З чого почати підготовку до GDPR: інструкція
Захист персональних даних став однією з найважливіших тем сучасної інтернет культури. Суттєве зрушення у цій сфері має зробити Загальний регламент про захист персональних даних (GDPR), прийнятий у 2018 році. Поки він значною мірою впливає на компанії у Європейському Союзі, однак українська диджитал індустрія також повинна поступово переходити до роботи відповідно до нових вимог обробки та зберігання персональних даних громадян. Наразі нові правила стосуються лише даних громадян ЄС, незалежно від того, де вони знаходяться. Однак Україна тримає курс євроінтеграції, а отже українському бізнесу варто робити перші кроки підготовки власних сайтів до вимог GDPR. З чого почати?
Ознайомтеся з вимогами GDPR:
Перш за все, ретельно ознайомтеся з основними вимогами та принципами GDPR, про які ми писали раніше. Зрозумійте, які права мають громадяни ЄС щодо своїх персональних даних, які види даних вважаються персональними та які обмеження існують щодо обробки цих даних. Тут також важливо бути впевненими, що вся команда розуміє вимоги GDPR та свої обов’язки щодо захисту персональних даних.
Як підготуватися до GDPR – думка експерта
Анастасія Байдаченко, CEO IAB Ukraine
“Питання відповідності сайту вимогам GDPR – це питання насамперед юридичне. Спілкуючись з українськими видавцями, ми часто чуємо зауваження, що GDPR може призвести чи не призвести до зменшення монетизації, але питанням першого пріоритету у випадку з GDPR є дотримання букви закону та уникнення величезних штрафів. Отже будь-які загальні рекомендації завжди є ризикованими. Три Комітети IAB об’єднались для підготовки первинного гайду з GDPR, і це буде документ мінімум на 130-140 сторінок, адже скорочення та узагальнення тут недоречні, ба навіть шкідливі. Отже на сьогодні я можу дати наступну послідовність дій:
- дочекатись публікації гайду IAB та прослухати всі супровідні вебінари та ефіри;
- ознайомити з матеріалами насамперед юридичний відділ та всіх, хто працює з цифровою рекламою;
- знайти контакт юриста, який має досвід роботи з GDPR на європейському ринку, бо скоріше за все ви будете потребувати додаткових консультацій саме під ваш випадок”.
Що потрібно знати, крім загальних принципів GDPR?
Якщо ж ви плануєте почати підготовку вже зараз, тоді донесіть до своїх співробітників інформацію ще з таких тем:
Обов’язки:
Розкажіть колегам про їхні нові обов’язки щодо захисту персональних даних. Зокрема забезпечення конфіденційності даних, застосування відповідних заходів безпеки, збір згоди від користувачів перед обробкою їх даних та повідомлення про порушення безпеки даних.
Принципи обробки персональних даних:
Детально розберіть процедури обробки персональних даних в компанії. Поясніть, які види даних збираються, як вони використовуються, як довго зберігаються та які є підстави для їх обробки. Підкресліть важливість обмеження доступу до даних та недопущення незаконної обробки.
Згода, згода і ще раз згода:
Окремо зупиніться саме на питанні необхідності отримання згоди від користувачів перед обробкою їхніх персональних даних. Ще раз проговоріть умови збору інформації, зробіть акцент на необхідності інформувати користувачів, як саме можуть бути використані їхні дані.
Права користувачів:
Так, тепер користувачі більш захищені, адже мають чітко прописані права. Розкажіть, які саме. Наприклад, право на доступ, виправлення, видалення та перенесення даних. Також зупиніться на тому, як має реагувати ваша компанія на відповідні запити громадян.
Звісно це лише основні питання, які варто вивчити в першу чергу, однак ми все ж підтримуємо думку Анастасії Байдаченко та вважаємо, що скорочувати не слід. Ознайомтеся з регламентом GDPR вздовж і впоперек. Залучіть спеціалістів та продовжуйте навчатися та навчати команду до того часу, поки повністю не осягнете нові вимоги. І тільки потім переходьте до впровадження змін у роботі вашого сайту.
Кілька порад, із чого розпочати:
Проведіть аудит персональних даних:
Визначте, які персональні дані ви збираєте, зберігаєте та обробляєте на своєму веб-сайті. Створіть повний перелік всіх видів даних, включаючи імена, адреси електронної пошти, IP-адреси, кукі та інші ідентифікатори. Співставте, чи всі дії дозволені регламентом.
Оновіть політику конфіденційності:
Створіть або оновіть політику конфіденційності вашого сайту, щоб вона відповідала вимогам GDPR. Обов’язково зазначте, які дані ви збираєте, як їх використовуєте, як довго зберігаєте та які права мають користувачі щодо своїх даних. Забезпечте доступність політики конфіденційності кожному користувачеві вашого сайту.
Крім політики конфіденційності, подбайте про згоду на обробку даних:
Переконайтеся, що перед тим, як збирати дані, ви запитуєте згоду від користувачів на обробку їхніх персональних даних. Для цього, паприклад, використовуйте попап-вікна або простіше – прапорці з підтвердженням згоди.
Подбайте про безпеку даних:
Користувачі дозволили вам збирати та обробляти їхні дані – подбайте про їх безпеку. Використовуйте захищений протокол передачі даних (наприклад, HTTPS), шифрування даних та інші заходи для запобігання несанкціонованому доступу до даних.
Регулярно перевіряйте відповідність:
Поки ви тільки починаєте роботу з GDPR, здійснюйте регулярну перевірку відповідності ваших дій новому регламенту. Зокрема, переконайтеся, що політика конфіденційності за необхідності оновлюється необхідності, збір даних відповідає згодам користувачів, всі процедури обробки даних здійснюються відповідно до вимог GDPR.
Це лише загальні кроки для підготовки вашого сайту до GDPR, база, з якої можна розпочати. План дій може залежати від конкретних обставин вашої компанії. Не поспішайте, візьміть собі час на досконале вивчення регламенту. У разі потреби, зверніться до юристів або консультантів із питань захисту даних для отримання індивідуальних порад.
