Що таке GDPR простою мовою?

Основне визначення свідчить: Загальний регламент щодо захисту даних (General Data Protection Regulation, GDPR) - це документ, за допомогою якого Європейський парламент, Рада Європейського союзу і Європейська комісія підсилюють і уніфікують захист персональних даних фізичних осіб в Європейському союзі. (с)
Якщо простіше - це правила регулювання процедури збору, обробки, зберігання і розповсюдження персональних даних. Їх основна мета - захистити особисті дані, згідно з правами людини.
Для початку, визначимо які конкретно дані є персональними, і захищаються цим Регламентом. Усі дані, за якими особа можна відразу ідентифікувати - вважаються персональними.
Наприклад, корпоративна пошта містить ім'я і прізвище - буде ставитися до персональних даних, а з будь-яким іншим змістом (info @ company) - немає; ім'я та номер телефону - персональні дані, телефон / адреса сам по собі - просто дані. Якщо з даних стає щось відомо про людину (його місце роботи, контакти та інше), то вони належать до персональних.

Відповідно GDPR обов'язкові до виконання вимоги:

  • збирати персональні дані тільки за згодою суб'єкта;
  • використовувати та обробляти їх відповідно до поставлених цілей;
  • по досягнені цих цілей - дані знищувати;
  • вилучати та знищувати дані за вимогою їх власника;
  • забезпечувати безпеку зберігання даних;
  • не поширювати дані без згоди суб'єкта.

Для того, щоб компанія відповідала регламенту GDPR в своїй діяльності, їй потрібно дотримуватись наступних правил:

1 – Отримувати згоду суб'єкта персональних даних на їх обробку

Обробляти персональні дані можна тільки за згодою суб'єктів цих даних. Обробка даних включає в себе: збір, зберігання, зміну, використання, поширення, знеособлення та знищення. GDPR допускає підтвердження згоди з допомогою будь-якого індикатора, що дає повну інформацію суб'єкту "на що він погоджується". Якщо говорити простіше: достатньо простої форми згоди на обробку даних "term of use". При цьому, згода має бути дана чітким ствердною дією, що означає вільно надане, конкретне, інформовану і однозначну згоду суб'єкта персональних даних на їх обробку.

До форми згоди на обробку персональних даних є ряд встановлених вимог:

  • максимально повний опис того, на що людина дає згоду, і як надалі будуть використані його дані;
  • велика частина форми і тексту повинні бути видимими;
  • форму не можна пропустити, і перейти далі, не надавши згоду;
  • в базі даних потрібно зберігати інформацію про кожну згоду, з текстом згоди і датою підтвердження;
  • після підтвердження в формі, потрібно повідомити суб'єкта про те, як він в майбутньому зможе відкликати свою згоду;

Дотримуватися цього правила – значить не тільки отримати згоду, але і не порушувати її умов. Використовувати персональні дані тільки в рамках, описаних в формі згоди, і негайно видалити персональні дані після скасування згоди на їх обробку.

2 – Анонімізувати дані, з метою їх захисту від поширення

Згідно GDPR, немає конкретних вимог щодо ступеня, порядку і способу захисту даних – кожен має право вибирати сам. Найпопулярніші способи анонімізувати їх – шифрування або псевдонімізація, але розробники можуть самостійно вибрати необхідний набір заходів щодо захисту персональних даних. Головне, планований рівень захисту повинен відповідати рівню технічних можливостей компаній (state-of-the art).

Псевдонімізація – один з технічних і організаційних інструментів щодо забезпечення рівня безпеки, відповідного ризику. Вона передбачає зміну інформації таким чином, щоб персональні дані не могли бути віднесені до конкретного суб'єкта.

На практиці досить базу з персональними даними пропустити через просте шифрування, а ключі до дешифрування зберігати окремо. Тоді, у разі витоку даних, без ключа дані не можна буде ідентифікувати. А в разі витоку самого ключа – його можна просто змінити.

Або розділити базу і зберігати її в різних місцях. Так в одній базі буде один параметр, в іншій – другий, і так далі, і всім присвоєно персональний номер. Таким чином, кожна база не буде містити персональні дані, і тільки для певних дій система буде з'єднувати ці дані між собою. Відділення імені від інших даних і заміна його іншим ідентифікатором також буде псевдонімізацією.

3 – Документувати і зберігати перелік усіх дій по виконанню GDPR

Документувати перелік всіх заходів щодо захисту персональних даних можна у вигляді опису, чек листа, бортового журналу і т.д. Це потрібно щоб убезпечити себе або своїх клієнтів на випадок витоку інформації. Кращий спосіб довести виконання регламенту – мати документальне підтвердження всіх проведених заходів. Тоді, у разі витоку інформації, компанія може бути звільнена від адміністративних штрафів за порушення Регламенту, так як зробила все від неї залежне.

4 – Призначити відповідального за захист даних співробітника

Це скоріше не правило, а рекомендація, виконання якої обов'язково не для всіх. Державні і деякі види приватних організацій повинні призначити співробітника відповідального за захист персональних даних – Data protection officers (DPO, або просто офіцер із захисту даних). Офіцер повинен контролювати дотримання заходів безпеки, виступати консультантом по оцінці впливу на дані – Data Protection Impact Assessments (DPIA), і бути контактною особою для суб'єктів даних і наглядового органу.

Офіцером може бути призначений існуючий співробітник, або залучений ззовні, головне, щоб він був незалежним експертом в області захисту персональних даних.

Призначення офіцера обов'язково для:

  • всіх державних органів;
  • компаній, чиї види діяльності вимагають масштабного, регулярного і систематичного моніторингу окремих осіб;
  • компаній, чиї види діяльності складаються з великомасштабної обробки спеціальних категорій даних або даних, що відносяться до правопорушень.

І бажано для всіх інших, з метою додаткового організаційного інструменту щодо захисту даних.

Дії при порушенні цілості даних

Згідно GDPR у сфері захисту персональних даних є суб'єкт персональних даних, контролер, оператор, і дії при порушенні цілості даних у них будуть різними. Суб'єкт - це фізична особа персональні дані якого обробляються, контролер - власник бази, що визначає мету і засоби отримання персональної інформації, а оператор - той, хто працює з цією базою.

При витоку інформації необхідно вжити таких заходів:

  • Оператор зобов'язаний повідомити контролера про порушення без зволікання;
  • Контролер зобов'язаний повідомити наглядовий орган про порушення без зволікання, протягом 72х годин, якщо це можливо;
  • Контролер зобов'язаний повідомити про порушення суб'єктів персональних даних, якщо порушення може створити істотний ризик для їх прав і законних інтересів (за винятком випадків, коли контролер вжив заходів захисту, що роблять дані незрозумілими для особи, яка отримала їх – змінив ключ шифрування чи інше).

 Загалом, та, що дотримується правил GDPR компанія:

Збирає персональні дані за згодою фізичної особи, під чіткі цілі, із зрозумілим описом "що вона з ними буде робити", при цьому дає суб'єкту зрозумілий механізм як відкликати згоду на обробку персональних даних, захищає від несанкціонованого поширення ці дані, і видаляє їх по досягненню цілей використання. Для захисту даних використовує будь-який інструмент анонімізації, і документує всі заходи по виконанню GDPR, щоб захистити себе від можливих розглядів в майбутньому. У разі порушення схоронності даних вживає заходів по ліквідації витоку, якщо це можливо, і повідомляє контролера/наглядовий орган/суб'єкта персональних даних. А для того, щоб нічого не прогавити, можна звірятися з цим компактним керівництвом, і підтвердити свою відповідність стандарту ISO/IEC 29134 до:2017, пройшовши оцінку DPIA (Data Protection Impact Assessments).

Як виявилося, гучний Регламент не несе в собі нічого надскладного, і дотримуватися його рекомендацій не складе труднощів. А величезні штрафи не загрожують тим, хто сумлінно дотримуватиметься Регламенту, і матиме цьому документальне підтвердження.

Ми в Evergreen дотримуємося рівня безпеки, що регламентується GDPR, і знаємо, що потрібно робити, щоб забезпечити цей рівень для своїх клієнтів.

25.04.2018
Рейтинг: 5 / 5 (4)