click fraud detection

Коснётся ли GDPR Украину? Да. | Мы Поможем Стать GDPR Comliant‎ | Касьяненко и Партнеры

GDPR

Персональные данные под семью замками 

С 25 мая 2018 года в европейских странах вступил в силу новый закон General Data Protection Regulation (GDPR), который вводит повышенные стандарты защиты персональных данных европейских граждан.

Он распространяется на фирмы, работающие с личными данными европейцев, поэтому отдельным украинским компаниям (продуктовым, IT, SaaS и т.д.) и аутсорсингу предстоит подготовиться к новым правилам их обработки. О том, как перейти на новые стандарты, мы расскажем на примере IT-компании GlobTravel, оказывающей услуги бронирования номеров в гостиницах и залов для проведения бизнес-встреч, которыми в том числе пользуются европейские клиенты.

Истоки информации и “да” на обработку
Итак, первым делом компания должна составить «карту» личных сведений клиентов. Ими, кстати, считается все, что может привести к конкретному человеку (ФИО, e-mail, контактный номер телефона, ip – адрес, cookie и т.д.). Сама же «карта» будет отображать цепочку с момента, откуда были получены данные до того, где вся поступившая от пользователя информация хранится, кому доступна и кому она может передаваться.

Таким образом, компания GlobTravel будет фиксировать, что информация о клиентах поступает после их регистрации в системе. Фирма узнает ФИО клиента, город, контакты, данные платежных карт, дату бронирования/выезда, ip – адрес, историю бронирования и пр. Эта информация хранится на серверах GlobTravel и доступна для всех ее сотрудников. Передаваться она может, если сведения требуются компаниям-партнерам, где будет произведена бронь, платежному сервису и третьим лицам в целях маркетинга.

При этом, согласно GDPR, эта «карта» должна быть доступна клиенту и он лично должен дать разрешение на сбор информации о себе. Согласие, кстати, это отдельный документ (в виде текста, видео, изображения и т.д.), где просто для понимания изложено, какие конкретно данные о нем собираются, указана цель их обработки, кому они могут быть переданы, как защищены, могут ли быть удалены по обращению клиента и насколько долго сохраняется. Причем, разрешить сбор информации клиенту необходимо активно (подтвердить согласие рядом действий), а не дать соглашение по умолчанию, как это практикуется во многих компаниях, и до подготовки к GDPR было и в GlobTravel.

Минимизировать риски утечки
Следующий этап при подготовке к GDPR – это минимизация рисков утечки сведений о клиентах по всей цепочке, касающейся персональной информации, и принятие мер, чтобы степень защиты данных была высокой. Так, к примеру, в GlobTravel информация хранится на защищенном сервере – это низкий риск утечки. А то, что личное о клиенте не шифруются и доступ к нему есть у любого сотрудника компании – это высокий риск утечки информации. Поэтому компания озадачилась ограничением доступа к персональным данным и установлением узкого круга лиц, которым этот доступ будут открыт.

Также при детальном анализе рисков в GlobTravel оказалось, что фирма не гарантирует на надлежащем уровне защиту информации лицами, которым она передается в целях маркетинга. Чтобы повысить степень защиты фирма перезаключила договора с партнерами, и этому вопросу было уделено особое внимание. Также компании пришлось переписать политику конфиденциальности в соответствии с требованиями GDPR: сократить, упростить фразы, а также сделать так, чтобы подпись на обработку личной информации клиент ставил только после знакомства с политикой конфиденциальности.

Аудит не должен стать проблемой
То, что компания работает в соответствии с GDPR и защитила клиентскую информацию на должном уровне должно быть зафиксировано документально. Проверить выполнение требования с последующим отчетом может аудиторская проверка «Оценка воздействия на защиту данных» (DPIA). Таким образом, GlobTravel составили документ, в котором описаны предпринятые стратегии по защите информации о клиентах, и те, что планируется провести в будущем.

DPIA GlobTravel содержит такую информацию: с какой целью обрабатываются данные, резюме по необходимости и адекватности обработки, перечень лиц с доступом к сведениям, запросы к их хранению, анализ рисков и способы повышения степени защиты личной информации о клиенте, а также комплекс действий по ее защите, которые в ближайшем будущем планируют провести.

Готовиться к GDPR пора уже сегодня
Так, на примере одной компании мы описали, как фирмам, сотрудничающим со странами Европы, подготовиться к GDPR. По словам экспертов, другим фирмам, ориентированным, на европейцев, также стоит озадачиться подобной подготовкой. Преимуществ несколько – этот простой маневр приведет новых клиентов, так как это будет сигналом, что компания – надежный сервис, который заслуживает доверия, и одновременно сделает фирму привлекательным бизнес-партнером для других компаний.

Кроме того, благодаря соответствию GDPR, компания будет выгодно выглядеть на фоне конкурентов, так как, согласитесь, мало кому приятны, к примеру, звонки от незнакомых людей, из разговора с которыми становится понятно, что они откуда-то знают о вас больше, чем вам бы того хотелось.

Тем же фирмам, которые в силу разных причин не захотят работать в соответствии с GDPR, придется отказаться от европейских клиентов или же постоянно платить штрафы за нарушение закона.

Стоит ли бояться GDPR

Кажется, что главный вопрос, который мучает представителей постсоветских стран — «бояться или не бояться» данного положения. На самом же деле «страшным» является только то, что многие обсуждают эту тему именно в таком ключе.

Вам нечего бояться, если вы:

  • Не покупаете списки email адресов и не делаете холодных рассылок.
  • Открыто говорите о типах персональной информации, которую собираете, то есть предупреждаете посетителей сайта с помощью всплывающих окон о политике конфиденциальности (Privacy Policy), положении, описывающем все cookie-файлы (Use of Cookies, Navigational Information Statement). В этих документах человек сможет прочесть, какие именно персональные данные вы собираете, с какой целью, на какой срок, а также узнать о своих правах.
  • Не запрашиваете у пользователей ненужные для работы продукта или предоставления услуг данные.
  • Обеспечиваете должный уровень сохранности данных, то есть:стараетесь использовать шифрование чувствительных данных;
  • внимательно следите за тем, чтобы чувствительные данные не попадали в логи в чистом виде;
  • по возможности, ограничиваете доступ к продакшен-базе.
  • Предоставляете клиентам возможность «отписаться» от рассылок.

Еще одно заблуждение связано с тем, что главной целью GDPR является наложение административных штрафов на бизнес. При этом мало кто обращает внимание на то, что озвучив такие меры, GDPR вызвал переполох и заставил мировых лидеров (Google Inc.Hubspot Inc., Apple Inc.Amazon.com Inc.Atlassian Inc.) пересмотреть свои подходы к защите не только персональных данных, но и к обеспечению целостности и надежности хранения информации в целом.

Почему GDPR-ом интересуются не только в ЕС

Итак, давайте разберемся, кто же должен внедрять GDPR. Ознакомившись с текстом регламента, я пришла к выводу, что это должны быть компании, которые:

  • имеют постоянного представительства в ЕС;
  • не имеют постоянного представительства, но обрабатывают персональные данные людей (субъектов персональных данных), которые находятся в одной из стран ЕС и могут иметь гражданство другого государства;
  • сотрудничают с организациями, которые уже имплементировали GDPR и для сохранения своего статуса обязаны выбирать подрядчика по тому же принципу.

Очевидно, что такие условия помогут GDPR-у быстро и с легкостью распространиться далеко за пределы одного экономико-политического объединения. И, таким образом, вывести права человека на защиту персональных данных на новый уровень во всем мире.

С чего начать

Первое, что я советовал бы сделать, — все-таки прочитать положение и выделить главные моменты для своей организации. Во время изучения GDPR, мы обратили особое внимание на несколько пунктов:

  1. GDPR представил расширенную трактовку персональных данных, которая теперь включает в себя информацию, относящуюся не только к идентифицированному (identified) физическому лицу, но и к тому, которое можно идентифицировать по косвенным признакам (identifiable). Таким образом, концепция персональных данных дополнилась такой информацией, как Client ID и User ID (online identifier), месторасположением и другими факторами, которые имеют отношение к физическому, физиологическому, генетическому, экономическому, культурному и другим отождествлениям человека (личности). В общем этот пункт не вызвал особых проблем, а, скорее, внес ясность, которую мы постарались отразить в официальных документах компании (Privacy Policy, Navigational Information Statement).
  2. GDPR установил четкие требования к персональным данным. Они должны быть корректными, актуальными и собираться лишь в том количестве, которое необходимо для работы продукта, предоставления услуги, либо достижения любой другой цели, для которой они запрашивались. Также положение рекомендует сократить сроки хранения этой информации до минимума. Для этого стоит установить четкий временной промежуток, по истечении которого все данные будут пересматриваться (groomed) или удаляться. Этот вопрос вызвал немало споров внутри нашей компании, поскольку такой подход противоречил бытующему мнению, что любые данные — одинаково полезны. В результате мы пересмотрели объемы и сроки хранения персональной информации (а также сроки хранения логов, бекапов и информации в аналитических системах, Google Analytics) и отобразили эти изменения в политике хранения данных (Data Retention Policy).
  3. В регламенте есть интересная статья (№ 13, стр. 8), которая, если перевести дословно, говорит, что «регламент включает послабления относительно ведения учета для организаций с менее чем 250 сотрудниками». При этом каждое государство-член ЕС должно принимать необходимые меры по применению регламента на местах. В Польше, например, пытались использовать эту статью и освободить малый бизнес от необходимости соответствовать принципам GDPR, что прилежно обозначили в драфте польского Закона «О защите информации» (Data Protection Act, «DPA»). Но после многочисленных дебатов раздел убрали, а закон отправили на согласование.

Несмотря на существование этого пункта, я бы не советовал игнорировать тему GDPR только потому, что в вашей компании, скажем, 50 сотрудников. Напротив, лучше привлечь юристов, которые, изучив ваш конкретный случай, смогут дать дельный совет.

Касьяненко Дмитрий Леонидович

Адвокат, управляющий партнер Юридической компании "Касьяненко и партнеры". С 2002 года, Дмитрий Леонидович начал свой путь в юридической сфере, пройдя путь от ключевых позиций в бизнес-структурах до важных ролей в государственном секторе. Благодаря своему опыту, он стал известным специалистом в областях уголовного права, банковского и финансового права, хозяйственного и налогового права и процесса.

Подписаться
Уведомление о
0 Комментарий
Inline Feedbacks
View all comments