GDPR (General data protection regulation) – это Общий регламент защиты данных (далее – Регламент), который с 25 мая 2018 года будет регулировать сбор, унификацию и использование персональных данных в странах ЕС. Действие данного Регламента будет распространяться и на компании за пределами ЕС, поэтому предприятия, осуществляющие деятельность на территории Евросоюза или в процессе своей деятельности собирающие данные граждан ЕС, должны отвечать требованиям GDPR.
Соблюдение указанных правил имеет большое значение, в частности, для Saas-компаний, работающих с данными клиентов со всего мира. За нарушение Регламента компании придется заплатить до 20 млн евро или 4 % годового дохода.
К новым правилам готовы не все
GDPR регулирует работу с личными данными, хранящимися как на электронных носителях информации, так и в другом виде. Согласно нормам Регламента персональные данные – это все данные, касающиеся конкретного лица, по которым оно может быть идентифицировано (имя, IP, адрес электронной почты и т. п.).
Введение Регламента в действие создает очень неприятную ситуацию для компаний – ни у кого не имеется опыта внедрения его правил и норм. Крупные фирмы будут вынуждены нанимать команды юристов, а остальным придется тщательно изучать опыт и надеяться, что проверка соблюдения требований GDPR их обойдет.
Европейцы получат право не только на защиту данных, но и на работу с ними
Нормами GDPR предусматривается, что собирать персональную информацию можно лишь в случае, если пользователь дал явное и обоснованное согласие на это. Пользователю также должен быть предоставлен доступ к его персональных данных, которые он может удалить или получить в машиночитанном формате для передачи третьей стороне, например, в целях пересылки информации медицинской карты из одной больницы в другую.
Регламент делит всех, кто работает с данными, на контролеров, собирающих данные, и тех, кто эти данные обрабатывает. Saas-компании в осносном только обрабатывают информацию, но также обладают и некоторыми функциями контролера (например, собирают данные, регистрируя пользователей). Согласно GDPR, компаниям разрешается собирать и сохранять данные, являющиеся ключевыми для бизнеса, после рассмотрения интересов вовлеченных лиц.
Что делать, чтобы стать GDPR-совместимым?
1. Проинформируйте всех работников о нормах GDPR.
2. Работайте с информацией, имеющейся у вас, – пересмотрите потоки данных. Не стоит собирать ненужные данные, а устаревшую информацию лучше удалить. Ваши контрагенты также должны быть готовы к введению GDPR и отвечать положениям этого Регламента.
3. Обновите политику конфиденциальности – лучше, чтобы она была простой и понятной.
4. Убедитесь, что вы предоставляете возможность просматривать, менять и удалять данные. Когда пользователи удаляют свои данные, они также должны быть удалены у всех, кому вы их передавали или кто имел к ним доступ.
5. Выберите процедуру, в соответствии с которой компания будет реагировать на запросы пользователей по вопросам персональных данных.
6. Обоснуйте свою позицию относительно персональных данных: в политике конфиденциальности должно быть указано, какие данные собираются и для чего.
7. Вы должны получать от других четкое согласие на сбор информации. Фиксируйте, когда и при каких условиях это согласие было получено.
8. Запретите пользоваться своим сервисом детям из ЕС возрастом до 16 лет.
9. Определите процедуру, согласно которой информация о нарушении будет передана пользователям и соответствующим агентствам ЕС.
10. Защищайте данные от похищения.
11. Назначьте сотрудника, который будет заниматься защитой данных, предотвращая конфликты интересов.
12. Побеспокойтесь о потенциальной необходимости отвечать на запросы пользователей всеми официальными языками ЕС.
Пока вы обдумываете шаги на пути к GDPR-совместимости, можете разместить информацию на сайте о том, что ваша компания готовится или уже готова к нормам Общего регламента защиты данных, ведь до введения его в действие осталось менее трех месяцев.
