Регламент захисту даних GDPR і як просто його дотримуватися

Що таке GDPR простою мовою?

Згідно GDPR обов'язковими до виконання є вимоги:

• збирати персональні дані тільки за згодою суб'єкта;
• використовувати та обробляти їх відповідно до поставлених цілей;
• по досягнені цих цілей - дані знищувати;
• вилучати та знищувати дані за вимогою їх власника;
• забезпечувати безпеку зберігання даних;
• не поширювати дані без згоди суб'єкта.

Для того, щоб компанія відповідала регламенту GDPR у своїй діяльності, їй потрібно дотримуватись наступних правил:

1 – Отримувати згоду суб'єкта персональних даних на їх обробку

Обробляти персональні дані можна тільки за згодою суб'єктів цих даних. Обробка даних включає в себе: збір, зберігання, зміну, використання, поширення, знеособлення та знищення. GDPR допускає підтвердження згоди з допомогою будь-якого індикатора, що дає повну інформацію суб'єкту, "на що він погоджується". Якщо говорити простіше, вистачить  простої форми згоди на обробку даних "term of use". При цьому, згода має бути дана чіткою ствердною дією, що означає вільно надану, конкретну, інформовану і однозначну згоду суб'єкта персональних даних на їх обробку.

До форми згоди на обробку персональних даних є ряд встановлених вимог:

• максимально повний опис того, на що особа дає згоду, і як надалі будуть використані її дані;
• велика частина форми і тексту повинні бути видимими;
• форму не можна пропустити і перейти далі, не надавши згоду;
• в базі даних потрібно зберігати інформацію про кожну згоду, з текстом згоди і датою підтвердження;
• після підтвердження в формі, потрібно повідомити суб'єкта про те, як він в майбутньому зможе відкликати свою згоду;

Дотримуватися цього правила означає не лише отримати згоду, але і не порушувати її умов. Використовувати персональні дані тільки в рамках, описаних в формі згоди, і негайно видалити персональні дані після скасування згоди на їх обробку.

2 – Анонімізувати дані з метою їнього захисту від поширення

Згідно GDPR, немає конкретних вимог щодо ступеня, порядку і способу захисту даних – кожен має право вибирати сам. Найпопулярніші способи анонімізувати їх – шифрування або псевдонімізація, але розробники можуть самостійно вибрати необхідний набір заходів щодо захисту персональних даних. Головне - планований рівень захисту повинен відповідати рівню технічних можливостей компаній (state-of-the art).

Псевдонімізація – один з технічних і організаційних інструментів щодо забезпечення рівня безпеки, відповідного ризику. Вона передбачає зміну інформації таким чином, щоб персональні дані не могли бути віднесені до конкретного суб'єкта.

На практиці досить базу з персональними даними пропустити через просте шифрування, а ключі до дешифрування зберігати окремо. Тоді у разі витоку даних без ключа дані не можна буде ідентифікувати. А в разі витоку самого ключа – його можна просто змінити.

Або розділити базу і зберігати її в різних місцях. Так в одній базі буде один параметр, в іншій – другий і так далі, і всім присвоєно персональний номер. Таким чином, кожна база не буде містити персональні дані, і тільки для певних дій система буде з'єднувати ці дані між собою. Відділення імені від інших даних і заміна його іншим ідентифікатором також буде псевдонімізацією.

3 – Документувати і зберігати перелік усіх дій по виконанню GDPR

Документувати перелік всіх заходів щодо захисту персональних даних можна у вигляді опису, чек-листа, бортового журналу і т.д. Це потрібно, щоб убезпечити себе або своїх клієнтів на випадок витоку інформації. Кращий спосіб довести виконання регламенту – мати документальне підтвердження всіх проведених заходів. Тоді у разі витоку інформації компанія може бути звільнена від адміністративних штрафів за порушення Регламенту, оскільки зробила все від неї залежне.

4 – Призначити відповідального за захист даних співробітника

Це скоріше не правило, а рекомендація, виконання якої є обов'язковим не для всіх. Державні і деякі види приватних організацій повинні призначити співробітника, відповідального за захист персональних даних – Data protection officers (DPO, або просто офіцер із захисту даних). Офіцер повинен контролювати дотримання заходів безпеки, виступати консультантом з оцінки впливу на дані – Data Protection Impact Assessments (DPIA), і бути контактною особою для суб'єктів даних і наглядового органу.

Офіцером може бути призначений існуючий співробітник, або залучений ззовні - головне, щоб він був незалежним експертом в області захисту персональних даних.

Призначення офіцера обов'язкове для:

• всіх державних органів;
• компаній, чиї види діяльності вимагають масштабного, регулярного і систематичного моніторингу окремих осіб;
• компаній, чиї види діяльності складаються з великомасштабної обробки спеціальних категорій даних або даних, що належать до правопорушень.

І бажано для всіх інших з метою додаткового організаційного інструменту щодо захисту даних.

Дії при порушенні цілості даних

Згідно GDPR, у сфері захисту персональних даних є суб'єкт персональних даних, контролер, оператор, і дії при порушенні цілості даних у них будуть різними. Суб'єкт - це фізична особа, чиї персональні дані обробляються; контролер - власник бази, що визначає мету і засоби отримання персональної інформації, а оператор - той, хто працює з цією базою.

При витоку інформації необхідно вжити таких заходів:

• оператор зобов'язаний повідомити контролера про порушення без зволікання;
• контролер зобов'язаний повідомити наглядовий орган про порушення без зволікання, протягом 72х годин, якщо це можливо;
• контролер зобов'язаний повідомити про порушення суб'єктів персональних даних, якщо порушення може створити істотний ризик для їхніх прав і законних інтересів (за винятком випадків, коли контролер вжив заходів захисту, що роблять дані незрозумілими для особи, яка отримала їх – змінив ключ шифрування чи інше).

 Загалом, компанія, що дотримується правил GDPR:

Збирає персональні дані за згодою фізичної особи, під чіткі цілі, із зрозумілим описом, "що вона з ними буде робити", при цьому дає суб'єкту зрозумілий механізм, як відкликати згоду на обробку персональних даних, захищає від несанкціонованого поширення цих даних і видаляє їх по досягненню цілей використання. Для захисту даних використовує будь-який інструмент анонімізації і документує всі заходи з виконання GDPR, щоб захистити себе від можливих розглядів в майбутньому. У разі порушення схоронності даних вживає заходів із ліквідації витоку, якщо це можливо, і повідомляє контролера/наглядовий орган/суб'єкта персональних даних. А для того, щоб нічого не проґавити, можна звірятися з цим компактним керівництвом, і підтвердити свою відповідність стандарту ISO/IEC 29134 до:2017, пройшовши оцінку DPIA (Data Protection Impact Assessments).

Як виявилося, гучний Регламент не містить в собі нічого надскладного, і дотримуватися його рекомендацій не складе труднощів. А величезні штрафи не загрожують тим, хто сумлінно дотримуватиметься Регламенту і матиме цьому документальне підтвердження.

Ми в Evergreen дотримуємося рівня безпеки, що регламентується GDPR, і знаємо, що потрібно робити, щоб забезпечити цей рівень для своїх клієнтів.