GDPR (General data protection regulation) — це Загальний регламент захисту даних, який з 25 травня 2018 року буде регулювати збір, уніфікацію та використання персональних даних у країнах ЄС. Дія цього Регламенту буде поширюватися і на компанії за межами ЄС. Тому компанії, які здійснюють діяльність на території Євросоюзу або в процесі своєї діяльності збирають дані громадян ЄС, повинні відповідати вимогам GDPR.

Велике значення має дотримання цих правил для SaaS-компаній, які працюють з даними клієнтів з усього світу.

Недотримання Регламенту коштуватиме компанії до 20 млн євро або 4% річного доходу.

До нових правил готові не всі

GDPR регулює роботу з особистими даними, які зберігаються як на електронних носіях інформації, так і в іншому вигляді. Відповідно до норм Регламенту, персональні дані — це всі дані, що стосуються конкретної особи й за якими вона може бути ідентифікована, наприклад: ім’я, IP, адреса електронної пошти тощо.

Введення Регламенту в дію створює дуже неприємну проблему для компаній — ніхто не має досвіду впровадження його правил і норм, великим фірмам доведеться наймати команди юристів. Інші будуть ретельно вивчати досвід і сподіватись, що перевірка на дотримання вимог GDPR їх омине.

Європейці отримають право не лише на захист даних, а й на роботу з ними

Норми GDPR стверджують, що збирати персональну інформацію можна лише, якщо користувач дав явну й обґрунтовану згоду на це. Також користувачеві повинен бути наданий доступ до його персональних даних, які він може видалити чи отримати в машиночитанному форматі для передачі третій стороні, наприклад, щоб переслати інформацію медичної карти з однієї лікарні в іншу.

Регламент розділяє тих, хто працює з даними, на контролерів, які їх збирають, і тих, хто ці дані обробляє. SaaS-компанії переважно тільки обробляють інформацію, але мають й деякі функції контролера, наприклад, збирають дані реєструючи користувачів. Згідно GDPR, компаніям дозволено збирати та зберігати дані, які є ключовими для бізнесу, після розгляду інтересів залучених осіб.

Що робити, щоб стати GDPR-сумісним?

  1. Проінформуйте всіх працівників про норми GDPR.

  2. Працюйте з інформацією, яку маєте — перегляньте потоки даних. Не треба збирати непотрібні дані, застарілу інформацію краще видалити. Ваші контрагенти теж повинні бути готові до введення GDPR і відповідати положенням цього Регламенту.

  3. Оновіть політику конфіденційності — краще, щоб вона була простою та зрозумілою.

  4. Переконайтеся, що ви надаєте можливість переглядати, змінювати та видаляти дані. Коли користувачі видаляють свої дані, вони також мають бути видалені у всіх, кому ви їх передавали чи хто мав до них доступ.

  5. Оберіть процедуру, згідно з якою компанія буде реагувати на запити користувачів щодо персональних даних.

  6. Обґрунтуйте свою позицію щодо персональних даних — у політиці конфіденційності повинно бути вказано, які дані збираються і для чого.

  7. Ви маєте отримувати від інших чітку згоду на збір інформації. Фіксуйте, коли та за яких умов ця згода була отримана.

  8. Забороніть користуватись своїм сервісом дітям з ЄС віком до 16 років.

  9. Визначте процедуру, згідно з якою інформація про порушення буде передана користувачам та відповідним агенціям ЄС.

  10. Захищайте дані від викрадення.

  11. Призначте співробітника, який буде займатися захистом даних, запобігаючи конфліктам інтересів.

  12. Потурбуйтесь про потенційну необхідність відповідати на запити користувачів усіма офіційними мовами ЄС.

У той час, коли ви обмірковуєте кроки на шляху до GDPR-сумісності, можна дати на сайті інформацію про те, що ваша компанія готується чи вже готова до введення Загального регламенту захисту даних, адже до його вступу лишилося менш як три місяці.