Что такое GDPR и как быть украинским Saas-компаниям

GDPR регулирует работу с личными данными, хранящимися как на электронных носителях информации, так и в другом виде. Согласно нормам Регламента персональные данные – это все данные, касающиеся конкретного лица, по которым оно может быть идентифицировано (имя, IP, адрес электронной почты и т. п.).

Введение Регламента в действие создает очень неприятную ситуацию для компаний – ни у кого не имеется опыта внедрения его правил и норм. Крупные фирмы будут вынуждены нанимать команды юристов, а остальным придется тщательно изучать опыт и надеяться, что проверка соблюдения требований GDPR их обойдет.

Нормами GDPR предусматривается, что собирать персональную информацию можно лишь в случае, если пользователь дал явное и обоснованное согласие на это. Пользователю также должен быть предоставлен доступ к его персональных данных, которые он может удалить или получить в машиночитанном формате для передачи третьей стороне, например, в целях пересылки информации медицинской карты из одной больницы в другую.

Регламент делит всех, кто работает с данными, на контролеров, собирающих данные, и тех, кто эти данные обрабатывает. Saas-компании в осносном только обрабатывают информацию, но также обладают и некоторыми функциями контролера (например, собирают данные, регистрируя пользователей). Согласно GDPR, компаниям разрешается собирать и сохранять данные, являющиеся ключевыми для бизнеса, после рассмотрения интересов вовлеченных лиц.

1. Проинформируйте всех работников о нормах GDPR.

2. Работайте с информацией, имеющейся у вас, – пересмотрите потоки данных. Не стоит собирать ненужные данные, а устаревшую информацию лучше удалить. Ваши контрагенты также должны быть готовы к введению GDPR и отвечать положениям этого Регламента.

3. Обновите политику конфиденциальности – лучше, чтобы она была простой и понятной.

4. Убедитесь, что вы предоставляете возможность просматривать, менять и удалять данные. Когда пользователи удаляют свои данные, они также должны быть удалены у всех, кому вы их передавали или кто имел к ним доступ.

5. Выберите процедуру, в соответствии с которой компания будет реагировать на запросы пользователей по вопросам персональных данных.

6. Обоснуйте свою позицию относительно персональных данных: в политике конфиденциальности должно быть указано, какие данные собираются и для чего.

7. Вы должны получать от других четкое согласие на сбор информации. Фиксируйте, когда и при каких условиях это согласие было получено.

8. Запретите пользоваться своим сервисом детям из ЕС возрастом до 16 лет.

9. Определите процедуру, согласно которой информация о нарушении будет передана пользователям и соответствующим агентствам ЕС.

10. Защищайте данные от похищения.

11. Назначьте сотрудника, который будет заниматься защитой данных, предотвращая конфликты интересов.

12. Побеспокойтесь о потенциальной необходимости отвечать на запросы пользователей всеми официальными языками ЕС.

Пока вы обдумываете шаги на пути к GDPR-совместимости, можете разместить информацию на сайте о том, что ваша компания готовится или уже готова к нормам Общего регламента защиты данных, ведь до введения его в действие осталось менее трех месяцев.