Європейський закон захисту даних (англ. General Data Protection Regulation) або як його скорочено називають GDPR почав діяти 25 травня. Регламент GDPR – т.зв. новий стандарт ЄС у сфері приватності, що на юридичному рівні буквально замінив собою європейську Директиву захисту інформації 1995 року, а фактично встановив новий формат дотримання права на приватність у світі. І хоча більшість інтернет-користувачів дізналися про GDPR саме після скандалу із витоком даних Facebook у справі Cambridge Analytica (ага, саме після цього масштабного протизаконного використання персональних даних про регламент активно почали говорити у медіа), документ приймався ще два роки тому. І сам по собі Регламент GDPR – це результат врегулювання питання приватності у процесі динамічного і постійного розвитку інформаційних технологій.
Приватність в епоху економіки даних
За останні роки в сучасній економіці дані, в т.ч. персональні, – ефективний економічний актив, грамотне використання якого приносить компаніям комерційний прибуток. Сайти, різні сервіси та додатки – усі вони використовують дані користувачів.
Дані стали гарним бізнесом та новим проактивним інструментом розвитку економіки, який формує нові ринки, робочі місця та, відповідно, власне потребують відповідного регулюватися на рівні законодавства. Минулого року у британському The Economist навіть вийшла редакційна стаття із заголовком “Найцінніший ресурс у світі – це вже не нафта, а дані”. Головною темою цього тексту тоді став наголос на потребу нового регулювання світової економіки даних та діяльності таких інтернет-гігантів як Google, Amazon, Apple, Facebook та Microsoft, вплив котрих постійно невпинно зростає.
Відверто кажучи, світові економічні процеси уже неможливі без щоденної роботи із персональними даними, тому прийняттям Регламенту GDPR Євросоюз фактично, по-перше, формує перші стандарти у цій сфері та, по-друге, відверто демонструє світу приклад як варто захищати приватну інформацію власних громадян. Метою GDPR, йдеться у документі, є забезпечення недоторканності приватного життя громадян ЄС та захист їхніх персональних даних від витоку та неправомірного використання. Отже, Регламент GDPR має зробити обробку персональних даних більш стандартизованою. Це, відповідно, вплине і на економіку галузі, а застосовуватиметься в першу чергу до онлайн-видань, банків, університетів, рекламно-технологічних компаній, в т.ч. тих, які використовують на веб-сайтах т.зв. cookies.
В цілому, дія документу стосується теж і ведення бізнесу з громадянами країн Євросоюзу та діє поза територією ЄС: його норми розповсюджується на всі компанії (в т.ч. неурядові) незалежно від місця їх реєстрації та роботи, які пропонують товари або послуги резидентам ЄС та/чи збирають і аналізують дані громадян Євросоюзу. Документом також передбачається, що контролювати виконанням GDPR будуть як національні органи країн-членів ЄС, так і окрема установа, що включатиме представників нацагентств та незалежної Європейської інспекції із захисту даних. Що важливо, за порушення положень Регламенту може нараховуватися штраф у 20 мільйонів євро або 4% річного бюджету за попередній рік. Такий штраф потенційно матиме і правові, і економічні наслідки для будь-якої компанії. Проте лякати драконівськими санкціями – точно не головна ціль документу. Йдеться саме про саме єдині стандарти роботи із такими даними.
В першу чергу, Регламент GDPR гарантує право на приватність на надає громадянам ЄС більше прав щодо того, як використовується їхня особиста інформація. “Зміни дадуть людям більше контролю над їх особистими даними та полегшать доступ до них”, – зазначила Єврокомісія в повідомленні про вступ документа в силу.
Втім, варто потроху приводити діяльність вашого бізнесу у відповідність до положень документу, навіть якщо ви поки не плануєте працювати із ринком ЄС. Це питання вже і ділової репутації у сучасному динамічному світі онлайн-технологій. Та й невдовзі подібні зміни можуть в перспективі торкнутися і вітчизняного Закону “Про захист персональних даних” (ми ж йдемо в Європу, отже, і закони мають бути європейські). На українському ринку, до речі, уже почали навіть з'являтися пропозиції відповідних підприємницьких послуг – аудит діяльності вашого бізнесу відповідно до норм GDPR, який включає в т.ч. і перелік процедур і технічних характеристик, які слід впровадити для відповідності вимогам Регламенту.
Кілька порад із використанням персональних даних по GDPR
Якщо для представників великого бізнесу приведення своєї діяльності до норм GDPR – не така вже складна та затратна річ (навіть це вимагає як юридичної роботи, так і певного технічного оснащення), то як діяти представникам малого та середнього бізнесу? Якщо ви власник невеликого сайту онлайн-комерції чи щотижня надсилаєте своїм потенційним клієнтам рекламні оголошення на електронні скриньки, то варто звернути увагу на Регламент GDPR. Пояснюємо у кількох кроках основи норми документу.
Крок 1. З'ясуйте, чи ваш бізнес використовує персональні дані
Перший крок – з'ясувати, чи взагалі має ваша власна справа стосунок до персональних даних. Український закон передбачає, що персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. В цілому, ж до категорії персональних даних можна віднести будь-яку інформацію, що має відношення до людини незалежно від того, чи пов’язана ця інформація з її особистим, професійним та суспільним життям: ім’я, домашня адреса, фотографії, адреса електронної пошти, банківські реквізити, повідомлення на сайтах соціальних мереж, медична інформація та IP-адреси комп’ютерів. І нагадуємо: у разі якщо компанія чи підприємець збирає і/чи обробляє персональні дані громадян ЄС, така діяльність підпадає під вимоги GDPR незалежно від свого розташування. Це про вас, якщо:
- серед клієнтів є громадяни Євросоюзу,
- клієнтська база компанії містить номери телефонів, електронні скриньки, адреси та ін.,
- хоча б один із продуктів чи послуг продається онлайн-покупку якого потенційно можуть зробити європейці,
- доступна версія вашого сайту мовою країни ЄС і
- навіть якщо ваші співробітники розсилають клієнтам e-mail’и.
Якщо для роботи вашої компанії підходить хоча б один із цих пунктів, то ви – у фокусі дії Регламенту GDPR (не переймайтеся, бо продаж виробів ручної роботи через Instagram – то вже інша справа). Facebook, Twitter, Viber, Linkedin, MailChimp, WhatsApp, новинні розсилки та сайти західних медіа – якщо ви як звичайний інтернет-користувач час від часу мали справу хоча б одним із цих ресурсів, то, певно, вже отримали сповіщення про оновлення політики безпеки використання ваших персональних даних. Інтернет-гіганти уже прийняли нові правила гри й поступового привели свою діяльність відповідно до норм Регламенту. Не варто забувати це й іншим компаніям на ринку.
Крок 2. Напишіть чи оновіть правила користування
Якщо ви нарешті з'ясували, що використовуєте персональні дані клієнтів, саме час створити (якщо досі не мали її раніше) чи оновити політику конфіденційності та правила користування вашого сайту, електронної розсилки тощо. І, звісно, обов'язково проінформуйте користувачів про збір їхніх даних. У положення політики конфіденційності юристи радять “не забувати повідомляти користувачам про те, що їх персональні дані можуть бути зібрані”, а також вказувати про цілі та способи збору даних, можливість відкликати згоду на збір даних, а також те, що відмова від збору зобов'язує відвідувачів негайно припинити використання вашого сайту чи потребу відписатися від вашої новинної розсилки. Те ж саме і про покупки онлайн, завантаження мобільних додатків на смартфон та ін.
Норми Регламенту GDPR передбачають, що компанії зобов’язані надавати чітку, зрозумілу й стислу інформацію про процес збору й використання персональних даних та пояснити, чому збирають дані, і як конкретно будуть ці дані використовуватися. Крім того, користувачі отримують право доступу до даних про себе, які зберігають компанії, і можуть їх редагувати. Також, попереджають правники, є сенс працювати також і над адаптацією внутрішніх процедур зберігання персональної інформації всередині компанії.
Крок 3. Отримайте згоду на обробку даних користувачів/клієнтів
Правила Регламенту передбачають, що згода на обробку даних користувачів/клієнтів має бути викладена простою, стислою і доступною для звичайного користувача мовою (без юридичних канцеляризмів). До прикладу, багато медійних сайтів для початкової сторінки сайту вже мають відповідне сповіщення такого типу: “Продовжуючи переглядати наш сайт, ви підтверджуєте, що ознайомилися з Правилами користування сайтом, і погоджуєтеся …” (в т.ч. і що файлів cookies, що регулюються іншим законодавством ЄС). Натискаючи “так” інтернет-користувач, таким чином, погоджується зі збором даних на сайті.
Якщо ж ви використовуєте дані для email-маркетингу, то варто було б в одній із таких розсилок сповістити її отримувачів цілі використання даних та можливість відписатися у разі незгоди.
Така згода, передбачає Регламент, має бути надана щодо кожної окремої мети обробки таких персональних даних (опрацювання замовлення в інтернет-магазині чи для маркетингу). Крім того, за Регламентом інтернет-користувачі мають широкий перелік прав, в т.ч. відкликати свою згоду на обробку персональної інформації. До прикладу, відмовитися отримувати надалі ту ж електронну розсилку від онлайн-магазину тощо.
Якщо спрощувати, в цілому законодавство вимагає, щоб компанія: 1) надала інформацію користувачу про характер і деталях використання його даних та 2) отримала від користувача згоду на їхній збір та обробку. Користувачі ж в цьому випадку мають право вимагати надання додаткової інформації (про цілі обробки, категорії персональних даних, їхніх одержувачів, терміни обробки), в т.ч. вимагати повністю видалити персональні дані або тимчасово обмежити їх використання (т.зв. право на забуття).
Проте це далеко неповний перелік правил, які містять норми Загального регламенту Європейського Союзу про захист даних. В документі не існує якогось єдиного підходу для всіх компаній (у кожної ж свої бізнес-процеси), тому конкретний алгоритм дій спеціально для вашої компаній зможе надати фаховий спеціаліст. І це, як мінімум, черговий привід звернутися до вашого юриста.