Європейські країни з повагою відносяться до прав кожної людини. Це стосується і захисту персональних даних кожного. Так, громадяни ЄС мають право контролювати, які дані і навіщо, збирають про них компанії. В разі небажання давати свої персональні дані тій чи інший організації, громадянин ЄС має право їх видалити.
Обов’язок безпеки персональних даних громадян лягає і на інші країни світу. Так, з минулого року, почали діяти правила про збереження персональних даних GDPR (General Data Protection Regulation). Це список правил для компаній, які збирають персональні дані своїх клієнтів, особливо це стосується громадян ЄС.
Такий регламент надає право контролю громадян над використанням своїх даних. Компанії, які порушують даний регламент, мають виплачувати великі суми штрафу.
Що саме розуміється під персональними даними?
Мається на увазі інформація про особистість, за допомогою якої її можна ідентифікувати. Людина такі дані може надавати сама під час заповнення онлайн-форми: електронну адресу, ПІБ, номер телефону тощо. Також дані можуть збиратися автоматично.
Наприклад, це те саме спливаюче віконце у верхньому лівому кутку із запитом про дозвіл гео-даних. Таким чином, система також отримує дані про місцезнаходження користувача, якщо він тисне кнопку «Так», дозволяючи визначити свою локацію. Система отримує IP адресу користувача.
Також автоматичним збором даних вважається фіксація переглядів та заходжень на певні сайти, сторінки, посилання користувачем. Таким чином, система збирає інформацію про смаки, переваги, інтереси людини, політичні погляди тощо.
Оплачуючи рахунки онлайн, користувач залишає дані по свої платіжні картки. Це також є персональною інформацією. Тобто, це є регуляція між тим, хто надає свої персональні дані та тим, хто їх отримує, зберігає та використовує.
Основні принципи GDPR
Як не порушити правила GDPR?
Будь-яка компанія, яка працює з персональними даними клієнтів, має ознайомитись з регламентом та скорегувати свої дії щодо збору та обробки персональних даних своїх клієнтів. Також необхідно забезпечити гарантії конфіденційності збору даних та не розповсюдженості. Будь-який клієнт, що добровільно надає свої персональні дані, має право знати мету їх збору та може в будь-який момент відкликати дану інформацію.
Обов’язок GDRP compliance поширюється на ряд українських компаній, які працюють в реальному секторі та сфері інформаційних технологій та послуг. Якщо продукт чи послуга компаній направлена на аудиторію країн Європейського Союзу, або організації мають офіси в європейських країнах, вони першочергово потрапляють під контроль європейського регулювання захисту персональних даних.
Компанії, які збирають персональні дані європейських користувачів, та при цьому збираються виносити дані за межі Євросоюзу, відповідальні за перевірки рівня безпеки захисту персональних даних тієї країни, в яку персональні дані будуть надходити (наприклад, якщо головний офіс компанії знаходиться в США чи іншій країні).
Як відповідати вимогам GDPR?
Обов’язкові кроки, які компанія, що збирає персональні дані повинна зробити, щоб відповідати вимогам правил GDPR:
- Перевірити поточні процеси збору та обробки персональних даних, які використовувались в компанії протягом діяльності та станом на сьогоднішній день. Зафіксувати рух даних можна, створивши Data Mapping. Це дозволить чітко бачити повний рух персональних даних та можливі недоліки, які потрібно виправити згідно правилам.
- GDRP compliance – це правила захисту персональних даних, відповідати яким неможливо без залучення в робочий процес аналітиків, юристів, ТОП-менеджерів компанії та технічних фахівців. Це узгоджений процес фіксування поточного стану в компанії та розробка і впровадження методів та нових норм роботи в компанії щодо збору та обробки персональних даних, які будуть зрозумілими та незмінними для всіх учасників процесу.
- Компанії мають розробити та затвердити внутрішні документи щодо процесу збору та обробки персональних даних. Зокрема, це процедура інформування користувача, яким чином та які дані компанія збирає, де та з якою метою збирається використовувати.
Так само прописується та затверджується угода між організацією та обробниками зібраних даних щодо конфіденційності їх зберігання. - Такі документи є гарантією прозорості процесу збору даних. Якщо компанія не відповідає вимогам Регламенту GDPR, але має на меті досягти потрібного рівня, фахівцям необхідно прописати та затвердити кроки та методи, які вони мають на меті втілити для скорішої відповідності нормам GDPR.
- Найважливішим кроком є виконання всіх затверджених змін в документах компанії. Відповідність Регламенту GDPR несе регулярний та незмінний характер. Отже, дотримання нових встановлених норм є запорукою успішної роботи компанії та зміцнення її іміджу перед користувачами та європейськими партнерами.
- Контроль з боку призначених відповідальних фахівців, має бути чіткий та постійний.
Компанія InBASE дотримується принципів регламенту GDPR. Всі продукти компанії та платформа UnityBase відповідають вимогам регламенту.
Системи Ubpm, Megapolis.DocNet, Deals створені для оптимізації та спрощення обміну та узгодження документів між організаціями чи відділами. Тому цілком логічно, що документи в електронному вигляді, містять дані, які система буде зберігати.
Але впроваджуючи автоматичну систему, користувач може бути в певнений, що всі дані залишаться конфіденційними і не будуть виходити за межі його повноважень. Навіть більше – сиистеми автоматизації спеціально налаштовані на можливість зберігання великої кількості документів при цьому, маючи більш захищений статус від витіку інформації, ніж навіть паперові аналоги.
Всю інформацію по збору даних нашою компанією, користувачі можуть вивчити на наших сайтах в розділі «Політика конфіденційності».
