Вступивший в силу в мае 2018 года General Data Protection Regulation, или сокращённо GDPR, является самым строгим законом Европейского союза о защите данных. Самая важная особенность этого регламента в том, что он распространяется не только на европейские компании, но и на любую компанию, обрабатывающую данные граждан ЕС, даже если эта компания находится в Ташкенте или Токио. Штраф за нарушение может достигать 4 процентов годового глобального оборота или 20 миллионов евро, поэтому соответствие GDPR — серьёзный вопрос для бизнеса.
Основные принципы GDPR
GDPR устанавливает семь основных принципов обработки персональных данных. Первый — законность, справедливость и прозрачность: пользователь должен понимать, как и зачем используются его данные. Второй — ограничение целью: данные собираются только для конкретно определённой цели. Третий — минимизация данных: получают только необходимые сведения. Остальные принципы — точность, ограничение срока хранения, целостность и конфиденциальность, подотчётность. Вместе эти принципы создают систему защиты прав пользователя.
Права пользователей
GDPR наделяет пользователей весьма сильными правами, и реализация их обязательна для компаний. Право доступа позволяет пользователю узнать, какие данные о нём хранятся в компании. Право на исправление даёт возможность изменить неверные данные. Самое известное право — это право на забвение или right to be forgotten, по которому пользователь может потребовать полного удаления своих данных. Кроме того существуют права на перенос данных, возражение против обработки и защиту от автоматических решений. Все эти права должны реализоваться в течение одного месяца бесплатно.
DPO и DPIA
Во многих случаях GDPR требует от компании назначить ответственного за защиту данных, то есть Data Protection Officer или DPO. DPO должен быть независимым и отчитываться напрямую перед высшим руководством. Для случаев обработки с высоким риском обязательно проведение Data Protection Impact Assessment, то есть DPIA. В процессе DPIA оцениваются цели обработки, её необходимость и пропорциональность, выявляются риски для пользователей и разрабатываются меры по их снижению. Документ DPIA предоставляется регулятору при аудите.
Уведомление о нарушении
Одно из самых строгих требований GDPR — обязанность уведомить регулятор о нарушении персональных данных в течение 72 часов. Если нарушение представляет высокий риск для пользователей, их тоже необходимо оповестить. Невыполнение этого требования может привести к дополнительным штрафам и репутационному ущербу. Именно поэтому процесс управления подтверждёнными инцидентами и шаблоны уведомлений должны быть готовы заранее. Многие компании развивают это требование вместе с IR-планом.
Практика Сайт.уз
Сайт.уз достиг полного соответствия GDPR для работы с европейскими клиентами. Пользователи могут экспортировать и удалять свои данные через личный кабинет, и этот процесс в среднем занимает 18 часов. В стоимость хостинга от 95 000 сум входит cookie-баннер и шаблон политики конфиденциальности, соответствующий GDPR. Для корпоративных клиентов предлагается услуга DPO-консалтинга от 2 400 000 сум, включающая подготовку документов DPIA. В 2024 году система успешно обработала 89 запросов на удаление данных и 234 запроса на экспорт.