Вплив GDPR на бізнес
Загальні відомості про GDPR
Загальний регламент захисту даних (GDPR) – це закон про забезпечення конфіденційності й захист даних усіх громадян і жителів Європейського Союзу (ЄС). GDPR регулює обробку компаніями, включно з GoDaddy, особистих даних фізичних осіб на території Європейського Союзу. GDPR набув чинності 25 травня 2018 року. Докладний опис GDPR і відповідності компанії GoDaddy його вимогам див. в Центрі конфіденційності.
GoDaddy – не юридична компанія
Ми сподіваємося, що цей документ допоможе краще зрозуміти вимоги регламенту GDPR і його вплив вас. Проте компанія GoDaddy не може надавати юридичні консультації. Крім того, тут наведено не всі відомості щодо GDPR. Кожна бізнес-ситуація відрізняється, а регламент GDPR як закон дуже складний. Якщо ви маєте запитання щодо бізнес-операцій і впливу GDPR (та інших застосовних законів про конфіденційність) на них, радимо проконсультуватися з юристом.
Ми не спеціалісти в різних областях
Хоч як би ми хотіли надати явну пораду із забезпечення відповідності вимогам GDPR, це неможливо. Ми не можемо передбачити всі цілі та наміри. Кожна організація по-різному функціонує, має різні політики, протоколи, співробітників, розташування тощо. Ми хочемо поділитися відомостями про забезпечення компанією GoDaddy відповідності GDPR. Проте в цьому законі є кілька нюансів, на які ми звернули увагу в цьому документі. Взявши їх до уваги, ви повинні провести власні оцінки відповідно до своєї конкретної ситуації.
Відмінні риси GDPR
Не все в регламенті GDPR відрізняється від інших світових законів про конфіденційність. Унікальність цього регламенту полягає в тому, що його дію не обмежено лише рамками Європейського Союзу. Ці закони застосовуються до будь-якої компанії в усьому світі, яка оброблює особисті дані жителів ЄС, а також накладають значні штрафи за невідповідність (до 20 мільйонів Євро або 4% від глобального річного доходу). Тому що більші країни, штрафи та ширший розмах, то більше це питання висвітлюється в засобах масової інформації. Це не означає, що немає ніяких відмінностей. Регламент GDPR зобов’язує компанії, які підпали під його дію, надати клієнтам певні права (наприклад, на вилучення та перенесення даних) і прийняти певні заходи із забезпечення відповідності.
Перевірка впливу на організацію
Вплив на бізнес залежить від кількох причин. Якщо компанію розташовано в Європейській економічній зоні або ви продаєте товари та послуги клієнтам на її території, продовжуйте читати цю статтю. Інакше ці питання не стосуються вас (зверніться до юриста, щоб підтвердити це).
Відповідність продуктів і служб GoDaddy вимогам GDPR
Жоден продукт або служба самі по собі не відповідають вимогам GDPR. Забезпечити відповідність можна, лише налаштувавши їх належним чином, а також установивши інші політики, процеси та заходи, що відповідають конкретним бізнес-потребам (деякі з них описано нижче). Ніхто краще не орієнтується в потребах бізнесу, ніж його власник. Компанія GoDaddy лише надає засоби та ресурси, які можуть допомогти організації забезпечити відповідність GDPR. Ми не можемо гарантувати відповідність організацій будь-яким законам.
Відповідність вимогам GDPR
Регламент GDPR дійсно зосереджений на конфіденційності особистої інформації. Якщо стисло, тут зібрано норми захисту та належного використання особистих даних клієнтів. Перш ніж заглибитись у подробиці, ознайомтеся з кількома нижче наведеними основними визначеннями згідно із законом, які допоможуть зрозуміти відповідні обов’язки щодо обробки особистих даних.
- Суб’єкт даних – особа, яка надає особисті відомості. До цієї категорії входять клієнти, співробітники та відвідувачі веб-сайту (якщо ви збираєте інформацію про них за допомогою файлів cookie та інших технологій).
- Контролер даних — сторона, що визначає цілі та засоби обробки особистих даних.
- Обробник даних – сторона, яка оброблює особисті дані від імені контролера даних.
- Обробка – будь-яка операція або сукупність операцій, які виконуються з особистими даними автоматично або вручну, зокрема збирання, записування, упорядкування, структурування, зберігання, адаптація або змінення, отримання, консультування, використання, розкриття шляхом передавання, розповсюдження або надання доступу іншим чином, узгодження або комбінування, обмеження, стирання або знищення.
- Особисті дані. GDPR застосовується лише до особистих даних – будь-якої інформації, що прямо або опосередковано може ідентифікувати особу. Це визначення стосується багатьох ідентифікаторів, включно з іменем, ідентифікаційним номером, даними про розташування, ідентифікаторами в Інтернеті, які відображають зміни в технології та збір організаціями особистих даних користувачів. По суті, усі дані, на основі яких можна визначити користувача, клієнта або іншу особу, вважаються особистими.
Вплив цих визначень на клієнтів
Що стосується нас, то час від часу ми виступаємо контролером даних (збираємо дані, як-от імена, адреси електронної пошти, номери телефонів і дані кредитних карток, з метою збуту продуктів і служб), а інколи обробником даних (наприклад, коли ви використовуєте наші розміщені служби для своїх бізнес-цілей, а потім передаєте інформацію на наші сервери, завдяки чому ми можемо надавати й обслуговувати служби, а також керувати ними). У цьому випадку ви є контролером даних. (Докладні відомості див. нижче.)
Вимоги закону
Офіційна версія GDPR складається з 261 сторінки та містить 173 пункти й 99 статей. Як уже згадувалося, це складний закон і багато чого в ньому має неоднозначне тлумачення (на щастя). Ми розглянемо лише кілька основних принципів.
Прозорість
Збір і використання даних Чіткість і зрозумілість – це важлива основа будь-якого закону про конфіденційність, включно з GDPR.
Ви, найімовірніше, уже отримали безліч електронних листів про оновлення політики конфіденційності. Це не випадково. Відповідно до GDPR компанії мусять поліпшити прозорість і надати чіткі пояснення методів збору особистих даних своїх клієнтів (інакше кажучи, зробити все, щоб користувачі краще зрозуміли цей процес). Політики конфіденційності забезпечують прозорість. У них чітко та зрозумілою мовою пояснюються методи збору й використання особистих даних клієнтів, а також способи зв’язку з ними та дотримання їхніх прав.
GoDaddy надає засоби, які дають змогу додавати політики конфіденційності до сайтів, а інколи також і шаблони, з якими можна почати роботу. Ми не знаємо всі нюанси ведення бізнесу клієнтів, тому не можемо надати політику конфіденційності, яка повністю забезпечує відповідність вимогам.
Керування вмістом клієнтом
Прозорість – це важливе поняття. Проте, якщо ви використовуєте (або збираєте) дані не лише з метою надання послуг або продажу товарів, ви повинні надати клієнтам право погодитися на таке додаткове використання або пізніше скасувати цю згоду.
Найочевидніший приклад у цьому випадку – це взаємодія з клієнтами за допомогою зібраних адрес електронної пошти та номерів телефонів (зазвичай ми надаємо можливості керування такими розсилками та передплатами). Клієнти надають ці дані під час створення облікових записів або придбання продуктів чи служб. Інформація про окремих фізичних осіб також збирається під час відвідування ними веб-сайтів. Це здійснюється за допомогою таких засобів, як файли cookie (і подібних технологій, як-от пікселі, сценарії тощо). Звісно, ви бачили повідомлення про файли cookie, коли відвідували веб-сайти. Як і політика конфіденційності, ці повідомлення забезпечують прозорість. Крім того, ці повідомлення дають користувачам змогу зрозуміти, за допомогою яких засобів збирається інформація про них, дати згоду на збір, відхилити цю пропозицію та (або) іншим способом керувати файлами cookie.
Відповідно до GDPR клієнти повинні мати право в зручний, зрозумілий, конкретний (під час нестандартного використання) і явний спосіб надати згоду на такий збір (і подальше використання) інформації. Попередньо встановлені прапорці, тиша та відсутність активності не можуть указувати на згоду. Наприклад, якщо на веб-сайті є прапорець "Ми надаватимемо доступ до ваших даних стороннім рекламодавцям", ви не можете попередньо встановити його, щоб отримати згоду суб’єктів на обробку їхніх даних. Цей прапорець має залишатися знятим, доки суб’єкт даних, який проживає в Європейській економічній зоні, явно не дасть згоду на таку обробку.
Зрештою, ви повинні надати своїм користувачам можливість керувати використання їхніх особистих даних, розсилкою та згодою, включно з правом скасувати цю згоду.
Право на вилучення даних
Як ми вже згадували раніше, GDPR нагадує інші світові закони про конфіденційність. Це право унікальне. GDPR надає фізичним особам право на вилучення даних (право на очищення даних згідно з цим законом). Це означає, що, якщо зібрані особисті дані більше не потрібні, користувач може надіслати запит на їх видалення (тобто вилучається вся інформація про нього).
Якщо є таке право, ви повинні видалити особисті дані клієнтів зі своїх систем (крім випадків, коли існує законна підстава або юридична причина збереження таких даних, наприклад для фінансової звітності або юридичного утримання).
Наприклад, після припинення ділових відносин користувач може надіслати запит на видалення зібраної раніше та збереженої інформації про нього. Хоча існують певні обмеження (і взагалі це питання має багато винятків і складних нюансів), ви повинні розглянути цей запит і виконати його.
Зі своєї сторони, компанія GoDaddy, як описано в Додатковій угоді про обробку даних, зобов’язана поважати запити контролерів даних на вилучення особистих відомостей клієнтів зі своїх систем.
Право на перенесення даних
Право на перенесення даних – це ще одне унікальне право GDPR, яке дає змогу фізичним особам отримувати та повторно використовувати свої особисті дані в різних службах із будь-якою метою. Крім того, це право дає змогу легко переносити, копіювати або передавати особисті дані з одного IT-середовища до іншого безпечним і надійним способом без впливу на їхнє використання.
Уявімо, що ви організатор події. Клієнт надав усю контактну інформацію та важливі особисті побажання, але згодом переїхав і вирішив найняти нового організатора. У Європейській економічній зоні цей клієнт повинен мати змогу отримати копію особистих даних, щоб легко залагодити питання з новим організатором. Компанія GoDaddy допомагає з такими запитами. Їх виконання залежить від наявності особистих даних і можливості їхнього експорту з наданих нами продуктів і служб.
Конфіденційність за замовчуванням
Конфіденційність за замовчуванням означає, що під час отримання, обробки, зберігання та використання особистих даних застосовуються необхідні методи гарантування безпеки. Не потрібно брати до уваги спеціальні фактори або вживати додаткових заходів. Збирається лише мінімальний необхідний обсяг даних, які згодом шифруються та зберігаються в захищених розташуваннях. Доступ до цих даних мають лише спеціально навчені люди. Це також дає змогу гарантувати, що треті сторони теж мають необхідні засоби забезпечення захисту, щоб можна було без побоювання надсилати їм особисті дані ваших клієнтів.
Це так само важливо, як і відвідування лікаря. Як пацієнт ви хотіли б, щоб медичні записи, нотатки та отримані поради зберігалися в безпеці та конфіденційно. Ставтеся так само до суб’єктів даних, і ви завжди матимете конкурентні переваги.
Будь-які звіти про бізнес-операції повинні містити відомості про використання та конфіденційність продуктів і служб GoDaddy. Ми сподіваємося, що наші продукти та служби можна налаштувати відповідно до певних вимог. Проте ви повинні самостійно визначати, чи відповідають вони вимогам відповідних застосовних законів про конфіденційність і захист даних.
Повідомлення про порушення конфіденційності особистих даних
У випадку порушення конфіденційності особистих даних компанії протягом 72 годин зобов’язані повідомити орган нагляду. Щоб отримати докладні відомості про розголошення даних і заходи, яких потрібно в такому випадку вжити, проконсультуйтеся зі своїм юристом.
Наслідки GDPR
Як згадувалося раніше, переважну більшість часу компанія GoDaddy виступає обробником даних клієнтів. Ми оброблюємо дані з дотриманням суворих вимог. Завдяки цьому ми можемо надавати придбані в нас служби від вашого імені або іншим указаним способом. Незалежно від того, що ви робите – збираєте дані й продаєте свої товари чи збираєте відомості про зустрічі або потенційних клієнтів, – ми гарантуємо, що ці дані оброблюватимуться безпечним і надійним способом від вашого імені.
Як Контролер даних ви керуєте тим, як дані використовуються та зберігаються, і ми оброблятимемо їх лише згідно з нашими додатковими положеннями про обробку щодо надання та обслуговування послуг від вашого імені. Це означає, що ви повинні ретельно стежити за своїми внутрішніми політиками та доступом співробітників до записів, зокрема щодо того, як ви надаєте доступ до даних стороннім організаціям і як легко хтось може отримати доступ до інформації суб’єкта даних.
Як випливає з основних пунктів вище, регламент GDPR (та інші закони про конфіденційність) захищає збір і використання зібраних даних.