Internet-kompaniї ne lyše v JeS, ale j za mežamy Jevrosojuzu, gotujuťsja do vstupu v sylu Zagaľnogo reglamentu ščodo zahystu danyh. V oryginali cej dokument maje nazvu General Data Protection Regulation (GDPR). Vsi zminy počnuť dijaty z 25 travnja 2018 roku. Na časi rozibratysja dokladniše, ščo ce take i jak pracjuvatyme novyj reglament nadannja poslug v interneti.

Ščo take GDPR?

GDPR — ce po suti nabir novyh pravyl ščodo togo, jak možna (abo ne možna) obrobljaty personaľni dani klijentiv vašogo biznesu abo korystuvačiv vašogo sajtu. Stosujeťsja vin gromadjan iz JeS — a ot pošyrjujeťsja na usi sajty v sviti (naviť jakščo ci sajty znahodjaťsja za mežamy JeS, ale nymy korystujuťsja gromadjany Sojuzu). Oskiľky vidfiľtruvaty čy zablokuvaty dostup gromadjanam JeS u vas navrjad čy vyjde (jak i v buď-kogo iz vlasnykiv ta administratoriv internet-servisiv) — to GDPR stosujeťsja usih.

Čy stosujuťsja zminy lyše sajtiv?

Naspravdi, vse trohy skladniše. Personaľni dani — ce ne lyše fajly cookies, loginy čy paroli. Dani kredytnyh kartok v onlajn- ta oflajn-magazynah, anketni dani pry zaselenni do gotelju, pasportni dani v karšeringovomu čy prokatnomu servisi, rejestracijni dani v dodatku dlja onlajn-znajomstv — usi vony pidpadajuť pid vyznačennja danyh. Otže, naviť jakščo do vas zaselyvsja odyn turyst iz Nimeččyny abo na sajti ščoś kupyv meškaneć Poľšči — vam tež dovedeťsja optymizuvaty svoї poslugy ta sajty pid GDPR.

Možna skazaty, ščo ni — ale štrafy za porušennja tam sjagajuť €20 mln (čy do 4% vid oborotu). Jakščo u vas nemaje času j syl vyčytaty 99 statej ta 150+ punktiv preambuly — prosto povirte, ignoruvaty cej prypys ryzykovano dlja vašogo biznesu.

Jak zminy stosujuťsja vže čynnyh dokumentiv ščodo zahystu pryvatnyh danyh?

Nove zakonodavstvo vyhodyť na zaminu Dyrektyvy 1995 roku. Vyznačennja «personaľnyh danyh» pry ćomu suttjevo ne skorygovano. Prote z’javljajeťsja ponjattja «identyfikator». Vono vvodyť sukupnisť danyh, za dopomogoju sub’jekt danyh može buty identyfikovanyj. Sjudy vhodjať rizni vydy informaciї — vid imeni do geoinformacijnyh danyh.

Jak dije ponjattja «identyfikaciї» za umovamy GDPR?

Za novymy umovamy, dlja identyfikaciї paraleľno vykorystovuvatymuťsja poslugy 2 vydiv sub’jektiv. Same vony obrobljatymuť personaľni dani. Ce — kontrolery i procesory:

  • Kontroler (controller) — vyznačennja cilej ta zasobiv obrobky personaľnyh danyh.
  • Operator (processor) — zdijsnennja obrobky personaľnyh danyh vid imeni kontrolera.

Na prykladi ce vygljadaje tak:

  • forma zboru adres vid servisu rozsylok — ce instrument;
  • vaš sajt, na jakomu vy je administratorom, i de rozmiščeno formu — ce kontroljujuča osoba;
  • kompanija, jakij naležyť instrument zboru rozsylok, — ce operator zibranyh personaľnyh danyh korystuvača.

Ščo take zneosoblennja danyh ta jak vono pracjuvatyme z 25 travnja?

Nove zakonodavstvo JeS vymagaje bezposeredńo zneosobljuvaty dani, jaki vy zbyrajete ta zberigajete. Dyrektyva 1995 roku takyh žorstkyh vymog ne vysuvala. Teper treba pryznačaty vidpovidaľnu osobu. Usi kompaniї, jaki je kontroleramy abo operatoramy i perebuvajuť za mežamy JeS, majuť pryznačaty Data Protection Officer (DPO). Same DPO prytjaguvatymuť do vidpovidaľnosti v razi, jakščo kontroler porušuje vymogy GDPR. Prote ćogo «oficera» ne treba pryznačaty, jakščo obrobka danyh vedeťsja vašym biznesom epizodyčno čy v malyh obsjagah.

Jaki prava sub’jektiv personaľnyh danyh teper zafiksovano dokumentom?

Okrim prava «na zabuttja» ta «na zneosoblennja», zaprovadžene takož pravo na obmežennja obrobky danyh ta na zdatnisť perenosyty dani. Sub’jekt nadannja poslug maje pravo:

  • otrymaty kopiju svoїh personaľnyh danyh;
  • bezpereškodno perenesty svoї dani vid odnogo kontrolera do inšogo;
  • zberigaty svoї personaľni dani na osobystomu prystroї ta inše.

Jak zaprovadyty GDPR u vašij kompaniї čy organizaciї?

  • Podyvytysja, čy vaša kompanija pracjuje iz klijentamy / zamovnykamy / partneramy / korystuvačamy z JeS.
  • Jakščo tak — čas perehodyty do implementaciї zmin zgidno vymogam GDPR.
  • Ocinyty ryzyky vid nesvoječasnogo vykonannja zmin.
  • Skorystatysja instrumentamy, jaki dopomožuť u perehodi na novi umovy nadannja poslug.

Jaki instrumenty možna vykorystaty dlja perevirok ta povidomlennja svoїh klijentiv pro zminy v umovah internet-poslug?

  • GDPR u skoročenomu vygljadi ta perepysanyj normaľnymy zrozumilymy slovamy, a ne nagromadžennjam zaplutanyh jurydyčnyh terminiv — za posylannjam.
  • Mapy informaciї ta danyh — za їhńoju dopomogoju možna zbyraty dani z riznyh departamentiv organizaciї. Zibrani dani daduť vam ujavlennja pro te, jak obrobljajuťsja personaľni dani.
  • Rozpodil rolej miž kontrolerom ta operatorom — za šablonom.
  • Šablony dlja nadsylannja elektronnyh lystiv iz povidomlennjamy pro zminy dlja klijentiv ta korystuvačiv.
  • Čeklist na perevirku sumisnosti vašoї kompaniї iz vymogamy GDPR.