25 травня 2018 року набувають чинності правила нового Закону про захист персональних даних в Інтернеті для користувачів, які перебувають на території Європейської економічної зони. Нові правила позначаються абревіатурою GDPR (The General Data Protection Regulation, Загальні правила захисту даних) і поширюються на всіх гравців Інтернету, які беруть участь в збиранні, зберіганні або обробці персональних даних. Хоча закон прийнятий для захисту європейських даних, глобальний характер Інтернету означає, що GDPR встановлює стандарт конфіденційності даних у всьому світі. Практично всі великі інтернет-компанії, включаючи Google, Facebook і Twitter, підпадають під дотримання вимог GDPR.
GDPR – це давно назрілий набір передових методів забезпечення конфіденційності в бізнесі, і особливо в Інтернеті. Він вчить нас ставитися до даних наших користувачів з такою ж ретельністю і повагою, з якою ми ставимося до своїх власних.
GDPR покликаний забезпечувати більший захист персональних даних людини, включаючи, але не обмежуючись, його релігійними або політичними переконаннями. Штрафи за недотримання правил досить великі: до 20 млн. євро, або 4% від загального обороту (в розрахунок береться більша сума) за порушення. Крім того, GDPR дає користувачам право на компенсацію будь-якого матеріального та/або нематеріального порушення GDPR.
Дана стаття не є юридичною порадою і не повинна тлумачитися як така. Метою даної статті є максимальне освітлення і аналіз нових правил GDPR, оскільки сьогодні практично кожен сайт в Інтернеті тим чи іншим чином працює з персональними даними користувачів. Якщо ви будете знати, що ваш сайт відповідає вимогам GDPR, ви продемонструєте, що серйозно ставитеся до конфіденційності своїх користувачів. А для більш повної картини вам потрібно проконсультуватися з кваліфікованим юристом в даній юрисдикції.
GDPR застосовується до даних, які збираються, обробляються та/або зберігаються в Європі незалежно від того, де зібрані дані. Якщо у вас є інтернет-магазин з інформаційної розсилкою, і хоча б один передплатник з ЄС підписався на неї, тоді вас стосуються правила GDPR.
Одним із значних умов GDPR є те, що тепер заборонена передача даних за межі ЄС в будь-яку країну, яку ЄС не вважає відповідну законам про захист персональних даних. Якщо ви передаєте особисті дані за межі ЄС для обробки або зберігання, то ви повинні отримати явну згоду на це від користувача, якому належать дані.
З огляду на багаторівневий характер юрисдикцій Інтернету і такі технології, як CDN, розумно припустити, що в певний момент дані, які ви збираєте і зберігайте, будуть передаватися за межі ЄС і схвалених країн. Тому, незалежно від того, які інші дозволи ви запитуєте у своїх користувачів, бажано завжди отримувати дозвіл на зберігання даних за межами ЄС.
Існує два основних типи даних, які по GDPR повинні бути захищені: особисті і делікатні.
Хоча може виникнути колізія в випадках, коли особисті дані стають делікатними. Наприклад, адреса електронної пошти – це особисті дані, але якщо адреса електронної пошти типу «fanat-trampa-2018@…», з якої можна зробити висновок про політичні уподобання користувача, тоді ці дані вже відносяться до делікатних. Подібні випадки, швидше за все, будуть розглядатися регулюючими органами в кожному конкретному випадку.
GDPR встановлює умови для даних, які можуть бути зібрані з різних джерел. Якщо зловмисник може використовувати дані конкретної людини, які ви зберігаєте, для зіставлення (наприклад, за його IP-адресою) з делікатними даними, що зберігаються на іншому сайті, тоді ви внесли свій вклад в компрометацію делікатних даних цього користувача, навіть якщо ви самі не зберігайте ці делікатні дані.
Краща тактика тут полягає в тому, щоб ніколи не запитувати більше даних, ніж вам потрібно – чим менше даних ви зберігаєте, тим менше ризику їх втратити.
У будь-якій ситуації, коли ви запитуєте дані користувача, спочатку запитайте себе: як це вплине на права власника цих даних?
GDPR визначає наступні офіційні права, якими володіють власники даних:
Однак гравці, які зберігають дані, також мають права. Наприклад, уявіть, що користувач підписався на вашу розсилку. Пізніше він вирішує, що більше не хоче отримувати розсилку і відписується. Ви просто зобов’язані назавжди стерти адресу електронної пошти цього користувача. Однак, коли користувач підписується на розсилку, ви повинні знати його IP-адресу, щоб зіставити з його згодою отримувати розсилку (як і зобов’язані), значить ви маєте право зберегти ці дані, щоб підтвердити виконання своїм сайтом правил GDPR.
Важливо розуміти, що регулюючий орган ЄС не зобов’язаний доводити ваше недотримання правил. Це є вашим юридичним обов’язком доводити, що ви відповідаєте правилам, а нездатність зробити це саме по собі є невідповідністю вимогам.
Загальні правила захисту даних визначаються методом «Проектована конфіденційність» (PBD – Privacy by Design). PBD має на увазі, що конфіденційність не забезпечується законним дотриманням, а скоріше повинна прийматися організацією як підхід за замовчуванням.
PBD вважає, що конфіденційність, скомпрометована одного разу, не може бути відновлена, і тому слід заздалегідь передбачити і запобігти загрозам конфіденційності. Проектована конфіденційність визначається 7-ма принципами:
Основним компонентом PBD і вимогою відповідності GDPR є оцінка впливу на конфіденційність (PIA).
Будь-цифровий продукт повинен мати PIA. В ідеалі PIA – це онлайн-документ, який росте в міру розробки продукту (відповідно до третього принципу PBD).
Метою PIA є документування загроз конфіденційності у вашій системі і дій, вжитих вами для боротьби з ними. Це, по суті, персоналізований контрольний список питань конфіденційності та він може розглядатися як дорожня карта для захисту конфіденційності ваших користувачів.
Немає стандартного контрольного списку для PIA, тому що кожен проект унікальний, але є деякий передовий досвід якому ви можете слідувати. Не бійтеся додавати додаткові деталі, якщо ваш проект гарантує це.
Продовжуйте розробляти і розширювати PIA протягом усього терміну служби вашого продукту.
Великі організації і будь-який центр обробки даних (наприклад, банки, хостинги і т.п.) повинні призначати співробітника із захисту даних (DPO), роль якого полягає в забезпеченні відповідності організації вимогам GDPR. Невеликі компанії звільняються від призначення офіційного DPO. Наприклад, якщо ви володієте рестораном, вам зазвичай не потрібно призначати DPO. Однак, якщо ви запускаєте бізнес доставки з цього ресторану, і ви зберігаєте делікатні дані, такі як алергія (інформація про яку відноситься до медичних даних) або переваги в їжі (особливо якщо ці переваги є релігійними), вам майже напевно потрібен буде DPO.
Відсутність «ні» не означає «так». Згідно з 2-м принципом PBD, умова конфіденційності повинна прийматися за замовчуванням.
Згідно 4-му принципу PBD, ви не можете сказати, що користувач може використовувати систему тільки в тому випадку, якщо він погодиться порушити своє право на недоторканність приватного життя. Користувачі мають право на згоду, але вони також мають право не погоджуватися.
Ніколи не обманюйте користувачів про згоду: користувачі повинні точно розуміти, які дані їм пропонується розкрити, чому їх просять розкрити ці дані, як вони будуть захищені і як вони можуть дати на це свою згоду (або ж не дати згоду).
Відповідно до GDPR, згода ретельно визначається для забезпечення захисту прав користувачів:
Якщо згода, отримана вами від ваших користувачів, не виконує будь-які з цих вимог, тоді буде вважатися, що у вас немає згоди, незалежно від намірів ваших користувачів.
Більшість веб-сайтів розміщують загальну заяву про конфіденційність, але відповідність вимогам GDPR вимагає набагато більш конкретної декларації про конфіденційність.
Щоб відповідати принципам 6 і 7 PBD, ваш сайт, додаток або послуга повинні мати публічну заяву про конфіденційність (PPS), написану простою мовою, яка повинна бути зрозумілою користувачам.
Ваше PPS повинно містити наступну інформацію:
Зазвичай прийнято завірення типу «Ми не будемо ділитися вашими даними з будь-якою третьою стороною», але це не так для більшості компаній. Незалежно від того, чи то аналітика або веб-хостинг, ми ділимося величезною кількістю даних від імені наших користувачів, а GDPR вимагає від нас взяти на себе відповідальність за це. Не робіть обіцянок, які ви не можете виконати.
Існує безліч невеликих способів, за допомогою яких ми можемо поліпшити відповідність GDPR, без радикальної зміни сайту. У багатьох випадках це просто зміна мислення щодо веб-дизайну.
Сьогоднішній огляд присвячений людям, для яких важливе питання конфіденційності в Інтернеті, та хто цінує свої…
Вперше про бренд Pro Plan почули у 1986 році, коли він став частиною американської компанії…
Страх покарання гірше самого покарання (Покарання — завжди щось конкретне, і воно все ж краще,…
Якщо ви плануєте розмістити веб-сайт в мережі Інтернет, дуже важливо знайти для нього швидкий і…
Навчання за кордоном вже давно асоціюється з якісною освітою, новими можливостями та безліччю перспектив. Але…
Вибір майстра для ремонту та перетяжки меблів – завдання, яке потребує вдумливого підходу. Адже від…