Як привести діяльність компанії у відповідність до GDPR: покроковий гайд

У серпні двоє гігантів брокерів даних Oracle та Salesforce стали фігурантами судових справ у Британії та Нідерландах. Компанії, як зазначається у позові, продавали дані про інтереси, локацію, прибуток, гендер та сімейний стан людей, рекламодавцям, які використовували їх для таргетингу реклами. На думку позивачів, Oracle та Salesforcе обробляли та поширювали персональні дані без чіткої згоди користувачів, що є порушенням GDPR (Загального регламенту про захист даних ЄС). Якщо компанії визнають винними, їм загрожуватиме штраф близько 10 мільярдів доларів.

Це не єдиний випадок, коли порушення європейських норм GDPR мали серйозні наслідки для організацій. Так, Італійська телекомунікаційна компанія була оштрафована на 27 млн євро, Австрійська національна пошта на 18 млн євро, а досі найбільший штраф, 50 млн. євро отримав Google. Мільйонні штрафи за порушення регламенту про захист даних загрожують також British Airways та Marriott International.

Попри те, що кількість компаній, що отримали штрафи поки що досить невелика, суми є досить значними, як і репутаційні втрати, які несуть компанії. Також важливо, що дія GDPR поширюється не лише на компанії зареєстровані в ЄС, але на всіх, хто тим чи іншим чином обробляє дані громадян ЄС. Це робить регламент актуальним для компаній по всьому світу, в тому числі для українських.

Тож, відколи регламент ввійшов в дію в травні 2018, багато компаній були вимушені перебудовувати свою діяльність у відповідності до нових вимог.

Для українських компанії досі постає питання чи аж так необхідно переходити на нові принципи роботи з даними. Коротка відповідь буде «так». Це абсолютно необхідно, якщо ви будь-яким чином використовуєте дані громадян ЄС і це бажано, якщо ви дбаєте про свою репутацію.

Якщо ж ви прийняли рішення на користь впровадження GDPR, виникає питання, в чому суть регламенту та з чого почати його впровадження.

Принципи GDPR

Предметом GDPR є персональні дані. Тобто це всі ті дані, які можна використати для ідентифікації особи. Зокрема це ім’я, адреса, адреса електронної пошти, номер телефону. До цих даних належить також реквізити банківського рахунку, дані про місцезнаходження GPS, геолокація, IP-адреса, файли cookie тощо.

Існує також специфічний вид даних, який класифікується як чутливі: інформація про расове чи етнічне походження, сексуальне життя, політичні та релігійні переконання, біометричні дані, стан фізичного чи психічного здоров’я, членство в профспілках і т.д. Це та інформація, яка може призвести до дискримінації, тому вона спеціально захищена GDPR.

Важливим є те, що саме ви робите з особистими даними. Це називається обробка даних і включає збір даних (вручну або за допомогою онлайн-форм), їх організацію, аналіз, пересилання, оприлюднення, видалення і т.д.

Ключовою категорією регламенту є згода користувача чи клієнта на обробку його чи її персональних даних. Якщо коротко — ви можете робити з даними лише те, на що отримали чітку поінформовану згоду. При цьому, формулювання, які ви використовуєте для отримання згоди мають бути простими, зрозумілими та однозначними. Також згода має бути надана «проактивно». Тобто, якщо в полі згоди позначка стоїть автоматично і її потрібно зняти у випадку відмови надати згоду, це не відповідатиме вимогам GDPR.

Наприклад один з принципів  GDPR, за порушення якого було оштрафовано Google — принцип прозорості. Політика обробки персональних даних, не була достатньо доступною та зрозумілою для користувачів. Часом для отримання необхідної інформації користувач мав здійснити 5-6 дій, а необхідна інформація була розпорошена у різних документах. Також цілі використання даних були описані занадто загальними та розмитими фразами. Це фактично позбавляло користувачів можливості отримати повну інформацію про те, яким чином будуть використані їх персональні дані.

6 основних принципів обробки даних згідно з GDPR

1. Прозорість. Компанії мають чітко зазначати, для яких саме цілей вони будуть використовувати дані клієнта. Формулювання мають бути написані зрозумілою мовою та легко доступні, а перелік цілей має бути чітко прописаний.  
2. Мінімізація. Часто компанії збирають і зберігають дані «про всяк випадок» або в надії, що зібрані дані дозволять отримати неочікувані інсайти. Проте, GDPR вимагає аби ви наперед продумали для чого саме вам потрібні дані та зібрали лише ті, що необхідні для досягнення вашої цілі.
3. Точність. Потрібно регулярно оновлювати базу даних та слідкувати за їх точністю, періодично перевіряти їх актуальність та враховувати як зібрані вами дані можуть змінитись з часом.
4. Збереження даних. Дані можна зберігати рівно стільки, скільки необхідно, потім їх потрібно знищити. Важливо заздалегідь врахувати, скільки часу вам необхідно зберігати певні дані та коли і як ви будете їх знищувати.
5. Безпека. Важливо використовувати лише надійні канали передачі даних. CRM, якими ви користуєтесь мають відповідати вимогам GDPR. Якщо ж ви використовуєте власні сервери, вони мають бути добре захищені.
6. Підзвітність. Необхідно розробити та впроваджувати політики щодо захисту даних у вашій компанії.

Якщо компанія має складну структуру, працює на ринках декількох країн та оперує великим масивами персональних даних, привести діяльність у відповідність до регламенту самостійно може бути складно. У цьому випадку може бути корисним отримати консультацію у відповідних юристів.

Проте, є низка кроків, які можна почати здійснювати самостійно вже зараз.

1. Ознайомитись з чек-лістом відповідності GDPR та перевірити, в чому саме ваша робота з даними потребує вдосконалення.
2. Залучити до змін всю команду. Часто вважають, що GDPR — це питання винятково відділу маркетингу, або ж лише людини, що відповідає за розсилки. Проте, система роботи з персональними даними — це сфера, що впливає на роботу всієї команди та часом на ключові бізнес-процеси компанії. Тому важливо впроваджувати GDPR разом з усією командою.
3. Оцінити, які саме дані ви збираєте, як їх зберігаєте та як з ними працюєте, чи ви маєте згоду на використання даних. Для цього можна скористатись GDPR data map.
4. Розробити політику конфіденційності. Вона має бути написана простою мовою і легко доступна для ваших клієнтів.
5. Включити поля для отримання згоди у всі форми, які ви використовуєте для збору даних.

Відповідність вимогам GDPR означає серйозні зміни у діяльності компанії. Проте, вони важливі для формування репутації відповідального бізнесу та абсолютно необхідні для роботи на європейському ринку.

Кавер: MMR