GDPR в Украине: инструкция как подготовиться.

В этой статье мы опишем, как IT компании подготовится к новым правилам обработки персональных данных (GDPR).

Статья будет полезна аутсорсингу, продуктовым компаниям, SaaS и многим другим, кто работает с персональными данными европейцев. Напомним: персональные данные - это имена, электронные адреса, телефоны, cookie, ip - адреса, в общем, любая информация, позволяющая определить по ней конкретного человека.

Предыстория

General Data Protection Regulation - это новый европейский закон, начинающий работать с 25 мая 2018 года. GDPR вводит повышенные стандарты защиты персональных данных европейских граждан и распространяется на всех, кто каким-то способом работает с персональными данными европейцев.

Выбор

Допустим, есть одна IT компания «BamBook», она предоставляет сервис для бронирования столика в кафе, баре, ресторане или номера в отеле. Сервисом, в том числе пользуются компании-партнеры из Европы.

«BamBook» ознакомились с GDPR и поняли, что подпадают под его действие.

Компания должна выбирать: уйти с рынка Европы или начать готовится к GDPR; начать готовится к GDPR или оставить все как есть.

Оставлять Европейский рынок или ждать пока компанию оштрафуют, не самый лучший выбор, по - этому было принято решение готовиться к GDPR.

С чего начинать подготовку?

В начале, надо создать «карту» персональных данных. На «карте» будут обозначены, откуда берутся персональные данные (учетная запись пользователя, форма регистрации на сайте, регистрация через мобильное приложение и т.д.).

По «карте» можно будет отследить: где и как персональные данные хранятся, какие персональные данные берутся, кто имеет к ним доступ, как персональные данные могут передаваться.

Опишем кратко как будет выглядеть «карта» компании «BamBook»:

Наша компания собирает персональные данные на своем сайте при регистрации пользователей в системе. Мы получаем следующие сведения: имя и фамилию, контактные данные, платежные данные, имена гостей, которые были вместе с пользователем, даты заезда и выезда. Компания также собирает информацию с компьютера пользователя: ip - адрес, тип браузера, язык, местонахождение. Если у пользователя есть свой аккаунт, то сохраняется дополнительно еще история бронирования, фотографии, отзывы.

Далее после регистрации мы видим, что персональные данные хранятся на серверах компании, доступ к персональным данным имеют все сотрудники компании.

Персональные данные могут передаваться третьим лицам в нескольких случаях:

- данные передаются компаниям-партнерам, где бронируется место;

- данные передаются платежному сервису;

- данные передаются третьим лицам в маркетинговых целях.

Что должно быть на сайте для сбора персональных данных?

Первое и самое главное для сбора данных - это согласие человека на такой сбор и обработку. Согласно GDPR, согласие пользователя должно быть активное, то есть человек должен сделать действие или ряд действий, чтоб согласиться на передачу информации о себе.

Вторым по важности документом является политика обработки данных. Политика должна быть выражена простыми словами, понятными обывателю. В доступном виде необходимо сообщить, какие персональные данные собираются, цель обработки данных, кому данные передаются, как данные защищаются, как пользователь может контролировать данные, сколько информация о человеке хранится.

GDPR допускает Политику не только в виде текста, но и другом доступном для понимания формате: видео, изображения и т.д.

Документы компании «BamBook»:

Согласие на обработку персональных данных у компании было, но отметка о таком согласии проставлена по умолчанию, что является нарушением GDPR.

Политика конфиденциальности не соответствовала GDPR: она была очень длинная и запутанная, согласно политике данные могли передаваться третьим лицам без ограничений, в политике не было ни слова о защите данных или о доступе пользователя к ним.

Анализ и оценка рисков.

Следующим шагом по подготовке к GDPR является анализ и оценка рисков.

Оценке подлежат все участки работы, которые касаются персональных данных. Например: компания все персональные данные хранит на защищенном сервере - риск низкий, к персональным данным имеют доступ ограниченное количество людей - риск низкий, персональные данные не шифруются - риск высокий, поскольку в случае утечки данных пользователей они станут известны посторонним лицам.

Оценка рисков компании «BamBook»:

Наша компания выявила у себя следующие высокие риски:

- доступ к персональным данным имеют все сотрудники компании;

- третьи лица, которым мы передаем персональные данные в маркетинговых целях, не защищают эти данные на должном уровне;

- согласие на обработку персональных данных дается по-умолчанию;

- политика конфиденциальности не соответствовала GDPR.

Организационные и технические меры по защите данных

После того как риски выявлены и оценены компании можно составить комплекс мер для защиты данных.

Такие меры обычно разделяются на организационные и технические.

Организационные меры - это написание новой политики конфиденциальности, составление инструкций по работе с персональными данными для сотрудников, назначение ответственных лиц за работу с персональными данными и многое другое, заключение договоров с третьими лицами с обязательствами защиты данных.

К техническим мерам относятся шифрование, хранение данных в защищенных местах, создание резервных копий и т.д.

Что было проделано компанией «BamBook»:

- доступ к персональным данным был закрыт для общего пользования, были назначены специальные лица, имеющие необходимые допуски;

- с теми компаниями партнерами, что соответствовали GDPR, были перезаключены договора, которые обязывали не передавать персональные данные;

- согласие на обработку персональных данных сделали таким образом, что пользователь должен был сначала ознакомится с политикой конфиденциальности и лишь потом поставить отметку о согласии с ней;

- политика конфиденциальности полностью была изменена, сложные и длинные фразы были исключены и заменены на простые и доступные. Политику переписали со всеми требованиями GDPR.

Доказательство соответствия GDPR

Регламент по защите персональных данных говорит, что компания не только должна соответствовать новым правилам, но и уметь показать, что она это делает.

Это требование выполняется путем проведения аудита «Оценка воздействия на защиту данных» (DPIA) и составления отчета по нему.

В данном документе описываются все меры по защите данных, уже сделанные и которые будут предприниматься в будущем.

Наша компания «BamBook» составила DPIA, и он включал в себя: описание целей обработки данных; оценку необходимости и адекватности обработки, список лиц, имеющих доступ к данным, требования к защите данных, идентификацию и анализ рисков, процессы, обеспечивающие защиту персональных данных, будущие меры по защите информации.

Выводы

Подготовка к GDPR нужна каждой компании для работы с европейскими странами. Рано или поздно все компании, работающие с европейским рынком, будут соответствовать новым правилам защиты персональных данных. Начинать готовиться нужно уже сейчас.

Наша компания «BamBook» успешно сделала все шаги, чтоб соответствовать GDPR. Теперь она желанный бизнес-партнер и надежный сервис для своих пользователей. После вступления в силу GDPR пользователи стали очень придирчивы к защите персональных данных. «BamBook» сумела сохранить всех своих клиентов и приобрести еще и новых, поскольку вовремя подготовилась и сумела опередить конкурентов.

Если IT компания из Украины работает с персональными данными граждан Европы, то она должна соответствовать правилам GDPR.

Не выполнять требования нового закона - это отказ от европейских клиентов. За разглашение персональных данных или их утечку к компании могут быть применены штрафы.

Когда IT компания из Украины применяет GDPR, она выглядит выгоднее среди своих конкурентов, которые еще только изучают новый закон, такая компания становится безопаснее для своих клиентов.

Автор консультации: BRONA