2018 yilning may oyida kuchga kirgan General Data Protection Regulation, qisqacha GDPR, Yevropa Ittifoqi ma'lumotlarni himoya qilish bo'yicha eng qattiq qonunidir. Bu reglamentning eng muhim xususiyati shundaki, u faqat Yevropa kompaniyalariga emas, balki Yevropa fuqarolari ma'lumotlarini qayta ishlovchi har qanday kompaniyaga taalluqli, hatto bu kompaniya Toshkentda yoki Tokioda joylashgan bo'lsa ham. Buzilish uchun jarima yillik global aylanmaning 4 foizigacha yoki 20 million yevrogacha bo'lishi mumkin, shu sababli GDPR moslik biznes uchun jiddiy masala hisoblanadi.
GDPR ning asosiy printsiplari
GDPR shaxsiy ma'lumotlarni qayta ishlash uchun ettita asosiy printsipni belgilaydi. Birinchidan, qonuniylik, adolatlilik va shaffoflik — foydalanuvchi o'z ma'lumotlari qanday va nima uchun ishlatilishini tushunishi kerak. Ikkinchidan, maqsadli cheklov — ma'lumotlar faqat aniq belgilangan maqsad uchun yig'iladi. Uchinchidan, ma'lumotlarning minimallashuvi — faqat zarur bo'lgan ma'lumotlar olinadi. Qolgan printsiplar: aniqlik, saqlash davri cheklovi, butunlik va maxfiylik, hisobdorlik. Bularning hammasi birgalikda foydalanuvchi huquqlarini himoya qiluvchi tizim yaratadi.
Foydalanuvchi huquqlari
GDPR foydalanuvchilarga juda kuchli huquqlar beradi va ularni amalga oshirish kompaniyalar uchun majburiy. Kirish huquqi foydalanuvchiga o'zi haqida kompaniyada qanday ma'lumotlar saqlanayotganini bilish imkonini beradi. Tuzatish huquqi noto'g'ri ma'lumotlarni o'zgartirish imkonini yaratadi. Eng mashhur huquq — bu unutish huquqi yoki right to be forgotten bo'lib, foydalanuvchi o'z ma'lumotlarini butunlay o'chirishni talab qilishi mumkin. Bundan tashqari ma'lumotlarni ko'chirish, qayta ishlashga e'tiroz va avtomatik qarorlarga qarshi himoya huquqlari mavjud. Bu huquqlarning hammasi bir oy ichida bepul amalga oshirilishi kerak.
DPO va DPIA
Ko'p hollarda GDPR kompaniyadan ma'lumotlarni himoya qilish bo'yicha mas'ul shaxs, ya'ni Data Protection Officer yoki DPO tayinlashni talab qiladi. DPO mustaqil bo'lishi va to'g'ridan-to'g'ri yuqori rahbariyatga hisobot berishi kerak. Yuqori xavfli qayta ishlash holatlari uchun Data Protection Impact Assessment, ya'ni DPIA o'tkazilishi shart. DPIA jarayonida qayta ishlashning maqsadlari, zaruriyati va proporsionalligi baholanadi, foydalanuvchilarga keladigan xavflar aniqlanadi va ularni kamaytirish chora-tadbirlari ishlab chiqiladi. DPIA hujjati audit paytida regulyatorga taqdim etiladi.
Buzilish haqida xabar berish
GDPR ning eng qattiq talablaridan biri — bu shaxsiy ma'lumotlar buzilishi haqida 72 soat ichida regulyatorga xabar berish majburiyati. Buzilish foydalanuvchilar uchun yuqori xavf tug'dirsa, ular ham xabardor qilinishi kerak. Bu talabni bajarmaslik qo'shimcha jarimalar va obro'ga zarar keltirishi mumkin. Aynan shu sababli aniq buzilishlarni boshqarish jarayoni va xabardor qilish shablonlari oldindan tayyorlangan bo'lishi kerak. Ko'pgina kompaniyalar bu talabni IR plan bilan birga rivojlantiradilar.
Sayt.uz amaliyot
Sayt.uz Yevropa mijozlari bilan ishlash uchun to'liq GDPR moslikka erishgan. Foydalanuvchilar o'z ma'lumotlarini eksport qilish va o'chirishni o'z kabinetlaridan amalga oshirishlari mumkin va bu jarayon o'rtacha 18 soat ichida tugaydi. Hosting tarifining 95 000 so'mdan boshlanuvchi narxiga GDPR ga mos cookie banner va privacy policy shabloni kiradi. Korporativ mijozlar uchun DPO konsalting xizmati 2 400 000 so'mdan taklif etiladi va u DPIA hujjatlarini tayyorlashni o'z ichiga oladi. 2024 yilda tizim 89 ta foydalanuvchi ma'lumotlarini o'chirish so'rovini va 234 ta eksport so'rovini muvaffaqiyatli bajardi.