GDPR (Загальний регламент про захист даних) – імітація або compliance?

Ще до того, як GDPR вступив в силу, багато компаній активно готувалися до його приходу і розробляли політики, згоди і процедури відповідно до нового Регламенту про захист даних.

GDPR (часто шукають як GDRP, що не дивно) це відображення нових Європейських тенденцій в захист персональних даних. Безліч інновацій пов’язано з такими правами суб’єктів даних, як право на мобільність даних, право на захист від автоматизованих рішень і спрямовані на забезпечення реальної, а не декларативної безпеки.

На окрему увагу заслуговує посада офіцера по захисту даних. DPO (Data protection officer) це працівник або залучений фахівець, який призначається компанією з метою забезпечення законності обробки персональних даних і наділений відповідними повноваженнями.

А ще, не варто забувати про нові алгоритми, пов’язаному з оцінкою ризиків при обробці персональних даних. DPIA (Data protection impact assessment) це процедура, метою якої є визначення можливого впливу обробки персональних даних на стан захисту персональних даних суб’єктів даних. Проведення такої процедури регламентовано статтею 35 GDPR.

Стільки цікавого, але почати варто з базисів.

Що таке персональні дані відповідно до General data protection regulation?

Розберемо 3 приклади від Information Commissioner’s officer:

Трекінг з використанням

В рамках веб-сайтів відбувається відстеження дій користувача, і відбувається створення профілю користувача відповідно до онлайн ідентифікаторами.

Прикладом може бути використання cookie ID для відстеження поведінки користувача на різних веб-сайтах і «збагачення» його профілю новою інформацією про його діях. В цьому випадку, звичайно ж, маємо справу з персональними даними.

Зчитування особи з єдиною метою – ідентифікувати суб’єкта.

Має місце запис індивідуальних особливостей особи суб’єкта даних з метою в подальшому мати можливість відокремити його від інших суб’єктів. Обробка персональних даних? Так.
 
Нікнейм як персональні дані.

Соціальна мережа пропонує користувачам реєстрацію під вигаданими іменами – нікнеймами, які можуть здатися анонімними. З одного боку – наявність інформації, що користувач «Білий Вепр» зареєстровано за таким ніком, може здатися незначною і такою, що ні передбачає обробку його персональних даних. Однак, цей нікнейм ставати онлайн – ідентифікатором в рамках GDPR, який дозволяє відокремити цього користувача від інших і, відповідно, такий нікнейм буде персональними даними.

Цікаво, чи не так? Можна прийти до висновку, що головним критерієм для визначення, чи є яка-небудь інформація персональними даними буде можливість відокремити конкретного суб’єкта від інших суб’єктів з використанням онлайн і / або офлайн ідентифікаторів.

Екстериторіальність GDPR – де б ти не був, будь добрий бути в compliance

Кажуть, що весь світ повинен дотримуватися вимог General Data protection regulation. Кажуть, що, якщо Ваша сосискова з digital хот-догами перебувати на Марсі і Ви продаєте хот-доги європейцям, питаючи: «Вам з кетчупом або з гірчицею?», Необхідно вручати privacy notice і брати згоду на обробку персональних даних.

Це не зовсім так.
З іншого боку, якщо у Вас є веб-сайт, орієнтований на ЄС, на якому Ви будете залучати відвідати Вашу сосисочну, пропонувати ціни в Євро і моніторити поведінку суб’єктів персональних даних – готуйте пакет документів під GDPR.

Не варто забувати, що, якщо Ваша компанія зареєстрована в ЄС, підготовку до GDPR відразу варто включати в план робіт. При цьому, якщо персональні дані суб’єктів з ЄС плануєте передавати за межі Європейського Союзу, рекомендуємо почитати про країни з належним і неналежним рівнем захисту персональних даних.

А що робити тим компаніям, які знаходяться в США і при цьому повинні бути в compliance з регламентом? Не забуваємо про такому акті, як EU-US Privacy shield.
 

Специфіка General data protection regulation для різних індустрій

Уявімо, що Ви подаєте заявку на отримання онлайн-кредиту.

Компанія проводить «скоринг» Вас як потенційного боржника на предмет шансів отримати кошти назад разом з відсотками.
Так, ви надаєте інформацію про свої доходи, місце роботи, але, разом з тим, компанія аналізує Вашу гео-локацію, перелік магазинів, де ви робите покупки і інші персональні дані, що дозволяє зробити Ваш профіль і «відправити Вас в певну категорію» .

На основі того, що більшість людей, які роблять покупки в магазинах певного типу, мають високу ступінь неповернення кредиту – «машина» Вам відмовляє.

Наскільки це законно в контексті GDPR? Специфіки захисту персональних даних фінансовими компаніями в рамках нового регламенту дійсно багато і дуже важливо у відносинах з користувачами і клієнтами забезпечити прозорість, в тому числі – щодо алгоритму прийняття рішень.

Візьмемо інший приклад – GDPR в готельному бізнесі.
Наприклад, готель 5 років зберігає інформацію про те, яка м’якість подушок Вам до душі або про Ваші переваги на сніданок.
При цьому, ці дані Ви недбало повідомили персоналу готелю і забули про це. В результаті – отримуємо цілий профіль, і, відповідно – персональні дані.

Гра в імітацію compliance з GDPR. Наскільки високі ставки?

Ринок часто диктує тренди. Багато компаній роблять стандартні cookie policy, privacy policy і на цьому закривають питання з GDPR. Аж доки це буде і якою ціною – зовсім інше питання.

Деякі організації можуть отримувати згоду «в одну галочку» відразу на 10 цілей в уже заповненою формі і забороною скористатися сервісом при відмові розповідати story of your life, хоча для отримання самої послуги, в цьому немає необхідності.

Вже мають місце бути перші штрафи за порушення і недотримання норм GDPR.

При підготовці Вашої компанії до GDPR необхідно враховувати сферу діяльності, юрисдикцію і специфіку обробки персональних даних саме у Вашому кейсі.

Чи не імітуйте compliance. Будьте надійним партнером для Ваших користувачів. 🙂