Суботній ранок у Legal High School почався з майстер-класу «12 кроків до відповідності вимогам GDPR», який провів Станіслав Коваленко, офіцер із захисту даних.
Спочатку спікер розповів слухачам, що таке GDPR і сфера його дії. General Data Protection Regulation (GDPR) в перекладі з англійської — Загальний регламент про захист даних. GDPR набув чинності 25 травня 2018 року, замінивши Директиву 95/46/ЄС про захист фізичних осіб стосовно обробки персональних даних та вільного руху таких даних. Предметом регулювання GDPR є персональні дані, тобто будь-яка інформація, що дає змогу ідентифікувати фізичну особу (суб’єкт даних). Пан Коваленко зазначив, що до персональних даних належать як загальні, так і спеціальні персональні дані, а також інформація про судимості й кримінальні злочини або про пов’язані з цим заходи безпеки. Спеціальними даними прийнято вважати інформацію про расове й етичне походження, політичні погляди, дані про здоров’я тощо.
Далі у ході тренінгу експерт представив до уваги перелік рекомендованих заходів для відповідності GDPR, серед яких проведення аудиту у вигляді інтерв’ю з працівниками, задіяними в бізнес-процесах та за участю працівника IТ. Також необхідно провести інвентаризацію інформаційних систем і баз персональних даних, проаналізувати інтерфейси IТ і сайту компанії, організації.
Пан Коваленко також порадив розробити й опублікувати Політику конфіденційності (Privacy Policy) та Політику використання файлів cookie (Cookie Policy). Впровадження таких політик необхідне з метою виконання вимог GDPR щодо законності та прозорості обробки персональних даних.
Важливо отримати «правильну» згоду на обробку персональних даних. GDPR вимагає «вільну конкретну інформаційну та однозначну» користувацьку згоду. Згідно з пунктом 171 Преамбули GDPR немає необхідності в отриманні нової згоди, якщо раніше отримана згода на обробку персональних даних задовольняє відповідні вимоги. На думку спікера, щоб отримати «правильну» згоду на обробку персональних даних, потрібно враховувати такі ключові моменти: згода не має бути попередньою умовою отримання послуги, за винятком випадків, коли це необхідно для даної послуги. Крім того, експерт порадив вести записи, щоб за потреби продемонструвати суб’єкту персональних даних, що він дав згоду, у тому числі коли і яким чином.
Говорячи про принципи GDPR, спікер звернув увагу на те, що є всього сім основоположних принципів, яких необхідно дотримуватися: прозорість і законність обробки даних, наявність цільового призначення збору таких даних. Збирати і зберігати потрібно тільки мінімальну кількість персональних даних, достатніх для зазначеної мети. Забезпечити точність персональних даних, можливість їх редагування і видалення, а також їх конфіденційність. І, звичайно ж, контролер повинен бути готовим підтвердити виконання наведених вище принципів. Статті 13, 14 Регламенту GDPR містять конкретну інформацію, яку необхідно надати суб’єкту даних. Збір та обробка даних мають супроводжуватися приведенням всіх процесів у відповідність до концепцій privacy by design & by default, що регулюється статтею 25 (1,2) Регламенту.
Одним із кроків відповідності GDPR є створення та оновлення при необхідності облікових записів про обробку персональних даних. В облікових записах контролера даних і його представника ЄС необхідно відобразити найменування та контакти контролера, його представника в ЄС, мету обробки персональних даних, опис категорій суб’єктів даних і склад оброблюваних персональних дані та іншу інформацію.
На завершення тренінгу спікер розповів про представництво в ЄС. Компанії, організації, що не засновані в ЄС, але на які поширюється дія Регламенту, повинні призначити свого представника в разі, якщо вони обробляють персональні дані спеціальних категорій у великих масштабах, дані про судимість та кримінальні злочини, якщо є ймовірність ризику для прав і свобод фізичних осіб. Представника в ЄС необхідно призначити на підставі письмового доручення контролера або діяти від його імені в контексті його зобов’язань за Регламентом.
