GDPR. Регламент щодо захисту даних в інтернеті.

З активним переміщенням реального життя в віртуальне середовище виникла необхідність переглянути і правила, за якими здійснюється обробка персональних даних. 25 травня 2018 року в силу вступили оновлені вимоги для всіх учасників онлайн процесу, які для своєї діяльності збирають особисті дані користувачів. Вони є обов'язковими для виконання всіма резидентами Європейського Союзу, а за невиконання передбачені досить жорсткі заходи. GDPR поширюються на компанії сфери торгівлі або надання послуг, незалежно від розмірів та сфери. Якщо бізнес працює зі збором даних резидентів ЄС, їх дотримання обов'язково, не залежно від того, де територіально знаходиться сама компанія.

Що таке GDPR

У зв'язку з високою активністю користувачів в мережі інтернет виникла серйозна необхідність захисту їх персональних параметрів від використання, збору і передачі третім особам без згоди самої людини. Для цього Європейським Союзом були розроблені вимоги, які регламентують процес збору даних і забезпечують приватність при використанні інтернет-ресурсів.

GDPR – абревіатура від англійського General Data Protection Regulation, що позначає Загальний регламент щодо захисту даних, який поширюється на всі 28 країн Європейського Союзу. Додержання їх обов'язкове, а штрафи за невиконання колосальні – до 20 млн. євро або до 4% від загального доходу компанії за рік. Таке покарання варто того, щоб розібратися у всіх положеннях регламенту і не порушувати його. Текст містить детальний опис процесу збору і обробки відомостей, а також – приписи для компаній про дії, які необхідно зробити при роботі з особистою інформацією відвідувачів сайту і клієнтів.

Дія документа поширюється на товари або послуги, які:

• адаптовані на місцеві мови країн ЄС;
• надаються на національних доменах верхнього рівня країн ЄС
• оплачуються в місцевій валюті

Також необхідно врахувати, що під дію регламенту потрапляє не тільки обробка даних, але і моніторинг поведінки суб'єктів, який включає:

• відстеження поведінкових факторів користувача в інтернет середовищі
• застосування різних способів збору інформації про поведінку або щодо відвідувачів сайту до чого-небудь (наприклад, аналіз переваг).

Європейський документ розрізняє такі поняття, як:

• data controller - контролер даних, який вирішує, що відбувається з даними і несе за це серйозну юридичну відповідальність;
• data processor – процесор даних, є «виконавцем» для контролера.

Подібні нюанси прописані в регламенті і дають розгорнуте пояснення до кожного поняття. Для компаній з представництвом в онлайн середовищі і обробкою даних резидентів ЄС вивчення та дотримання правил – обов'язкова умова ведення бізнесу.

Збереження даних в інтернеті

Перш, ніж говорити про особисту інформацію, необхідно розуміти, про що конкретно йде мова.

Персональні дані – будь-яка інформація про користувача, яка залишена суб'єктом в мережі інтернет. До такої належить:

• ім'я
• розташування
• IP-адреса
• гендерна приналежність
• вік

Сюди ж входять параметри фізичної, розумової, культурної, соціальної ідентичності, тобто, все те, що може скласти портрет особистості.

Існує і такий розряд особистих даних, як підвищено конфіденційні. Вони розкривають расові, політичні, релігійні, філософські переконання. Сюди ж відносяться біометричні складові, інформація про здоров'я, сексуальної орієнтації.

Отримання таких відомостей відстежується і контролюється з особливою ретельністю.

Збереження даних регулюється за допомогою 5 базових принципів документа:

1. Мінімізація даних

Збирати тільки те, що необхідно для цілей компанії

2. Законність і прозорість

Користувач повинен знати про те, що відомості про нього збираються, а також – для яких цілей це відбувається. Збір повинен здійснюватися в рамках закону.

3. Точність

У разі якщо інформація не відповідає реальності, вона повинна бути своєчасно виправлена, а користувачеві завжди відкритий доступ для внесення змін.

4. Зберігання

Зберігати їх необхідно в суворій конфіденційності і терміни, що не перевищують необхідні для досягнення цілей

5. Цілісність

Об'єкт, який здійснює збір, зобов'язаний забезпечити їм високий рівень захисту від зломів, пошкоджень і передачі третім особам.

Ці принципи є основою для роботи компаній і повинні виконуватися без винятків.

Вимоги приватності з збереження даних GDPR

Якщо говорити по конкретних пунктах документа, то слід обов'язково звернути увагу на головні моменти:

1. Встановлено чіткий опис, що саме відноситься до персональних даних. Тепер у них входить не тільки інформація по ідентифікації фізичної особи, але і параметри, які можна виділити за непрямими ознаками. Іншими, словами, перелік персональної інформації доповнився такими показниками, як Client ID і User ID, місце розташування та іншими параметрами, які побічно можуть описати особистість клієнта.
2. Прописані моменти, які регулюють збір інформації тільки в обсягах, необхідних для досягнення конкретних цілей компанії. Питання повинні бути коректними, а строки зберігання зведені до мінімуму.
3. Прописані права суб'єкта даних, в яких вони мають право запитувати підтвердження факту збору про них відомостей і мета, а також вимагати їх виправлення.
4. Дитячі відомості – особлива категорія захисту. Згоду на їх збір має бути авторизовані батьками, а віковий поріг – від 13 до 16 років, в залежності від конкретної країни.
5. Призначена відповідальність за порушення регламенту, яка обіцяє компаніям серйозні штрафні санкції.

Що конкретно змінилося при вступі регламенту в дію:

• зросла відповідальність компаній за збір, зберігання та обробку персональної інформації користувачів;
• розробка проекту починається з опрацювання того, які потрібні відомості та оформлення відповідного розділу і функціоналу майбутнього сайту з урахуванням вимог;
•  збір даних тепер не означає «чим більше, тим краще», бізнес стримано ставиться до питання, не стараючись з полями даних користувачів, якщо в них немає особливої необхідності;
• співробітники компанії обізнані про покарання за недотримання конфіденційності і ставляться до них з усвідомленою відповідальністю;
• збір інформації виведено на високий рівень з урахуванням сучасних тенденцій розвитку технологій.

GDPR по праву можна вважати першим серйозним документом такого масштабу, прийнятим для регулювання обміну даними в інтернет середовищі.

GDPR в Україні

Щоб зрозуміти, як документ вплине на внутрішній бізнес, слід пам'ятати, що регламент не прив'язаний до місця розташування самої компанії. Він регламентує обробку персональних даних резидентів Європейського Союзу. Якщо організація локальна, і на сайт не зайде жоден громадянин ЄС, теоретично, можна не хвилюватися про дотримання приписів. Але таких на нашому ринку не так і багато. Для повноцінного ведення бізнесу подбати про правильне впровадження GDPR все ж варто.

Це означає, що:

• компанія цінує своїх клієнтів і турбується про захист даних
• запитує дозвіл на обробку
• турбується про зберігання
• не запитує зайві відомості
• розміщує на своєму сайті всю необхідну інформацію про процедуру і користувач у будь-який час може з нею ознайомитися

Бізнес, який серйозно ставиться до цього питання, як правило, отримує не лише дані, але ще і лояльність, оскільки клієнт бачить ставлення до його персональних відомостей як важливих. Це ще один привід підвищити рівень безпеки інформації, як на рівні певного бізнесу, так і відношення до даного питання країни в цілому.

Щоб впровадити всі вимоги GDPR на свій сайт, необхідно опрацювати, як технічні нюанси, так і текст самої угоди для конкретного виду бізнесу.

Веб-студія «Kebeta.Agency» пропонує послуги по створенню і просуванню сайтів, у тому числі – і опрацювання всіх необхідних приписів даного регламенту. GDPR – не просто збірка правил, але і показник європейського ставлення і поваги до персональних даних користувачів. Звертайтеся, ми знаємо всі нюанси і допоможемо з реалізацією вимог документа на вашому ресурсі.