Персональні дані — це популярний вислів, який заполоняє новини та змушує нас замислитися про нашу онлайн-ідентичність та те,
як її використовують інші вебсайти та компанії.
Онлайн-бізнеси та власники веб-сайтів часто виступають як опікуни конфіденційних особистих даних, які вони зібрали. З нещодавнім впровадженням GDPR — всеохоплюючих регуляцій, що керують безпекою даних та приватністю в ЄС — ви можете хвилюватися про те, як ви зберігаєте та захищаєте інформацію інших людей, і чи є ці дані безпечними та захищеними.
Чи не так?
Нові закони про особисті дані від ЄС накладають на вас обов’язок переконатися, що ви дотримуєтесь вимог, але ми тут,
щоб дати вам кілька порад. Загальне положення про захист даних зосереджене на наданні громадянам більшого контролю над їхніми
даними в мережі.
Крім надання користувачам можливості вирішувати, що відбувається з їхньою інформацією, GDPR також включає нові правила
щодо того, як організації повинні обробляти ці дані. Все це може потребувати певних дій з вашого боку — навіть якщо ви не базуєтеся
в ЄС. Ось що вам потрібно знати і що ви можете зробити, щоб тримати ситуацію під контролем.
Схоже: DreamHost відповідає GDPR
Що вам потрібно знати про GDPR
1. Загальний регламент захисту даних уже тут.
Це правда: GDPR набуло чинності 25 травня 2018 року. Це означає, що якщо ви ще не оновили свій вебсайт
для відповідності, вам потрібно почати наздоганяти. Решта цієї статті допоможе вам з деякими порадами та ресурсами про
те, що це передбачає. Не панікуйте! Після прочитання цієї статті ми рекомендуємо перейти на офіційний сайт GDPR щоб ознайомитися з
актуальною інформацією.
2. GDPR стосується “особистих даних” людей в ЄС.
Існує багато причин, чому веб-сайт збирає дані користувачів: для сприяння покупці, розсилки, цільової реклами або визначення найпопулярнішого типу контенту. Незалежно від мети, якщо ці дані стосуються особи, яка відвідує сайт з держави-члена ЄС, застосовується GDPR.
Відвідувачі веб-сайту не обов’язково мають бути громадянами ЄС — якщо вони відвідують ЄС, наприклад, з Гани або Бразилії, і
відвідують ваш сайт, ваш сайт повинен захищати їхні права за GDPR.
Хоча регуляція базується в Європі, насправді вона має більш широкий вплив, ніж може здатися на перший погляд. Якщо ваш
бізнес має будь-який зв’язок з Європою, чи то через клієнтів, чи партнерів (навіть лише одного!), вам слід бути обізнаними з
вимогами законодавства.
3. Визначення персональних даних розширено в GDPR.
Коли ми думаємо про персональні дані, на думку можуть приходити такі речі, як ім’я, адреса та номер телефону. За визначенням GDPR це набагато більше, ніж це. Виходячи за рамки деталей, які зазвичай вважаються інформацією, що дозволяє ідентифікувати особу, GDPR стверджує, що будь-яка інформація, “особлива для фізичної, фізіологічної, генетичної, психічної, економічної, культурної чи соціальної ідентичності цієї особи” перебуває під захистом.
Враховуючи ці широкі параметри, можна сміливо припустити, що будь-яка інформація, яка ідентифікує особу, може потрапляти під
визначення персональних даних. Якщо ви не впевнені, чи це відноситься до таких, то, швидше за все, так і є! Насправді, визначення GDPR
персональної інформації — це “будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи”. Отже,
ось вам і відповідь.
4. Будь-яка особа, яка контролює та обробляє ці дані, повинна дотримуватися вимог.
Фактичні документи GDPR містять посилання на збирачів та обробників персональних даних. Не впевнені, чи ви
керівник чи обробник? Читайте далі.
Контролер даних — це суб’єкт — компанія, організація або особа — який приймає рішення про те, які дані збираються та як вони використовуються. Обробник даних збирає, зберігає та передає ці дані після їх збору. Так що, якщо ваша організація займається будь-яким видом обробки даних людей в ЄС, або співпрацює з кимось, хто це робить, настав час долучитися.
5. Нові закони вимагають згоди на збір даних.
Ви могли помітити, що багато вебсайтів та додатків останнім часом оновили свої політики конфіденційності та умови використання.
Це все через GDPR. Якщо організація очікує, що хтось у ЄС відвідає її вебсайт, компанії необхідно
включити інформацію, яка просить згоду на збір даних користувачів.
Дивіться також: Ваш чек-лист переробки сайту на 2020 рік
Оновлені політики мають містити інформацію про те, які дані збираються, чому вони збираються, як довго вони будуть зберігатися, а також як вони будуть використовуватися і хто матиме доступ до даних. Все це потрібно чітко вказати на вебсайті у помітному місці.
Відповідність GDPR вимагає активної згоди — а не пасивних методів, як-от попередньо встановлена галочка. GDPR не толеруватиме практик темного UX, які обманом змушують людей погоджуватися або реєструватися на щось, або поганого дизайну блогів, що приховує важливу інформацію.
Ці повідомлення необхідні навіть у випадку збору найпростіших типів даних. USA Today обрала цікавий підхід до дотримання вимог GDPR, розмістивши два окремих
випадки свого сайту — один для користувачів з ЄС і інший для всіх інших. Сайт, орієнтований на ЄС, не збирає жодної
інформації, крім IP-адреси користувача, щоб можна було направити їх на правильний сайт — але USA Today все одно має
повідомити користувачів, що компанія збирає цю інформацію.
6. Вимоги до безпеки даних за GDPR є строгішими.
У порівнянні з попереднім законодавством ЄС щодо конфіденційності персональних даних (директива Data
Protection Directive, впроваджена в 1998 році), GDPR передбачає більш детальні обов’язки для контролерів та обробників даних, коли мова йде про безпеку.
Якщо ви працюєте з персональною інформацією людей, ви повинні ретельно дбати про те, щоб інформація була повністю захищена. Може бути кілька рішень цього питання, залежно від зібраних даних, доступних технологій та вашого бюджету. Деякі заходи безпеки, які пропонує GDPR, включають шифрування даних, забезпечення конфіденційності систем і сервісів, надання можливості відновлення доступу до особистих даних та підтримання процесу оцінки безпеки системи.
Це лише деякі зі стратегій, які організації можуть використовувати для демонстрації дотримання вимог GDPR. Ви
можливо вже врахували їх, або вам доведеться додати деякі компоненти до вашого плану безпеки.
З цими новими стандартами ви можете хвилюватися про витрати для вашого бізнесу, щоб їм відповідати. Однак, безпека не обов’язково має бути дорогою. Декілька провайдерів, включаючи DreamHost, включають сертифікати SSL/TLS безкоштовно для шифрування веб-трафіку на сайтах клієнтів.
7. Порушення даних мають бути повідомлені людям, чиї дані були скомпрометовані.
Інший новий аспект законів про конфіденційність, як це передбачено GDPR, є вимога повідомляти користувачів, коли сталася витік даних і це могло вплинути на їх особисту інформацію. GDPR визначає порушення захисту особистих даних як подію, що призводить до “випадкового або незаконного знищення, втрати, зміни, несанкціонованого розголошення або доступу до особистих даних, які передаються, зберігаються або інакше обробляються.” Це захищає набагато ширше, ніж ризик шахрайства або крадіжки особистості (що могло б виникнути через доступ до фінансових записів), щоб включити несанкціонований доступ до будь-чого, що визначено як інформація, що ідентифікує особу.
Якщо стається порушення захисту персональних даних, яке “ймовірно призведе до високого ризику для прав та свобод осіб”,
контролери даних мають обов’язок швидко повідомити постраждалих людей. Існує кілька винятків з цього правила,
таких як коли зашифровані дані будуть незрозумілими для неавторизованих користувачів або коли контролер вживає заходів після
порушення для запобігання ризику. Деталі цього правила можуть бути предметом тлумачення та обговорення, але у разі сумнівів,
GDPR займає сильну, всебічну позицію щодо захисту даних користувачів.
Якщо контролер даних має головний офіс в ЄС, він також повинен повідомити наглядовий орган у державі-члені ЄС, де розташована організація. Це повідомлення потрібно здійснити протягом 72 годин після виявлення порушення.
Розміщення вебсайту вашої організації на безпечному та стабільному сервері допомагає запобігти витоку особистих даних. Усі плани DreamHost забезпечують високий рівень безпеки за допомогою сертифікатів Let’s Encrypt SSL/TLS, які надійно шифрують дані, що передаються через сайт DreamHost.
Якщо ви вибираєте між
спільним та VPS хостингом ви можете бути впевнені, що особисті дані захищені. Наші плани виділеного хостингу забезпечують ще більш суворий захист особистих даних.
8. Контролери даних повинні надавати користувачам доступ до їх даних за запитом.
Значення цього аспекту GDPR є простим: якщо користувач хоче побачити дані, які ви зібрали про нього, ви повинні передати їх протягом розумного часу. Однак шлях до досягнення цього може бути трохи більш складним залежно від ваших поточних обставин.
Щоб задовольнити ці запити, вам знадобиться система для подання запитів клієнтами та персонал, який зможе їх виконувати.
Технологія, яка дозволяє експортувати особисті дані, також буде необхідна. У Статті 15 GDPR викладено кілька інших пов’язаних прав на
інформацію, таких як доступ до даних та терміни їх зберігання.
9. Користувачі в ЄС мають “право бути забутими”.
Інший положення, пов’язане з доступом до даних, це те, що GDPR називає “право бути забутим.” У статті
17, громадянам надається право вимагати видалення їхніх даних з системи контролера. Вони можуть це зробити з будь-якої причини, що включає відкликання згоди на обробку даних.
Закон виглядає так, ніби може бути будь-яка законна причина для вимоги видалення особистих даних. Однак він дає
керівництво щодо того, коли організація може відмовити у такій вимозі. Якщо обробка даних вважається необхідною для
«здійснення права на свободу слова та інформації», виконання правових зобов’язань або встановлення правових
претензій, або виконання громадських інтересів у певний спосіб, організація не зобов’язана виконувати цю вимогу.
10. Brexit не виключає Великобританію з GDPR — поки що.
GDPR все ще застосовується до компаній у Великобританії, незважаючи на майбутній вихід країни з ЄС. Після формального виходу Brexit, GDPR більше не регулюватиме британську безпеку даних. Однак, британський Закон про захист даних майже ідентичний GDPR — аж до тієї ж дати початку 25 травня. Якщо ви відповідаєте вимогам GDPR, ви також маєте бути покриті законодавством Великобританії.
11. Порушення умов GDPR тягне за собою великі штрафи.
Не намагайтеся уникнути або ігнорувати GDPR — це обійдеться вам дорого. Найвищі штрафи за недотримання включають штрафи до €20 мільйонів (більше $23 мільйонів) або 4 відсотки від глобального доходу, залежно від того, що більше. Такий рівень покарання буде застосований до найгірших порушників, але не варто перевіряти, як будуть оброблятися менші провини.
Крім того, що вони заберуть ваші гроші, органи захисту даних ЄС також можуть позбавити вашу компанію деяких прав на збір даних
або навіть заборонити вам збирати дані взагалі. Просто робіть правильно!
12. Акцент нових правил на законне використання та чесний бізнес.
GDPR має на меті уніфікувати правила регулювання даних усіх держав-членів ЄС. З новими законами правила стали
більш зрозумілими, а поле для дій в бізнесі ЄС щодо збору та використання особистих даних стало рівнішим. Водночас,
це створює труднощі для бізнесів у інших країнах щодо дотримання вимог.
Однак прагнення до безпеки та прозорості може бути вигідним для бізнесу в довгостроковій перспективі, і це все пов’язано з
сприйняттям споживачів. В останні роки було збільшення випадків порушення безпеки даних, а також збільшилась публічність, що оточує
збір та використання даних людей.
У цю епоху обміну даними, GDPR також призначений для збільшення довіри громадян до бізнесу, надаючи їм
більші захисти. Регуляції широко вважаються перемогою для прав на приватність особи. Але хоча
оновлення повідомлень про конфіденційність може бути болісним — і можливо доведеться змінити політики використання даних у вашій компанії — GDPR
має потенціал надати клієнтам більшу впевненість у комерції. Філософія, в двох словах, полягає в тому, що те, що добре для клієнта, є добрим для бізнесу.