Загальний регламент захисту даних незабаром набере чинності. Ви приготувались?
Розмови про Загальний регламент захисту даних (GDPR) не вщухають, але що це таке? Кого він стосується? Як вплине на ринки й торгові майданчики? Спробуємо розібратися з цими питаннями.
Що таке GDPR?
Загальний регламент захисту даних (General Data Protection Regulation, GDPR) — це загальноєвропейське зведення правил, що набуває чинності 25 травня 2018 р. і замінює Директиву ЄС про захист даних від 1995 р. і національні законодавства з захисту даних у країнах ЄС.
GDPR розроблено з метою встановлення загальних стандартів на території ЄС щодо збирання, використання та розповсюдження організаціями особистих даних суб’єктів особистих даних у ЄС.
Яку інформацію захищає GDPR?
GDPR застосовується до ширшого, ніж охоплює загальноприйняте визначення, кола особистих даних, та поширюється на «будь-яку інформацію, пов’язану з ідентифікованою фізичною особою або такою, що піддається ідентифікації («суб’єкт даних»). Фізичною особою, що піддається ідентифікації, вважається така особа, яку можна ідентифікувати, безпосередньо або опосередковано, зокрема за посиланням на певні ідентифікаційні дані, як-от ім’я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або один чи декілька факторів, властивих фізичній, фізіологічній, генетичній, ментальній, економічній, культурній або соціальній ідентичності даної фізичної особи».
Як випливає з наведеної вище інформації, під це визначення за деяких обставин можуть підпадати IP-адреси, ідентифікатори мобільних пристроїв, адреси електронної пошти, файли cookie та інші онлайн-ідентифікатори.
На кого поширюються вимоги GDPR?
GDPR — це міжнародний регламент, який застосовується до всіх процесів, пов’язаних із обробкою даних організаціями, заснованими в ЄС, під час їхньої діяльності (суб’єктів даних із країн ЄС і країн, що не входять до складу ЄС). Його дія також поширюється на неєвропейські організації без формальної або фізичної присутності в ЄС у випадку, якщо ці неєвропейські організації пропонують товари або послуги суб’єктам даних у ЄС або відстежують їхню поведінку (за умови, що суб’єкт перебуває на території ЄС) (наприклад, здійснюють аналіз користування Інтернетом).
Процес обробки передбачає виконання організацією різноманітних дій з даними, як-от збирання, записування, структурування, зберігання, адаптацію або змінення, видобування, консультації, розкриття шляхом передавання, розповсюдження або оприлюднення будь-яким іншим чином, розташування або поєднання, стирання або знищення тощо.
Неєвропейські організації зазвичай мають призначити представництво, засноване в країні-члені ЄС, у якій перебувають суб’єкти даних, чиї особисті дані обробляються або чия поведінка відстежується. Термін «засноване» може мати широке трактування, тому в кожному конкретному випадку визначатиметься окремо, чи була організація заснована в ЄС.
Базові умови
GDPR містить базові умови та зобов’язання. Організації, яких стосується нове зведення правил, мають знати й запровадити їх, а саме:
- Визначити конкретне юридичне обґрунтування, яке дозволяє обробку даних
- Визначити та документувати процес збирання та обробки особистих даних
- Призначити відповідального за обробку даних
- Визначити обов’язки організації як структури, що займається контролем та/або обробкою даних
- Сформулювати відповіді на випадок витоку даних та вимоги щодо сповіщення
- Викласти права суб’єктів даних на доступ до їхньої інформації та права на забуття
- Описати процес передавання особистих даних за межі ЄС
Санкції
Організації, що не відповідатимуть вимогам GDPR, можуть зазнати суворих адміністративних та економічних санкцій, у тому числі штрафів на суму до 20 000 000 євро або в розмірі 4 % від загального річного міжнародного обороту організації за попередній фінансовий рік.
Яким чином GDPR вплине на вас?
Як комерційне підприємство, яке продає або іншим чином пропонує товари або послуги на ринку або цифровій платформі в різних країнах світу та здійснює обробку особистих даних, вам слід розуміти, яким чином GDPR стосується вашої організації та чи стосується взагалі. Ваша організація може збирати, зберігати й обробляти особисті дані ваших продавців, клієнтів, постачальників і навіть випадкових відвідувачів вашого веб-сайту.
GDPR може поширюватись на вашу організацію, незалежно від її розмірів і рівня прибутку та навіть незалежно від її формальної присутності на території ЄС. Якщо ви збираєте, зберігаєте, обробляєте або маєте доступ до інформації, за якою можна ідентифікувати суб’єкта даних в ЄС, скоріше за все дія GDPR на вас поширюється.
Перш за все, потрібно розуміти критерії для пропонування «товарів і послуг» суб’єктам даних із ЄС. Ваш веб-сайт доступний на території ЄС? На вашому веб-сайті використовуються мови та валюти країн ЄС? Ваші маркетингові кампанії адресовані аудиторії з ЄС?
Для прикладу візьмемо організацію, розташовану в Сінгапурі, яка продає вироблені вручну краватки. Компанія не має ані представництв, ані дочірніх підприємств, заснованих у ЄС, але пропонує товари в Інтернеті. Компанія влаштовує рекламні акції для клієнтів із ЄС та навіть має локалізовану версію веб-сторінки іншими мовами. Ця організація збирає особисті дані під час реєстрації та створення акаунта, серед яких ім’я та адреса електронної пошти особи, що реєструється. Чи поширюється дія GDPR на цю організацію? Звичайно, так.
Новий режим GDPR накладає більше відповідальностей на організацію; насамперед, тепер саме організація несе відповідальність за те, щоб дані, які вона обробляє, були захищені належним чином. У деяких випадках GDPR надає лише загальні принципи або рекомендації, та організація сама має визначити, чи займається вона обробкою або контролем особистих даних, та забезпечити їхнє належне зберігання та захист.
Ключові питання, які ви маєте поставити собі
Поставте собі кілька запитань, аби пересвідчитись у тому, що ви готові до виконання нових вимог GDPR: який тип особистих даних ви збираєте? Чи будете ви збирати додаткові типи інформації? В який спосіб ви збираєте, обробляєте та зберігаєте дані? У чому полягає обробка даних? Які політики потребують оновлення та створення? Чи в повній мірі ваша політика конфіденційності описує використання інформації? Чи потрібно вам призначити відповідального за обробку даних? На яких юридичних засадах ви збиратимете інформацію? Чи вимагаєте ви згоди? Чи можете ви в достатній мірі дотримуватись прав суб’єкта даних? Чи достатньо ваших заходів з безпеки? Розмірковуючи над відповідністю вимогам GDPR, потрібно поставити собі ці та багато інших запитань.
Що менше часу лишається до травня 2018, то більш обізнаними люди стають щодо своїх прав і обов’язків тих, хто збирає їхні особисті дані.
Як Payoneer готується до впровадження GDPR?
Payoneer пишається тим високим рівнем безпеки та прозорості, який забезпечується в процесі збирання, використання та поширення особистих даних наших клієнтів, партнерів і постачальників. Ми сумлінно готуємося до впровадження GDPR, оновлюємо наші політики та процедури, які стосуються прав доступу та інших прав суб’єктів даних, і вживаємо всіх необхідних заходів для забезпечення повної відповідності вимогам GDPR.
Звертаємо вашу увагу на те, що цей текст не слід розглядати як повний та вичерпний огляд. У ньому розглянуто коло питань, які ми вважаємо ключовими для розуміння GDPR. Рекомендуємо провести самостійний аналіз щодо того, як GDPR торкнеться саме вашої організації.