Гайд по GDPR: що це таке і як підготуватися, щоб не порушувати вимоги
GDPR, або Загальний регламент ЄС із захисту даних, суттєво змінив підхід до використання та обробки конфіденційних даних. Регламент набув чинності 25 травня 2018 року, однак регулятори надали організаціям дворічний пільговий період для переходу та адаптації.
Незважаючи на те, що GDPR впроваджений на території ЄС, регламент стосується і компаній, які розташовані поза межами ЄС. Навіть якщо ваша компанія не працює в ЄС, але має клієнтів звідти, вона повинна дотримуватись вимог GDPR. Окрім цього, компанії, які обробляють дані відповідально, мають вагому конкурентну перевагу перед тими, які цього не роблять.
Саме тому це так важливо для українського бізнесу: радимо до прочитання цю статтю, щоб не залишити поза увагою жоден важливий момент. Сьогодні ми розповімо про основні вимоги GDPR та розкажемо, як підготувати свою компанію до нових реалій. Окрім цього, ви дізнаєтеся про штрафи, які передбачені за недотримання вимог регламенту.

Що таке GDPR: вимоги, принципи та особливості
GDPR має на меті забезпечити осіб, тобто “суб’єктів даних”, захистом конфіденційних даних. Компанії, які дотримуються поставлених вимог, забезпечать довіру та лояльність серед клієнтів. Порушники, натомість, понесуть фінансові та репутаційні збитки.
За регламентом GDPR, персональні дані — будь-яка інформація, яка може прямо чи опосередковано ідентифікувати особу, тобто суб’єкта даних (ім’я, електронна пошта, етнічна приналежність, поштовий індекс, мысцерозташування, стать, банківські реквізити, IP-адреси, біометричні дані, релігійні та політичні переконання, файли cookie та навіть публікації в соціальних мережах). Під обробкою даних мається на увазі будь-яка дія, яка виконується з даними, включаючи ручні та автоматичні методи.
Згідно із регламентом GDPR, у суб’єктів даних є низка прав, яка дозволяє контролювати спосіб використання своїх персональних даних компаніями та організаціями. Серед них такі:
- Право на отримання інформації про те, які дані збирає організація та як вона їх використовує. Якщо ви самостійно отримали дані від суб’єкта, ви повинні повідомити суб’єкта даних про це під час збору.
- Право на доступ до персональних даних і спосіб їх обробки. Суб’єкт даних може попросити копію всіх даних, що обробляються компанією. Це називається запитом на доступ суб’єкта даних (DSAR).
- Право на виправлення неточних або неповних персональних даних. Якщо особа вимагає виправлення даних (усно чи письмово), тоді у вас є один місяць, щоб виконати запит.
- Право на видалення даних. Відповідно до цього правила, суб’єкт даних має право вимагати видалення його персональних даних протягом 30 днів. Однак, це можливо лише у певних випадках: дані більше не актуальні, початкова мета збору досягнута, або якщо суб’єкт даних відкликає згоду. Якщо присутній будь-який із цих критеріїв, ви, ви повинні припинити обробку даних і їхнє подальше розповсюдження.
- Право на обмеження обробки персональних даних. Якщо суб’єкт даних просить припинити обробку даних, ви повинні це зробити, натомість зберігати дані дозволяється.
- Право на перенесення даних. Суб’єктам даних дозволено переносити свої дані з однієї платформи на іншу у легкий та зрозумілий спосіб.
- Право на заперечення. Суб’єкти даних можуть заперечувати проти характеру використання їхньої інформації.
- Автоматизоване прийняття рішень і профілювання. Суб’єкти даних мають право відмовитися від автоматизованих рішень, які приймаються щодо їхніх даних, якщо ці рішення мають юридичний або подібний значний вплив. Наприклад, веб-сайт, який автоматично схвалює або відмовляє людям у позиках або приймає рішення щодо найму, матиме “значний вплив” на життя людини. Суб’єкти даних можуть відмовитися від цих практик.
Якщо ви обробляєте дані від імені компанії громадян ЄС, ви повинні дотримуватися GDPR. Щоб законно обробляти дані, ви маєте дотримуватися однієї з шести правових основ GDPR. Згода суб’єкта даних є однією з найважливіших вимог. Організації повинні не тільки отримати згоду, але й запитувати про це зрозуміло та доступно.
Що буде в разі порушення вимог GDPR?
Вартість помилки щодо невідповідності вимог GDPR може коштувати вам дуже дорого. Відповідно до регламенту, можуть бути застосовані два рівні штрафів:
- Перший рівень штрафів складає до 10 мільйонів євро або 2% світового річного доходу компанії за попередній фінансовий рік (залежно від того, яка сума більша).
- Другий рівень штрафів складає до 20 мільйонів євро або 4% світового річного доходу компанії за попередній фінансовий рік (залежно від того, яка сума є більшою).
При визначенні остаточної суми накладення штрафу враховується низка критеріїв, наприклад: характер, тяжкість і тривалість порушення; характер порушення — навмисне або випадкове; вплив порушення на суб’єктів даних; історія попередніх порушень тощо.
Порушення регламенту карається не тільки накладенням штрафів. Так, контролюючі органи мають право винести попередження або догану, накласти заборону (тимчасову або постійну) на обробку даних, призупинити передачу даних у треті країни тощо. Не можна забувати і про репутаційну шкоду: навіть найвідоміші світові бренди вже встигли проковтнути гірку пігулку штрафів за порушення GDPR. Деякі з більш значних штрафів включають:
- У 2023 році було накладено найбільший в історії штраф на Facebook Meta. Порушення полягало у передачі даних користувачів з ЄС до США.
- Другий за величиною штраф GDPR був накладений на Instagram за порушення правил обробки даних дітей без правових підстав.
- У 2016 році було оштрафовано Uber за “витік” конфіденційних даних. Так, в Італії від цього постраждали 52 000 водіїв і 243 000 пасажирів.
Для того, аби уникнути таких неприємностей, радимо заздалегідь підготувати свою компанію до впровадження нових правил. Про те, як це зробити максимально швидко та ефективно, розповідаємо нижче.
Як підготувати свою компанію до GDPR?
Анастасія Байдаченко, CEO IAB Ukraine, стверджує, що у випадку з GDPR найголовнішим пріоритетом має бути дотримання букви закону та уникнення величезних штрафів. На жаль, в такому випадку будь-які загальні рекомендації завжди є ризикованими. Натомість, рекомендуємо завчасно підготуватися: першочергово, ви маєте ознайомитися із вимогами та принципами GDPR, про які ми вже розповідали вище. Зазначимо, що ваша організація має дотримуватися таких основних принципів:
- Законність, чесність і прозорість: обробка даних має бути законною та прозорою.
- Обмеження цілей обробки: компанії повинні обробляти дані лише для законних цілей, які ви вказуєте для кожного суб’єкта даних перед тим, як їх збирати.
- Мінімізація обробки даних: обробники даних повинні збирати та використовувати лише ті дані, які необхідні для розвитку бізнесу.
- Точність: організації повинні постійно підтримувати актуальність своїх даних.
- Обмеження щодо зберігання даних: організації повинні зберігати персональні дані лише стільки часу, скільки це необхідно для запланованої мети. Організації повинні видалити дані, коли мета буде досягнута.
- Цілісність і конфіденційність: організації повинні обробляти дані та забезпечувати їхню безпеку, цілісність та конфіденційність.
- Підзвітність: організації мають документально звітувати про процес збору, використання та зберігання конфіденційних даних.
Звертаючи увагу на всі деталі, ви можете розгубитися або занепокоїтися. Однак, хвилювання не допоможе вам пришвидшити адаптацію свого бізнесу до нових вимог. Натомість радимо зробити ще кілька останніх кроків назустріч GDPR. Отож, підготуватися до нових вимог можна за допомогою:
- аудиту персональних даних: переконайтесь, що всі процеси зі збору, обробки та зберігання персональних даних відповідають вимогам GDPR;
- оновлення політики конфіденційності: зазначте, як ви збираєте, зберігаєте та використовуєте дані, а також повідомте суб’єктом даних про їх права;
- наявності згоди на обробку даних: переконайтесь, що ви надаєте користувачам можливість погодитись із обробкою та використанням їхніх персональних даних;
- наявності безпеки даних: подбайте про шифрування даних, щоб запобігти несанкціонованому розповсюдженню та використанню персональних даних;
- перевірки своїх дій на відповідність новим вимогам: регулярно оновлюйте політику конфіденційності, згоду на обробку персональних даних та переконайтесь, що всі процедури та процеси відповідають законним вимогам.
Висновки
Маркетинг — це сфера, у якій на продажі впливає рівень знань про клієнта. Визначення інтересів і вподобань споживачів допомагає створювати релевантні оголошення і персоналізовані пропозиції. Однак, це може поставити маркетингову тактику у конфлікт в розрізі правилам GDPR. Саме тому важливо перевірити свою діяльність на відповідність вимог регламенту, що згадані вище. Впевненість у законності своєї діяльності щодо збору даних вбереже від штрафів, репутаційних збитків та втрати лояльних клієнтів.
Юрій Копишинський, СЕО Webpromo, стверджує, що український бізнес має адаптуватись до нових реалій завчасно. Той, хто почне підготовку раніше, матиме більше можливостей і переваг. Вивчайте регламент, впроваджуйте нові правила до своєї повсякденної діяльності та продовжуйте радувати клієнтів своєю відданістю, чесністю та прозорістю.



