Лектор докладно проаналізував разом з учасниками загальні положення GDPR та практичні аспекти застосування, а саме:

• 1. Права субʼєктів за GDPR
• 2. ⁠Права та обовʼязки контролерів та процесорів
• 3. ⁠Аналіз порушень вимог GDPR (чому це – боляче?)
• 4. ⁠Технічні та організаційні заходи (ROPA, TOMs, DPIA etc)
• 5. ⁠Privacy by default and by design
• 6. ⁠Транскордонна передача персональних даних
• 7. ⁠Базовий чек-лист “зовнішнього” комплаєнсу
• 8. ⁠Пратичні поради щодо імплементації GDPR

У рамках характеристики загальних положеннь GDPR акцентовано на наступному:

1. Права субʼєктів за GDPR

GDPR (General Data Protection Regulation) надає фізичним особам широкий спектр прав щодо захисту їхніх персональних даних:

1. Право знати (Right to be informed): суб’єкт має право отримати повну інформацію про джерела збору даних, мету обробки, місцезнаходження володільця та/або розпорядника, контактні дані Data Protection Officer (DPO).
2. Право на доступ до своїх даних (Right of access): отримати копію всіх своїх персональних даних, що обробляються. Термін надання відповіді — не пізніше 30 календарних днів з моменту запиту.
3. Право на виправлення (Right to rectification): вимагати від контролера виправлення неточних або застарілих даних.
4. Право на видалення даних (“право бути забутим”): вимога видалити свої дані, якщо вони більше не потрібні для цілей, для яких були зібрані, або якщо відкликано згоду.
5. Право на обмеження обробки: тимчасове призупинення обробки даних у разі сумнівів у їх точності чи законності обробки.
6. Право на заперечення проти обробки, наприклад, у разі, коли дані використовуються для прямого маркетингу.
7. Право на перенесення даних (Data portability): отримання даних у структурованому, машиночитаному форматі та передача іншому контролеру.
8. Право відкликати згоду у будь-який момент без негативних наслідків.
9. Право на захист від автоматизованого ухвалення рішень, які мають правові наслідки.

2. ⁠Права та обовʼязки контролерів та процесорів

Контролер (Data Controller) визначає мету та способи обробки даних.

Обов’язки контролера:

• забезпечити відповідність усіх процесів обробки GDPR;
• впровадити політики, процедури та документацію;
• призначити Data Protection Officer (DPO) та представника в ЄС;
• забезпечити дотримання прав суб’єктів даних;
• укладати договори з процесорами (DPA — Data Processing Agreement);
• повідомляти про інциденти витоку даних у 72 години.

Процесор (Data Processor) виконує обробку лише за інструкціями контролера.

Обов’язки процесора:

• дотримуватися вимог GDPR та умов договору;
• не залучати субпроцесорів без дозволу;
• повідомляти контролера про всі порушення безпеки даних;
• впровадити технічні та організаційні заходи безпеки (TOMs);
• надавати документи, що підтверджують відповідність.

Зміст DPA (ст. 28 GDPR):

1. Предмет та тривалість обробки;
2. Мета та категорії даних;
3. Конфіденційність;
4. Заходи безпеки;
5. Порядок залучення субпроцесорів.

3. ⁠Аналіз порушень вимог GDPR (чому це – боляче?)

У разі витоку або порушення безпеки персональних даних контролер зобов’язаний повідомити регулятор протягом 72 годин.

Повідомлення має містити:

1. Опис характеру порушення;
2. Кількість постраждалих суб’єктів та категорії даних;
3. Контактну особу (DPO);
4. Заходи, які були вжиті для мінімізації наслідків.

Наслідки порушень:

• великі штрафи (до 20 млн євро або 4% світового обороту компанії);
• репутаційні втрати та судові позови;
• блокування процесів бізнесу.

Реальні приклади штрафів:

1. Meta — 405 млн €;
2. Amazon — 746 млн €;
3. TikTok — 345 млн €;
4. H&M — 35 млн €.

4. ⁠Технічні та організаційні заходи (ROPA, TOMs, DPIAetc)

ROPA (Records of Processing Activities): документ, що фіксує всі операції з персональними даними, а саме:

• хто обробляє;
• цілі обробки;
• категорії суб’єктів та даних;
• отримувачі;
• строки зберігання;
• заходи безпеки (TOMs).

TOMs (Technical and Organisational Measures):

• шифрування та псевдонімізація;
• контроль доступу (фізичний та логічний);
• резервне копіювання та план відновлення;
• захист від вірусів та мережевих атак;
• регулярний моніторинг і тестування.

DPIA (Data Protection Impact Assessment) проводиться, якщо обробка має високий ризик:

• обробка великої кількості чутливих даних;
• спостереження у публічних місцях;
• використання нових технологій.

5. ⁠Privacy by default and by design

Privacy by Design — захист персональних даних закладається на етапі проектування процесів, сервісів чи продуктів.

Privacy by Default — за замовчуванням збирається мінімально необхідний обсяг даних, а налаштування сприяють захисту приватності.

Принципи:

• – мінімізація даних;
• – обмеження цілей збору;
• – точність та актуальність;
• – збереження не довше, ніж потрібно;
• – конфіденційність та цілісність.

6. ⁠Транскордонна передача персональних даних

Передача даних за межі ЄС допускається за умов:

1. Згоди суб’єкта даних;
2. Необхідності виконання договору з суб’єктом;
3. Захисту життєво важливих інтересів;
4. Виконання правових зобов’язань;
5. Надання гарантій конфіденційності та прав суб’єктів.

7. ⁠Базовий чек-лист “зовнішнього” комплаєнсу

1. Повідомлення про обробку персональних даних.
2. Повідомлення про обробку файлів кукіс.
3. DPA.
4. DTA (+TIA).

Небазовий чек-лист:

• ROPA.
• Оцінка ризиків, DPIA.
• Політика на кожен з принципів + реалізація прав.
• Політика реагування на інциденти + безпекові політики.
• Аналіз використання правової підстави на кожен з процесів.

8. ⁠Пратичні поради щодо імплементації GDPR:

1. Почати з карти руху даних та перевірки правових підстав обробки;
2. Оцінити ризики та впровадити ризик-орієнтований підхід;
3. Визначити ключові TOMs (шифрування, доступ, резервні копії);
4. Провести навчання персоналу;
5. Призначити DPO;
6. Розробити плани реагування на інциденти;
7. Підписати DPA з процесорами;
8. Використовувати шаблони ICO для ведення документації.

Першоджерело - https://tinyurl.com/e3phwknm

З першою частиною заходу - Захист персональних даних та GDPR. Частина 1 - можна ознайомитись за посиланням - https://tinyurl.com/bdzdrt49