Захист персональних даних. Огляд Європейських вимог та практик

Майстер-клас: секрети випікання найсмачніших млинців!

02.04.2025

В умовах розвитку цифрової трансформації питання захисту персональних даних співробітників та клієнтів стає дедалі актуальнішим. Прозора обробка персональних даних із застосуванням кращих практик є одним з ключових аспектів для побудови довіри між організацією та клієнтами. 
Враховуючи стрімкий розвиток технологій обробки персональних даних, питання їх безпеки набуває особливого значення. У Європейському Союзі для регулювання цієї сфери діє Загальний регламент про захист даних (GDPR), який встановлює правила обробки персональних даних для організацій. Варто зауважити, що наразі тривають зміни в українському законодавстві щодо обробки персональних даних. Зокрема, у 2022 році був представлений проєкт оновленого Закону «Про захист персональних даних», який гармонізує національне законодавство до європейських норм.

Відповідно до викладеного вище європейські практики обробки персональних даних поступово впроваджуються українськими організаціями. Даний факт зумовлений не тільки законодавчими змінами, а й новими викликами інформаційної безпеки. 

Вимоги GDPR у практичному виконанні. Що потрібно знати про системи резервного копіювання: загальна інформація

1. Оцінка ризиків
Однією з ключових вимог GDPR є проведення оцінки ризиків обробки персональних даних, зокрема, проведення Data Protection Impact Assessment (DPIA) у випадках, коли обробка персональних даних може призвести до високих ризиків для прав і свобод суб’єктів даних (ст. 35 GDPR).

DPIA є структурованим процесом аналізу потенційних ризиків, пов’язаних з обробкою персональних даних. Організації, які працюють із великими обсягами персональних даних або застосовують нові технології обробки, стикаються із загрозами несанкціонованого доступу, витоку або втрати даних. Тому проведення DPIA дозволяє не лише виявити та оцінити потенційні ризики, а й продемонструвати прозорість обробки та дотримання належного рівня захисту персональних даних.

Для ефективного управління ризиками рекомендується застосовувати загальновизнані методології, зокрема ISO/IEC 27005, CIS RAM тощо. Ключові аспекти управління ризиками інформаційної безпеки відповідно до міжнародного стандарту ISO/IEC 27005 викладені у статті «Ризики інформаційної безпеки. Чому це важливо і як з ними працювати відповідно до ISO/IEC 27005?».

2. Призначення відповідальної особи з питань захисту даних (DPO)

В організаціях, які здійснюють масштабний і систематичний моніторинг суб’єктів даних (ст. 37 GDPR) або обробляють спеціальні категорії персональних даних (зокрема, про расову чи етнічну приналежність, політичні переконання, релігійні чи філософські вірування тощо) (ст. 9 GDPR), має бути призначений Data Protection Officer (DPO). 

До основних обов’язків DPO належать:

● навчання персоналу з питань дотримання GDPR;● надання консультацій керівництву організації щодо заходів захисту персональних даних;● взаємодія з регуляторами та відповідь на запити контролювальних органів;контроль відповідності внутрішніх процесів вимогам GDPR.
Варто зазначити, що DPO несе незалежну функцію в організації та повинен уникати конфлікту інтересів (ст. 38 GDPR). Тобто, він не може бути відповідальним за прийняття управлінських рішень щодо обробки даних, а виконує лише наглядову та консультативну роль.

У яких випадках призначення DPO не є обов’язковим?

● Обробка персональних даних здійснюється інколи та не є основною діяльністю компанії. ● Організація не здійснює масштабного моніторингу поведінки користувачів. ● Обробка персональних даних не включає чутливу інформацію та здійснюється у невеликих обсягах.

3. Управління запитами суб’єктів даних

Відповідно до статей 12–23 GDPR, суб’єкти даних мають низку прав щодо керування своїми персональними даними, включно з правом на доступ, виправлення, видалення, обмеження обробки та перенесення даних. Організації, які обробляють персональні дані, зобов’язані забезпечити механізми для реалізації вищезгаданих прав суб’єктів.

Основні права суб’єктів даних відповідно до GDPR:

● Право на доступ (ст. 15) – суб’єкт має право отримати підтвердження щодо обробки своїх персональних даних і запитати копію цих даних.● Право на виправлення (ст. 16) – суб’єкт має право на виправлення його або її неточних персональних даних. ● Право на видалення («право бути забутим», ст. 17) – у певних випадках особа може вимагати видалення своїх персональних даних, наприклад, якщо вони більше не потрібні для цілей, для яких збиралися.● Право на обмеження опрацювання (ст. 18) – дозволяє тимчасово зупинити обробку даних, якщо їх точність оскаржується або є юридичні підстави для заперечення обробки.● Право на перенесення даних (ст. 20) – суб’єкт має право отримати свої дані у структурованому форматі та передати їх іншому контролеру.● Право на заперечення (ст. 21) – суб’єкт може вимагати від організації припинити використання персональних даних у певних випадках. Проте це право не діє, якщо організація обробляє дані для виконання законних підстав для опрацювання.

4. Повідомлення про витоки даних

Організації, які обробляють персональні дані, повинні повідомляти регуляторні органи про інциденти щодо обробки та захисту даних протягом 72 годин після його ідентифікації. Якщо інцидент створює значний ризик для суб’єктів даних, організація також зобов’язана інформувати постраждалих осіб. 

Висновок

З огляду на викладене вище, можна зробити висновок, що організації впроваджують вимоги GDPR не тільки для відповідності законодавству, а й для підвищення довіри клієнтів. Оцінка ризиків, автоматизація процесів захисту даних та використання передових технологій дозволяють не лише дотримуватись регуляторних вимог, а й створювати конкурентну перевагу на ринку. Дотримання GDPR – це не лише обов’язок, а й стратегічний крок до покращення бізнес-процесів організації.

IT Specialist – безпечна інтеграція в майбутнє!

Автор: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів)