GDPR (General data protection regulation) — це Загальний регламент захисту даних, який з 25 травня 2018 року буде регулювати збір, уніфікацію та використання персональних даних у країнах ЄС. Дія цього Регламенту буде поширюватися і на компанії за межами ЄС. Тому компанії, які здійснюють діяльність на території Євросоюзу або в процесі своєї діяльності збирають дані громадян ЄС, повинні відповідати вимогам GDPR.
Велике значення має дотримання цих правил для SaaS-компаній, які працюють з даними клієнтів з усього світу.
Недотримання Регламенту коштуватиме компанії до 20 млн євро або 4% річного доходу.
До нових правил готові не всі
GDPR регулює роботу з особистими даними, які зберігаються як на електронних носіях інформації, так і в іншому вигляді. Відповідно до норм Регламенту, персональні дані — це всі дані, що стосуються конкретної особи й за якими вона може бути ідентифікована, наприклад: ім’я, IP, адреса електронної пошти тощо.
Введення Регламенту в дію створює дуже неприємну проблему для компаній — ніхто не має досвіду впровадження його правил і норм, великим фірмам доведеться наймати команди юристів. Інші будуть ретельно вивчати досвід і сподіватись, що перевірка на дотримання вимог GDPR їх омине.
Європейці отримають право не лише на захист даних, а й на роботу з ними
Норми GDPR стверджують, що збирати персональну інформацію можна лише, якщо користувач дав явну й обґрунтовану згоду на це. Також користувачеві повинен бути наданий доступ до його персональних даних, які він може видалити чи отримати в машиночитанному форматі для передачі третій стороні, наприклад, щоб переслати інформацію медичної карти з однієї лікарні в іншу.
Регламент розділяє тих, хто працює з даними, на контролерів, які їх збирають, і тих, хто ці дані обробляє. SaaS-компанії переважно тільки обробляють інформацію, але мають й деякі функції контролера, наприклад, збирають дані реєструючи користувачів. Згідно GDPR, компаніям дозволено збирати та зберігати дані, які є ключовими для бізнесу, після розгляду інтересів залучених осіб.
Що робити, щоб стати GDPR-сумісним?
-
Проінформуйте всіх працівників про норми GDPR.
-
Працюйте з інформацією, яку маєте — перегляньте потоки даних. Не треба збирати непотрібні дані, застарілу інформацію краще видалити. Ваші контрагенти теж повинні бути готові до введення GDPR і відповідати положенням цього Регламенту.
-
Оновіть політику конфіденційності — краще, щоб вона була простою та зрозумілою.
-
Переконайтеся, що ви надаєте можливість переглядати, змінювати та видаляти дані. Коли користувачі видаляють свої дані, вони також мають бути видалені у всіх, кому ви їх передавали чи хто мав до них доступ.
-
Оберіть процедуру, згідно з якою компанія буде реагувати на запити користувачів щодо персональних даних.
-
Обґрунтуйте свою позицію щодо персональних даних — у політиці конфіденційності повинно бути вказано, які дані збираються і для чого.
-
Ви маєте отримувати від інших чітку згоду на збір інформації. Фіксуйте, коли та за яких умов ця згода була отримана.
-
Забороніть користуватись своїм сервісом дітям з ЄС віком до 16 років.
-
Визначте процедуру, згідно з якою інформація про порушення буде передана користувачам та відповідним агенціям ЄС.
-
Захищайте дані від викрадення.
-
Призначте співробітника, який буде займатися захистом даних, запобігаючи конфліктам інтересів.
-
Потурбуйтесь про потенційну необхідність відповідати на запити користувачів усіма офіційними мовами ЄС.