб користувачі могли «активно» надати свою згоду. Активна згода на обробку персональних даних передбачає особисте встановлення відповідної помітки («галочки») у електронній формі або підписання документу (якщо згода надається не онлайн) для кожної окремої цілі.

8. Імплементуйте можливості швидкого припинення будь-яких повідомлень, що надходять від вашої компанії. Якщо ви створюєте розсилки інформаційних листів, смс, дайджестів, рекламних акцій – у вас має бути опція негайної відписки від ваших листів.

9. Доносьте основну інформацію про Регламент своїм співробітникам.Оскільки саме вони будуть оперувати даними користувачів, а внаслідок порушення – штрафуватиметься компанія. Крім цього, бажано назначити відповідальну особу за дотримання вимог, що були перераховані.

10. Перевіряйте бази даних при їх придбанні. Ви маєте пересвідчитись, що продавець правомірно зібрав інформацію, і всі, хто надав цю інформацію, активно погодились на це.

 

 

 

Автор: Євгенія Лугановська, Європейська бізнес асоціація, менеджер комітету інформаційних технологій

Джерело: https://ligazakon.net