Триває набір нової групи на курс Enterprise Patterns! Старт курсу 02.12.2024. Реєструйтеся зі знижкою 30% до 31.10.2024!
Дізнатися більше
17.01.2024
10 хвилин читання

Про захист даних і поняття GDPR Compliant

GDPR (General Data Protection Regulation) – це Загальний регламент про захист даних, який є одним із найсуворіших законів про захист даних у світі. Мета – захистити персональні дані громадян ЄС і стежити за тим, щоб організації, які обробляють ці дані, робили це відповідно до певних правил і принципів. У сьогоднішньому матеріалі від компанії FoxmindED розбираємося, gdpr compliant що це таке та які штрафи накладається за недотримання цих норм?

Для початку – трохи історії… Ідея створення GDPR виникла на початку 2000-х років, коли стало зрозуміло, що наявні закони про захист даних ЄС не відповідають сучасним потребам. У 2012 році Європейська комісія почала розробку нового закону, який мав замінити Директиву про захист даних 95/46/EC.

Регламент був створений з кількох причин, зокрема: збільшення обсягу зібраних і оброблюваних персональних даних, збільшення кількості випадків витоків даних, підвищення обізнаності громадян про важливість захисту даних.

Зрештою, документ GDPR був ухвалений Європейським парламентом і Радою ЄС 2016 року і набув чинності 25 травня 2018 року.

Що означає бути GDPR Compliant

Іншими словами, така компанія демонструє готовність і здатність захищати приватність своїх клієнтів і співробітників відповідно до високих стандартів безпеки даних.

Дотримання цих норм стало невід’ємною частиною ведення бізнесу в епоху цифрових технологій. По-перше, це піднімає рівень довіри клієнтів, оскільки вони можуть бути впевнені, що їхні особисті дані обробляються чесно і безпечно. По-друге, недотримання норм може призвести до серйозних штрафів, що істотно загрожує фінансовому стану компанії та її репутації.

Організації, які бажають досягти статусу GDPR compliant, мають виконувати кілька ключових вимог:

  • Погоджена обробка даних. Організації повинні мати законні підстави для збору та обробки персональних даних, а також прозорі механізми для отримання згоди суб’єктів даних.
  • Захист даних. Організації зобов’язані вживати технічних та організаційних заходів для захисту даних від витоків, несанкціонованого доступу та інших загроз безпеці.
  • Дотримання принципів GDPR. Компанії повинні дотримуватися принципів обробки даних, таких як прозорість, цільове збирання, мінімізація обробки, точність і обмеження терміну зберігання.
  • Реакція на запити суб’єктів даних. Організації зобов’язані відповідати на запити суб’єктів даних щодо доступу, виправлення та видалення їхньої особистої інформації.
  • Моніторинг та оцінка. Постійний моніторинг, аудити та оцінювання систем оброблення даних необхідні для підтримання відповідності до GDPR у довгостроковій перспективі.
🌐 Маєш бажання працювати в IT, але не знаєш з чого почати? Тоді побудуй собі міцний фундамент знань на наших Start Course!
Обирай напрям, що до вподоби, та вчись онлайн у будь-який зручний час! 🦊
Обрати курс

Основні принципи 

GDPR встановлює низку основних принципів захисту даних:

  1. Прозорість в обробці даних: організації повинні чесно інформувати суб’єктів даних про цілі, строки зберігання та доступ третіх сторін.

Приклад на практиці: Компанія, що збирає дані для маркетингових цілей, повинна надати користувачам зрозумілу інформацію про те, як їхні контактні дані будуть використані, наприклад, для надсилання рекламних матеріалів.

  1. Цільове збирання даних: збирання даних обмежене метою, що вимагає згоди суб’єкта, запобігаючи надмірності.

Приклад на практиці: онлайн-рітейлер під час замовлення товару може запитувати лише ті дані, які необхідні для обробки замовлення, але не має права вимагати, наприклад, інформацію про релігійні переконання клієнта.

  1. Мінімізація обробки даних: обробка обмежена необхідними даними, знижуючи ризики витоків і несанкціонованого доступу.

Приклад на практиці: медична організація збирає тільки ті медичні дані пацієнта, які необхідні для діагностики та лікування конкретного захворювання.

  1. Точність даних: організації забезпечують точність даних через перевірку та оновлення в міру необхідності.

Приклад на практиці: Банк періодично запитує клієнтів про оновлення контактної інформації, щоб бути впевненим у точності даних, які використовуються для сповіщень та операцій.

  1. Обмеження терміну зберігання даних: зберігання персональних даних обмежено необхідним періодом, після чого вони видаляються або анонімізуються.

Приклад на практиці: інтернет-магазин зберігає дані про клієнтів тільки протягом декількох років після здійснення останньої покупки, після чого ці дані видаляються.

Types of privacy data does the GDPR protect

Права суб’єктів даних

GDPR надає суб’єктам даних, тобто громадянам ЄС, чиї персональні дані обробляються, такі права:

  1. Право на доступ: отримання персональних даних від організації в розумні строки та безкоштовно.
  2. Право на виправлення: вимога виправлення неточних або неповних персональних даних.
  3. Право на видалення: запит на видалення персональних даних, якщо вони більше не потрібні для обробки.
  4. Право на обмеження обробки: можливість обмежити обробку персональних даних у певних випадках.
  5. Право на заперечення: можливість заперечення проти обробки персональних даних у певних випадках.
  6. Право на перенесення даних: отримання своїх даних у зручному форматі та передача іншому контролеру.
  7. Право на подання скарги: подання скарги до наглядового органу при порушенні норм.

Відповідно, організації мають опрацьовувати запити на доступ, виправлення та видалення даних у розумні строки (строк опрацювання може бути подовжено до двох місяців у складних випадках). Крім цього, відповідь має бути зрозумілою і надавати всю необхідну інформацію. Якщо організація не може надати доступ до персональних даних/виправити або видалити – вона повинна пояснити причину відмови.

Кроки до відповідності GDPR

Давайте розберемо кілька ключових кроків, які організації повинні зробити для дотримання норм. Пам’ятайте, це складний процес, що вимагає часу і зусиль:

  1. Оцінка поточного становища
  • Ідентифікація зібраних даних.
  • Визначення цілей їх обробки.
  • Огляд наявних політик і процедур.
GDPR
  1. Розроблення політик і процедур
  • Створення внутрішніх документів, що охоплюють усі аспекти обробки даних.
  • Включення заходів безпеки в ці документи.
  • Узгодженість із принципами Регламенту
  • Активна реалізація прозорості, цільового збирання даних, мінімізації обробки, точності та обмеження терміну зберігання.
  1. Створення системи управління даними
  • Встановлення механізмів контролю доступу.
  • Налаштування моніторингу та безпеки зберігання даних.
  • Реалізація обробки запитів суб’єктів даних.
  1. Навчання персоналу
  • Проведення навчання за правилами обробки даних і безпеки.
  • Підготовка персоналу до реагування на запити суб’єктів даних.
  1. Розроблення заходів безпеки
  • Впровадження шифрування і систем моніторингу.
  • Використання антивірусного захисту та інших технологій.
  1. Постійний моніторинг та аудит
  • Регулярна перевірка політик і процедур.
  • Аналіз інцидентів безпеки.
  1. Реагування на інциденти
  • Розроблення та впровадження плану реагування на інциденти.
  • Повідомлення контролюючого органу та суб’єктів даних.

Ефективне виконання цих кроків допомагає підтримувати відповідність GDPR.

Роль та обов’язки DPO

GDPR вимагає, щоб організації, які обробляють багато персональних даних або працюють у чутливих секторах, призначали Data Protection Officer. Це стосується великих компаній, державних органів, а також тих, хто передає дані через кордони.

Крім того, організації, які не зобов’язані призначати DPO, можуть зробити це добровільно. Це може бути корисно для організацій, які хочуть підвищити свою репутацію в галузі захисту даних або уникнути потенційних ризиків, пов’язаних із недотриманням GDPR.

Штрафи та наслідки 

GDPR передбачає суворі штрафи за порушення своїх вимог. Штрафи можуть становити до 4% від річного глобального обороту компанії або 20 мільйонів євро, залежно від того, що більше.

Такі штрафи можуть бути накладені наглядовими органами із захисту даних у країнах-членах ЄС. Наглядові органи мають право проводити розслідування та вживати заходів впливу щодо організацій, які порушують GDPR.

Відтоді як GDPR набув чинності у 2018 році, кілька компаній отримали штрафи за порушення його вимог. Ось деякі приклади:

  • Google отримав штраф у розмірі 50 мільйонів євро у 2019 році за недотримання вимог GDPR щодо прозорості та інформованості.
  • Marriott International отримав штраф у розмірі 192 мільйонів євро 2020 року за несанкціонований доступ до персональних даних клієнтів.
  • British Airways отримав штраф у розмірі 220 мільйонів євро 2020 року за витік персональних даних клієнтів.

Ці штрафи є лише одним із прикладів потенційних наслідків невідповідності норм Регламенту.

GDPR поза Європейським Союзом

GDPR справив значний вплив на міжнародні компанії та організації за межами ЄС. Цей закон вимагає від організацій, які обробляють персональні дані громадян ЄС, дотримуватися його вимог, незалежно від того, де знаходиться сама організація.

Це означає, що міжнародні компанії та організації, які мають сайти, додатки або інші продукти чи послуги, доступні громадянам ЄС, повинні також дотримуватися Регламенту. Це також означає, що компанії, які збирають персональні дані громадян ЄС, навіть якщо вони не мають прямої взаємодії з цими громадянами, повинні дотримуватися норм.

Компанії поза ЄС можуть і повинні відповідати GDPR, провівши оцінку свого стану, розробивши план відповідності з конкретними заходами і запровадивши його в практиці.

Часті запитання

Що таке GDPR?

GDPR (General Data Protection Regulation) – це набір правил Європейського Союзу, які забезпечують захист персональних даних. Ці правила діють з 25 травня 2018 року.

Які цілі переслідує GDPR?

Основна мета – захистити особисті дані громадян ЄС і дати їм контроль над своєю інформацією, роблячи все прозорим.

Підпишіться на наш Ютуб-канал! Корисні відео для програмістів чекають на вас! YouTube
Оберіть свій курс програмування! Шлях до кар’єри програміста починається тут! Подивитись

Хто зобов’язаний дотримуватися GDPR?

Дотримуватися норм повинні всі організації, які обробляють дані громадян ЄС, незалежно від їхнього розміру та місця розташування.

Тепер розглянемо основні хибні думки та непорозуміння:

GDPR обов’язковий тільки для великих компаній?

Ні, це обов’язково для всіх, включно з навіть невеликими підприємствами.

Всі дані підпадають під GDPR?

Так, якщо обробляються персональні дані громадян ЄС, такі як імена, адреси, IP-адреси.

GDPR зачіпає тільки онлайн-бізнес?

Ні, це поширюється на будь-який бізнес, включно з офлайн-організаціями.

Наявність GDPR звільняє від інших законів про захист даних?

Ні, це доповнює національні закони, але не замінює їх.

Дотримання GDPR занадто складне та дороге?

Це може бути складним, але є ресурси для допомоги. Інвестиції в захист даних зміцнюють довіру клієнтів.

Висновок

GDPR – це не просто законодавство, це стандарт відповідального поводження з даними. Для програміста це – невід’ємна частина створення безпечних та етичних програмних продуктів. Тому, ми рекомендуємо оновити свої знання щодо цієї теми та застосувати найкращі практики для забезпечення захисту особистих даних у цифровій епосі.

FAQ
Що означає бути GDPR Compliant?

Бути GDPR Compliant означає відповідати вимогам Загального регламенту щодо захисту даних (GDPR), закону ЄС, який регулює обробку та зберігання особистих даних громадян ЄС.

Для яких компаній важливо відповідати GDPR?

Відповідність GDPR важлива для всіх компаній, які обробляють особисті дані громадян ЄС, незалежно від того, де розташована компанія.

Які штрафи передбачені за порушення GDPR?

Штрафи за порушення GDPR можуть бути значними, включно зі штрафами до 20 мільйонів євро або до 4% від глобального річного обороту компанії.

Чи включає GDPR право на забуття?

Так, одним із ключових положень GDPR є право на забуття, яке дозволяє людям вимагати видалення їхніх особистих даних.

Чи вимагає GDPR призначення відповідального за захист даних?

Так, у деяких випадках GDPR вимагає призначення відповідального за захист даних (Data Protection Officer, DPO), особливо в компаніях, які здійснюють масштабну обробку чутливих даних.

Чи впливає GDPR на міжнародну передачу даних?

Так, GDPR встановлює суворі правила передачі даних за межі ЄС, вимагаючи забезпечення адекватного рівня захисту даних при їх передачі в інші країни.

🤔 Залишилися запитання щодо теми GDPR Compliant? Запитуйте в коментарях нижче!

Додати коментар

Ваш імейл не буде опубліковано. Обов'язкові поля відзначені *

Зберегти моє ім'я, імейл та адресу сайту у цьому браузері для майбутніх коментарів