Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Працюєте з даними клієнтів в Європі? Пам'ятайте про вимоги щодо захисту персональних даних!

Майстер-клас: секрети випікання найсмачніших млинців!

21.02.2025

Кожна організація певним чином збирає та обробляє персональні дані своїх співробітників, клієнтів та партнерів. У сучасних умовах ведення бізнесу персональні дані є цінним ресурсом для досягнення бізнес-цілей, оскільки організації збирають інформацію про клієнтів для аналізу поведінки, прогнозування потреб і персоналізації послуг. 
У перспективі кожна амбітна організація прагне масштабуватися, вийти на європейський ринок або надавати послуги громадянам ЄС. Такий крок сприяє створенню нових можливостей для зростання та розширення клієнтської бази. Однак, працюючи з європейськими партнерами або обробляючи дані громадян ЄС, організація повинна відповідати вимогам європейського законодавства.
Відповідно до швидкого розвитку цифрового середовища та технологій, враховуючи вплив та зростаючу кількість випадків зловживання під час обробки персональних даних змусили ЄС переглянути регуляторні підходи. Тому у 2018 році європейські інституції запровадили Загальний регламент про захист персональних даних (GDPR), що прийшов на зміну Директиві 95/46/ЄС.
Що це означає для бізнесу, який планує ринкову експансію або вже обробляє персональні дані громадян ЄС? Вищезгадане зобов’язує забезпечити відповідність процесів обробки та захисту персональних даних відповідно до європейських норм, що є ключовою умовою виходу на європейський ринок. 

Принципи GDPR

Головною метою GDPR є захист персональних даних суб’єктів даних ЄС, який ґрунтується на семи принципах GDPR, які задають рамки для обробки та захисту персональних даних:
1. Законність, правомірність та прозорість
Організації мають обробляти персональні дані законно, дотримуючись визначених правових підстав. Важливим аспектом є прозорість, зокрема зобов’язання інформувати користувачів про те, з якою метою, які їхні дані збираються, як довго вони зберігатимуться та чи будуть передані третім сторонам. Вся ця інформація має бути подана у зрозумілій та доступній формі, без складних юридичних чи технічних термінів.
2. Обмеження мети збору даних
Дані користувачів можна збирати лише для конкретних, чітко визначених і законних цілей. Це означає, що організації не мають права використовувати зібрану інформацію для інших цілей, не зазначених у політиці конфіденційності або в момент отримання згоди від користувача. Наприклад, якщо організація отримала електронну пошту клієнта для обробки замовлення, вона не може використовувати її для маркетингових розсилок без окремої згоди. Усі зміни у використанні даних вимагають оновлення політики конфіденційності та повторного погодження з клієнтом.
3. Мінімізація даних
GDPR забороняє збирати більше даних, ніж необхідно для виконання визначених цілей опрацювання. Організації мають ретельно переглядати та оптимізувати свої процеси збору інформації, щоб уникнути надлишкового зберігання персональних даних.Наприклад, книгарня хоче збільшити свій дохід, продаючи книги онлайн. Власник книгарні хоче створити стандартизовану форму для оформлення онлайн замовлень. Щоб запобігти тому, що клієнти не заповнять всю необхідну інформацію, власник книгарні робить всі поля форми обов'язковими для заповнення (якщо клієнт не заповнить всі поля, то він не зможе оформити замовлення), використовуючи стандартну контактну форму. Власник інтернет-магазину спочатку використовує стандартну контактну форму, в якій запитує дату народження, номер телефону та домашню адресу покупця. Однак не всі поля у формі є строго необхідними для купівлі та доставлення книг, зокрема дата народження та номер телефону суб'єкта даних не є необхідними для придбання товару. Це означає, що вони не можуть бути обов'язковими полями у веб-формі для замовлення товару.
4. Точність
Зібрані персональні дані повинні бути актуальними та точними. Організації мають забезпечувати можливість виправлення або оновлення інформації на вимогу користувача, а також самостійно перевіряти її автентичність. Наприклад, якщо компанія використовує контактні дані клієнтів для виставлення рахунків, вона повинна регулярно оновлювати їх, щоб уникнути помилок у фінансових операціях.
5. Обмеження терміну зберігання
Персональні дані не можна зберігати довше, ніж це необхідно для виконання мети їхньої обробки. Після завершення цього періоду інформацію слід безпечно видалити або анонімізувати. Організації мають розробляти політики управління життєвим циклом даних та встановлювати чіткі строки їхнього зберігання. Наприклад, роботодавець має переглянути персональні дані, які він зберігає про працівника, коли той звільняється. Водночас роботодавець повинен зберігати достатню кількість даних, щоб організація могла розв’язувати питання, пов'язані, зокрема, з наданням рекомендацій або пенсійним забезпеченням. Однак вона повинна видалити зі своїх записів персональні дані, які навряд чи знадобляться їй знову - наприклад, контактні дані працівника на випадок надзвичайних ситуацій, попередні адреси тощо.
6. Цілісність і конфіденційність
Персональні дані повинні бути захищені від несанкціонованого доступу, витоку або пошкодження. Організації мають реалізувати відповідні технічні (шифрування, багаторівневий контроль доступу) та організаційні (угоди про нерозголошення, навчання співробітників) заходи. Важливим аспектом цього принципу є також обмеження доступу до даних – лише ті співробітники, яким дійсно потрібно працювати з інформацією, мають мати до неї доступ.
7. Підзвітність
GDPR зобов’язує організації не лише дотримуватися правил, а й бути готовими продемонструвати відповідність вимогам у будь-який момент. Це означає, що організації мають документувати всі процеси обробки персональних даних, впроваджувати політики безпеки та призначати відповідальних осіб за їхню обробку. У разі перевірки з боку регуляторів організація має надати докази, що її діяльність відповідає принципам GDPR.
Отже, принципи GDPR формують загальні підходи до обробки персональних даних, визначаючи ключові засади, яких повинні дотримуватися організації. Захист персональних даних потребує комплексного підходу, що охоплює як технічні, так і організаційні заходи. Однак GDPR не надає універсального набору інструментів чи алгоритмів їх реалізації, що залишає організаціям певну варіативність у виборі методів відповідно до їхніх потреб і можливостей. Нижче пропонується розглянути ключові вимоги GDPR, які допомагають забезпечити належний рівень захисту персональних даних.

Основні вимоги GDPR щодо захисту персональних даних

1. Оцінка ризиків та впровадження заходів безпеки
Відповідно до статті 32 GDPR організації мають проводити оцінку ризиків і впроваджувати відповідні технічні засоби та організаційні заходи інформаційної безпеки для їх мінімізації. Вибір конкретних заходів залежить від масштабів і характеру обробки даних.
2. Призначення відповідальної особи з питань захисту даних
Відповідно до статті 37 GDPR організація має призначити відповідальну особу з питань захисту даних (DPO), якщо: 
● Є органом влади або публічною установою (за винятком судових органів, які виконують судові функції).● Основна діяльність організації пов’язана з регулярним, систематичним і масштабним моніторингом суб’єктів даних (наприклад, оператори соціальних мереж, банки, страхові компанії, телекомунікаційні провайдери).● Обробляє чутливі персональні дані у великому обсязі (наприклад, лікарні, лабораторії, компанії, що використовують біометричні технології).
Якщо організація не підпадає під ці критерії, вона не зобов’язана призначати особу з питань захисту даних (DPO), проте може зробити це добровільно для оптимізації процесів дотримання GDPR.
3. Забезпечення прав суб’єктів даних
GDPR надає громадянам ЄС широкий спектр прав, які регламентовані статтями 12-23, зокрема право на доступ до своїх даних, їх виправлення, видалення («право бути забутим»), обмеження обробки, перенесення даних та заперечення проти автоматизованого прийняття рішень. Організації повинні розробити механізми, що дозволяють оперативно реагувати на запити суб’єктів даних.
4. Вимоги щодо повідомлення про витоки даних
Згідно зі статтею 33 GDPR у разі порушень безпеки персональних даних контролер повинен без необґрунтованої затримки та, за можливості, не пізніше, ніж протягом 72 години після того, як йому стало відомо про це, повідомити про порушення повідомити відповідний наглядовий орган. Якщо витік потенційно може завдати шкоди суб’єктам даних, то відповідно до статті 34 GDPR контролер також зобов’язаний повідомити суб’єктів даних осіб про загрозу їхнім правам.
5. Передача даних за межі ЄС
GDPR накладає жорсткі обмеження на передачу персональних даних до країн за межами Європейського Союзу, зокрема в статтях 44-50. Організації можуть передавати дані лише у випадках, якщо країна-отримувач забезпечує належний рівень захисту, організації дотримуються стандартних договірних положень або застосовують внутрішні політики та процедури, що забезпечують належний рівень захисту даних у рамках міжнародних угод.
З огляду на вищезгадане, основні вимоги GDPR спрямовані на забезпечення прозорості, безпеки та законності обробки персональних даних. Організації мають оцінювати ризики та впроваджувати відповідні заходи інформаційної безпеки, а в окремих випадках – призначати відповідальну особу з питань захисту даних (DPO). 
Особлива увага приділяється правам та можливостям суб’єктів даних, тому GDPR вимагає від організацій забезпечення механізмів для ефективного реагування на запити фізичних осіб. У разі витоку даних контролери зобов’язані повідомляти про інциденти наглядові органи та суб’єктів даних, а передача даних за межі ЄС можлива лише за умови дотримання встановлених гарантій безпеки. 

ISO/IEC 27701:2019, як доповнення GDPR

Відповідно до зазначених вимог організації мають визначити напрями для покращення процесів обробки персональних даних. GDPR охоплює широкий перелік аспектів, що впливають на захист персональних даних. 
Для сприяння реалізації механізмів захисту даних відповідно GDPR організації можуть використовувати вимоги та настанови, які описані в ISO/IEC 27701. Даний стандарт є розширенням ISO/IEC 27001 та ISO/IEC 27002 і містить конкретні вимоги з інформаційної безпеки та керівні принципи для управління конфіденційністю інформації. 
Варто підкреслити, що ISO/IEC 27701 – не звільняє організацію від відповідності вимогам GDPR, а є способом підсилення відповідності його вимогам і структуризації процесів обробки та захисту персональних даних.
Зазначимо, що наразі стандарт ISO/IEC 27701:2019 перебуває на етапі перегляду та оновлення. Очікується, що його замінить нова версія — ISO/IEC FDIS 27701 – у найближчі місяці. 

Загальний висновок

Дотримання принципів GDPR – це не лише юридична необхідність, а й важливий крок для підвищення довіри клієнтів та захисту бізнесу від репутаційних та фінансових ризиків в процесі євроінтеграції України. Організації, які реалізовують заходи з безпечного управління персональними даними, отримують конкурентну перевагу та зменшують ризик витоків чутливої інформації. Тому кожній організації, яка працює з європейськими клієнтами, варто приділити особливу увагу впровадженню регламентів/стандартів захисту персональних даних.

IT Specialist — безпечна інтеграція в майбутнє.

Автор статті: Дмитро Чуб, Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів.

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124