GDPR для водолазів: основи поведінки в океані даних

Необхідність у врівноваженні інтересів резидентів європейського ринку та імпортерів зумовила екстериторіальний принцип дії Регламенту. Філософія проста: аби мати доступ, імпортери мають відповідати усім кліматичним умовам ринку, і правила поводження з даними стоять на чи не найпершому місці. Юридичні зобов’язання породжують організаційні процеси, що неминуче збільшує витрати бізнесу, а також впливає на обсяги продажів в онлайн-сфері. 

Компанії можуть опрацьовувати широкий спектр персональних даних: інформацію про здоров’я, генетичні, біометричні дані, дані відеоспостереження, дані дітей, працівників тощо. Чимало нових викликів у сферу захисту персональних даних додав також розвиток штучного інтелекту, машинного навчання, інтернету речей (Internet of things — IoT) та інших технологій. Саме тому для бізнесу важливо розуміти специфіку регулювання окремих типів даних, щоб грати за правилами GDPR і не порушувати права людей.

Разом архітектура програмного забезпечення і бізнес-аналіз можуть допомогти бізнесу захистити конфіденційність та персональні дані своїх клієнтів відповідно до вимог GDPR або іншого законодавства у сфері приватності.

Найефективнішіі продажі залежать від обробки персональних даних: саме вони часто вирішують, чи може продавець достатньо точно персоналізувати свою пропозицію, щоб потрапити в суть потреби. 

Маркетингова діяльність здебільшого регулюється Загальним регламентом захисту даних (GDPR), а в деяких випадках — Директивою 2002/58/EC. GDPR застосовується до всіх прямих маркетингових комунікацій, поштою, телефоном, факсом, електронною поштою чи іншим способом. GDPR також застосовується до онлайн-реклами, націленої на окремих осіб на основі їх історії вебперегляду.

У цьому розділі йдеться про важливий аспект GDPR комплаєнс — роботу з запитами від суб’єктів даних (осіб, чиї персональні дані обробляються). Часто саме працівники технічної або клієнтської підтримки можуть отримати GDPR-запит серед інших запитів, тому важливо знати, як його виявити, та правильно зреагувати, про що пам’ятати і чого не робити у випадку отримання такого запиту. 

У цьому розділі ми розглянемо загальні питання безпеки даних з точки зору GDPR, який запровадив єдині правила захисту, що поширюються на всіх учасників процесу обробки персональних даних резидентів ЄС.

GDPR закріплює основоположні принципи обробки персональних даних, але, при тому, у самому Регламенті не згадуються конкретні технології чи методики. Таким чином, для приведення системи у відповідність до Регламенту, необхідно черпати інформацію зі сторонніх джерел. Логіка Регламенту полягає в тому, що варіативність сценаріїв, особливості кожного окремого кейсу та динаміка галузі не дозволяють створити чіткі інструкції, що будуть оптимальними протягом довгого часу. Фактично, технічні аспекти GDPR комплаєнсу є своєрідною збіркою настанов, рекомендацій та віддзеркаленням актуальної практики.

PETs — це історія не лише про приватність в контексті комплаєнсу з GDPR, а й про безпеку використання персональних даних і даних в цілому, тому вказані вище технології можуть застосовуватись і в кібербезпекових проєктах, і в зовсім інших нішах. Те, як технологія розвивається та комерціалізується, зазвичай визначає ринок. Створюються нові стартапи, які розвивають конкретні напрями та пробують отримувати клієнтів та інвестиції. Все це формує нову екосистему, де вбудова приватності на технологічному рівні стає нормою. 

Усе починається з рішення знайти нову людину в команду: ви складаєте вимоги до резюме, обираєте сервіс для пошуку й аналізу кандидатів, софт для інтерв’ю і тестування, хмарне сховище для зберігання резюме…

Кандидат проходить кілька етапів, перш ніж він стане частиною команди. 

Підзвітність (accountability) є одним із принципів захисту даних. Цей принцип покладає на компанію відповідальність за дотримання GDPR та встановлює, що компанія повинна продемонструвати свою відповідність (комплаєнс), тобто реалізувати необхідні процедури та розробити документи.

Створення програми приватності — це насправді і є реалізація принципу підзвітності. Програму приватності можна пояснити як процес розробки та прийняття документів (як внутрішніх, так і зовнішніх) та проведення процедур для забезпечення захисту персональних даних. 

У цьому розділі ми визначили основні аспекти, на які компанія повинна звернути увагу при побудові своєї програми приватності, щоб впевнитись, що всі персональні дані обробляються безпечно і в комплаєнсі з GDPR.

У цьому розділі йдеться про GDPR-документацію: які процеси, що стосуються обробки персональних даних в межах компанії, варто задокументувати, які існують вимоги та яким чином здійснюється цей процес. Зверніть увагу, що перелічені нижче документи та процедури стосуються тільки деяких напрямків виконання компанією законодавчих вимог щодо обробки персональних даних і не стосуються усіх вимог та відповідних процедур, закріплених у GDPR. 

Кожен сучасний інтернет-юзер знає аксіому: privacy matters. Так само зважають на неї свідомі бізнеси, вибудовуючи свою стратегію комунікації з потенційними та наявними клієнтами. 

Відповідність GDPR задовольняє не тільки питання контролюючих органів про обробку та зберігання персональних даних, а й дозволяє впевнитись пересічному користувачеві, що його конфіденційна інформація надійно захищена і компанія дійсно варта довіри.