Захист персональних даних та GDPR для бізнесу

Barbashyn Law Team Андрій Барбашин - юрист Barbashyn Law Firm
5 Липня, 2023 9 хв для читання
5 Липня, 2023 9 хв для читання

Кожного дня люди довіряють свої персональні дані (далі — ПД) третім особам. Вони роблять це коли реєструють акаунти в соціальних мережах, завантажують додатки в Google Play чи App Store, отримують дисконтну картку в сусідньому супермаркеті та навіть читаючи цю статтю ви можете передавати свої ПД. 

Збільшення кількості користувачів, інтернет-ресурсів та застарілі норми законодавства викликали необхідність розробити юридичні стандарти у сфері обробки та захисту персональних даних. Зокрема в ЄС було створено General Data Protection Regulation або GDPR, який на цей час вважають одним з найсуворіших законів про конфіденційність. Не дивлячись на те, що регламент розроблений в рамках ЄС він має “екстратериторіальний ефект”, оскільки поширюється на діяльність будь-яких компаній, які збирають або ж передають персональні дані користувачів в ЄС. 

Регламент покликаний зробити обробку персональних даних прозорою та зрозумілою для користувачів та дати їм більше контролю над тим як їхні особисті дані збираються, обробляються та захищаються. 

Варто відзначити, що IT компанії мають особливу роль у сфері обробки даних,  оскільки зазвичай виступають як обробники персональних даних.  Тож розберімося, які основні вимоги GDPR варто дотримуватись для того, щоб отримати довіру користувачів та уникнути штрафів.

Дотримуйтесь принципу законності 

Ви можете отримувати, обробляти та зберігати персональні дані тільки з конкретного визначених підстав визначених у GDPR. Збирати, обробляти та передавати ПД можна якщо:

🔹Присутня однозначна та інформована згода користувача на обробку персональних даних. Наприклад, користувач під час створення акаунт на сайті, поставив галочку навпроти повідомлення про те, що він ознайомлений з Політикою конфіденційності та Угодою користувача. 

🔹 Обробка необхідна для підготовки до укладення договору чи для його виконання. Наприклад, для того, щоб купити квитки на літак в додатку потрібно зазначити персональні дані, без цього покупка неможлива.

🔹Обробка даних треба для виконання юридичного зобов’язання. Таким юридичним зобов’язанням може бути виконання ухвали суду.

🔹Обробка даних потрібна для того, щоб врятувати життя. До прикладу, поліція може обробляти дані особи, яку викрадено, без її дозволу.

🔹Обробка даних необхідна для виконання завдання в суспільних інтересах. Проте тут варто дотримуватись балансу між суспільним інтересом та правом особи на приватність.  

🔹Є законний інтерес обробляти чиїсь персональні дані. 

Якщо ви не можете виправдати обробку персональних даних однією з цих підстав, то ви порушуєте норми GDPR і можете отримати штраф за таке порушення.

Застосовуйте технічні заходи захисту

Регламент надає контролерам та обробникам даних вибір, щодо видів та способів технічних й організаційних заходів та не містить конкретних вимог з цього питання. 

Окрім міжнародних стандартів (PCI DSS, TLS, SSL 256 біт GoDa, TrueBusiness ID, EV SSL), найпоширенішим прикладом технічних заходів є застосування двофакторної автентифікації в облікових записах користувачів та співробітників компанії або ж застосування наскрізного шифрування даних. 

Технічний аспект має велике значення захисту обробки персональних даних. Оскільки саме через слабку безпекову технічну систему зазвичай відбувається витік даних користувачів під час хакерських атак. 

Прикладом організаційних заходів може бути, обмеження доступу до особистих даних лише тим працівникам, яким вони потрібні для роботи. Так інформація про персональні дані працівників потрібна для роботи відділу кадрів.

Так, у 2022 році Ірландська комісія із захисту даних оштрафувала Meta на 17 мільйонів за порушення GDPR. Розслідування було розпочато після отримання 12 скарг від користувачів.

Під час перевірки комісія дійшла висновку, що Мета не «впровадила відповідних технічних та організаційних заходів», що дозволило б продемонструвати, що «системи безпеки, які вона використовувала» служили для захисту даних користувачів спільноти. 

Поважайте права користувачів

Регламент містить певний перелік таких прав. Розберемось з тими правами, які зазнають найбільше порушень.

Варто пам’ятати, що всі користувачі мають право:

🔹 бути поінформованим. Користувач має право знати з якою метою, як, ким, де будуть оброблятись його персональні дані чи будуть передаватись такі дані третім особам. Крім того, особа повинна мати доступ до цієї інформації постійно та отримувати її безперешкодно. Політика конфіденційності є найбільш зручним способом для того, щоб пояснити користувачам як, для чого та яким чином обробляються їх персональні дані. Якщо компанія має сайт, то вона може розмістити посилання на неї у нижній частині сайту.

🔹на доступ до даних. Так, за запитом користувача йому повинна бути надана інформація про те, які його дані обробляються, як і де вони обробляються і чи передаються вони третім особам. 

🔹на виправлення даних. У випадку, якщо дані користувача містять помилку або вони змінились (переїзд на нову адресу, зміна прізвища тощо), то він повинен мати можливість внести зміни самостійно або ж надати запит на зміну таких даних. 

🔹бути забутим. Тобто за запитом користувача компанія повинна видалити всі персональні дані пов’язані з його особою.

Минулого року іспанське агентство із захисту даних наклало на Google штраф в 10 мільйонів євро за порушення даного права. Регулятор виявив, що не дивлячись на вимогу користувачів видалити їх особисті дані, гугл передавав їх дані третій стороні.

🔹бути повідомленим про порушення. У разі порушення, що стосується обробки персональних даних компанія зобов’язана протягом 72-х годин повідомити про це користувачів, контролюючі органи та вжити всіх можливих заходів для його припинення та пом’якшення наслідків.

Така поведінка матиме позитивний вплив у випадку розслідування порушення агентством із захисту даних. Так, британський ІСО значно зменшив штраф  компанії Mariott, врахувавши вжитті нею заходи для пом’якшення наслідків порушення.

Передавайте інформацію третій стороні лише за згодою

У 2021 році агентство із захисту даних в Норвегії оштрафувало додаток для знайомств на понад 6 мільйонів євро, за надсилання персональних даних користувачів без згоди. Компанія передавала потенційним рекламним партнерам інформацію про вік, стать, IP-адреси, GPS-дані своїх користувачів без їх згоди.

Користувачі змушені були погодитись з Політикою конфіденційності додатка в цілому для того, щоб його використовувати та не мали змоги відмовитись від передачі їх даних третій стороні.

Для того, щоб уникнути такого порушення, компанія має повідомити користувачів, про те кому будуть доступні їх дані. Крім того, передача персональних даних третій стороні має здійснюватись лише за однозначної згоди користувача. Так, до прикладу під час реєстрації на сайті користувач може поставити галочку біля пункту про те, що він погоджується з рекламною розсилкою від партнерів компанії. Крім того, користувач повинен мати можливість в будь-який момент, безперешкодно відкликати свою згоду.

Використовуйте cookies з дотриманням вимог GDPR та e-PD

Використання cookies один з найпоширеніших способів збору та передачі персональних даних в мережі Інтернет. 

Варто відзначити, що GDPR не містить спеціальних правил застосування cookies, а лише класифікує їх як “онлайн-ідентифікатор”, який за певних обставин може вважатись персональними даними.

Питання використання cookies контролює Директива ЄС про електронну конфіденційність (e-PD), яку досить часто називають “закон про файли cookie”. Дана директива доповнює GDPR.

Відповідно до e-PD, організації повинні надавати користувачам чітку та вичерпну інформацію щодо обробки файлів cookie та отримувати інформовану згоду користувачів перед початком відстеженням їх взаємодії з сайтом за допомогою файлів cookie. Винятком є лише необхідні (обов’язкові) cookies без яких  сервіс не може коректно працювати та їх використання несе мінімальні ризики для користувача. Здебільшого вони стосуються технічних характеристик. До прикладу, сервіс для покупок за допомогою cookie зберігає інформацію про те, які товари ви зберегли в кошику.

Крім того, відповідно до e-PD користувач повинен мати можливість і право відмовитись від використання cookie так само легко, як і надав згоду. 

Саме правило, щодо отримання поінформованої згоди та можливості легко відмовитись від застосування cookies зазнає найчастішого порушення.

Так, у 2021 році Національна комісія із захисту даних Люксембургу оштрафувала Amazon на 746 мільйонів євро за те, що онлайн-продавець не отримував згоди від своїх користувачів перед збереженням рекламних файлів cookie. 

У тому ж  2021 році французький регулятор даних оштрафував Google LLC на 99 мільйонів євро та Фейсбук на 60 мільйонів євро за використання складного механізму відмови від використання необов’язкових cookies.

Проте хочемо відзначити, що невдовзі e-PD має бути замінена Регламентом про електронну конфіденційність (e-PR), який більше відповідатиме технологічним змінам у всій галузі, які відбулися за останні кілька років. Зокрема e-PR дозволить користувачам відмовитися від використання файлів cookie, керуючи налаштуваннями конфіденційності. Але, згода користувача не буде потрібна для «файлів cookie, які не порушують конфіденційність». Е-PR забезпечить захист від будь-якої форми небажаних електронних повідомлень, включаючи спам.

Висновок

Дотримання вимог GDPR важливе не лише для уникнення штрафів, а й для отримання довіри користувачів та юридичного захисту інтересів компанії.

У цій статті ми згадали лише деякі основні вимоги GDPR щодо обробки та захисту персональних даних. Проте, регламент є комплексним та “живим” документом, який постійно тлумачиться відповідно до викликів сьогодення. Для того, щоб обробка персональних даних ваших користувачів відповідала вимогам GDPR, варто врахувати всі його вимоги та постійно оновлювати правила обробки відповідно до тенденцій застосування GDPR.

Досягнення повної відповідності GDPR може здатись нереальним і таким, що лише ускладнює роботу. Проте компанії, які дотримуються Регламенту отримують і достатню кількість переваг. 

В першу чергу, застосування GDPR – це покращення репутації та довіра користувачів. Кількість новин про джерела даних в інтернеті, спонукає користувачів обирати ті компанії, які можуть забезпечити належний рівень захисту та обробки ПД. 

По-друге, дотримання GDPR дозволяє мінімізувати збір ПД, і як наслідок знизити витрати на їх обробку та захист. 

І по-третє, досягнення повної відповідності Регламенту, надає конкурентні переваги та розширення можливостей співпраці. Для прикладу, треті сторони (Google Ads, Google Analytics, Meta, App Store, Google Play) до початку співпраці перевіряють своїх клієнтів та партнерів та їхні продукти на відповідність GDPR.

Аби впевнитись в тому, що ваша компанія підпадає під сферу дії GDPR та відповідає його вимогам варто проконсультуватись з юристом. 

Поділитися

Ми використовуємо файли cookies для вдосконалення роботи сайту та покращення Вашого користувацького досвіду.

Більше інформації ви можете знайти в нашій Політиці конфіденційності