RODO та безпека даних: як до цього підійти?

У сучасній реальності обробляється маса даних про клієнтів та їхню різноманітну поведінку: використання інтернету, знання про , де вони люблять проводити час, що їдять тощо. Закон RODO, або Загальний регламент захисту даних, був створений для захисту даних користувачів та зменшення ризику хакерських атак. Він застосовується до всіх підприємств, які обробляють дані та піддають їх профілюванню. Як ви знаходите свій шлях у лабіринті складнощів і неоднозначностей, пов’язаних з RODO?

Набуття чинності RODO 25 травня 2018 року могло сприйматися як “канцелярська неприємність”, але насправді його метою було підвищити безпеку даних, що обробляються в бізнесі, та посилити права осіб, які надають свої дані, в тому числі персональні дані. RODO є адаптацією польського законодавства до стандартів права Європейського Союзу. Хоча минуло більше року з моменту запровадження регламенту в Польщі, багато питань все ще потребують роз’яснення.

RODO на практиці: про які дані ми говоримо?

RODO або GDPR (General Data Protection Regulation) – це правовий ЄС, який надав користувачам більше контролю над їхніми даними. Це структуровані дані, тобто ті, що містяться в базах даних, і неструктуровані дані, що зберігаються на всіх видах носіїв, веб-пошті, мобільних пристроях тощо. Тому необхідно захищати дані та пристрої, тобто створювати цілісну ІТ-інфраструктуру, яка робить це можливим. За недотримання закону передбачені штрафи в розмірі до еквівалента 20 мільйонів євро або до чотирьох відсотків річного обороту компанії . Штраф, звісно, залежить від розміру відповідної компанії, її обороту – невелика компанія не буде оштрафована на таку ж суму, як велика компанія. Під час застосування санкцій враховується характер, серйозність та тривалість порушення, мотивація (чи відбулося воно навмисно чи ненавмисно), категорії даних, які були порушені, а також “кроки, вжиті контролером або процесором для мінімізації шкоди, завданої суб’єктам даних “.

Закон RODO. Нові права споживачів щодо обробки даних

Найважливіше в RODO стосується згоди споживача на обробку інформації. Що це означає?

• будь-яка згода користувача має бути добровільною, а відсутність згоди не повинна означати, що володілець даних зазнає негативних наслідків через це
• Існує потреба спростити формулювання згод у розділах про захист даних на сайті та розмістити їх так, щоб вони були видимими та читабельними для всіх. Користувач має право відкликати згоду
• Існує також право бути забутим, тобто користувач може вимагати видалення своїх даних з будь-яких баз даних, серверів, пристроїв.
• Користувач також має право змінювати інформацію та передавати дані іншому контролеру
• Користувач повинен бути свідомо поінформований не тільки про те, що він або вона дає згоду на обробку даних, але й про те, що його або її дані будуть профілюватися. Профілювання – це збір інформації про споживача на основі його поведінки в Інтернеті. Компанія повинна детально пояснити, для чого їй потрібні персональні дані та чому використовується профілювання.

Конфіденційність за задумом і конфіденційність за замовчуванням

Ці два положення є частиною регламенту RODO (стаття 25) і застосовуються до тих підприємців, які мають намір, наприклад, відкрити інтернет-магазин або розробити додаток.

1. Privacy by Design – контролер персональних даних (“орган, організаційний підрозділ, юридична або фізична особа, яка приймає рішення про цілі та засоби обробки персональних даних”, а у випадку бізнесу – сам підприємець) повинен вже на етапі проектування свого бізнесу врахувати захист даних користувачів та заходи безпеки, адекватні способу, меті та характеру обробки. Дані можуть, наприклад, бути псевдонімізовані, їхній обсяг мінімізований і, звичайно, користувачі повинні мати можливість їх бачити.
2. Конфіденційність за замовчуванням, тобто дотримання необхідного рівня безпеки. Якщо, наприклад, у нас є інтернет-магазин і ми розмістили на сайті форму із запитом на товар, то нехай там будуть лише основні поля для заповнення, а не, наприклад, ім’я, дата народження чи інші конфіденційні дані тощо. Тут потрібні лише ті дані, які необхідні для виконання замовлення. У цьому положенні також зазначено, що ми не повинні неявно передавати персональні дані невизначеному колу осіб, якщо це не робиться на прохання суб’єкта даних. Це положення також вказує не зберігати дані занадто довго.

Телекомунікаційні компанії, згідно зі статтею 159 Закону “Про телекомунікаційну таємницю”, захищають:

1. дані користувача;
2. зміст окремих повідомлень ;
3. передача даних передача даних;
4. дані про місцезнаходження ;
5. дані про спроби з’єднання з .

RODO на ITH.EU

Як телекомунікаційна компанія, ми приділяємо особливу увагу захисту даних клієнтів і знаємо, для чого ми їх використовуємо. Безпека мережі є для нас пріоритетом, саме тому ми пропонуємо послугу ITH Protection, в рамках якої ми пропонуємо аудит та моніторинг, захист мережі, хмарний брандмауер та VPN. Запрошуємо вас скористатися нашими спеціалізованими послугами.