Як забезпечити відповідність GDPR

Щоб забезпечити відповідність вашої SaaS-платформи Загальному регламенту про захист даних (GDPR) та зменшити ризик великих штрафів, дотримуйтесь наведених нижче інструкцій. Дотримання GDPR є обов'язковим для захисту конфіденційності користувачів і підтримки довіри клієнтів.

Цей посібник містить огляд ключових кроків, включаючи розуміння ключових концепцій GDPR та впровадження заходів захисту даних, які можуть сприяти створенню SaaS-платформи, що орієнтована на конфіденційність. 

Щоб допомогти вам зосередитися, ми надаємо нижче контрольний список для вашої зручності.

Почніть з самого початку та заглибтесь в офіційний текст GDPR. Так, це може здатися трохи сухим, але зверніть увагу на ключові терміни, такі як «персональні дані» (інформація, що стосується ідентифікованої особи), «обробка» (будь-яка дія, що здійснюється з персональними даними), та «суб'єкт даних» (особа, якої стосуються дані).

GDPR побудовано на семи основних принципах. 

• Законність, справедливість та прозорість: У вас повинна бути законна підстава для обробки даних, ви повинні чітко інформувати клієнтів про свої методи роботи та уникати будь-чого, що може ввести в оману.
• Обмеження цілей: Дані повинні використовуватися та збиратися з законних, конкретних та чітких причин і не повинні зберігатися для використання в майбутньому.
• Мінімізація даних: Збирайте лише необхідну інформацію.
• Точність: Будьте в курсі останніх подій — помилкова інформація може зашкодити. 
• Обмеження зберігання: Немає потреби зберігати дані постійно, тому майте чітку політику зберігання.
• Цілісність та конфіденційність (безпека): Використовуйте шифрування та завжди захищайте дані від втрати, пошкодження та несанкціонованого доступу.
• Відповідальність: Будьте відповідальними за відповідність вимогам, документуйте свої процеси та дотримуйтесь усіх вимог GDPR.

Розгляньте можливість консультації з фахівцем у галузі законодавства про захист даних, вивчіть онлайн-курси або вебінари на цю тему або ознайомтесь з нашим посібником з відповідності SaaS.

Основою відповідності вимогам GDPR є комплексний аудит даних. Тому поставте собі за мету зрозуміти свої дані, звідки вони надходять і куди йдуть, а також як вони використовуються. Використовуйте програмне забезпечення або інструменти картування, щоб зрозуміти та керувати потоками даних. Створіть контрольний список аудиту даних:

• Які персональні дані ми збираємо? (Імена, адреси електронної пошти, номери телефонів, IP-адреси тощо)
• Як ці дані збираються? (Безпосередньо від користувачів, через інтеграції з третіми сторонами тощо)
• Де зберігаються наші дані? (На локальних серверах, в хмарних сховищах тощо)
• Хто має доступ до цих даних? (Співробітники, підрядники, сторонні постачальники послуг тощо)
• Як використовуються наші дані? (Маркетинг, аналітика, персоналізація тощо)
• Як довго ми зберігаємо наші дані? (Чи маємо ми політику зберігання даних?)
• Чи маємо ми законні підстави для обробки кожного типу даних? (Згода, договір, законний інтерес тощо)

Зробіть конфіденційність пріоритетом на вашій платформі. Мінімізуйте збір даних, використовуйте надійні заходи безпеки та будьте прозорими з користувачами щодо використання їхніх даних.

Враховуйте наступне:

Мінімізація даних:

• Перевірте припущення: Проаналізуйте всю інформацію, яку ви збираєте. Чи можете ви обійтися меншою кількістю даних? Чи дійсно вони вам потрібні?
• Збирайте дані поетапно: Збирайте лише необхідну інформацію на кожному етапі. Наприклад, спочатку ви можете запросити лише адресу електронної пошти, а потім, за потреби, уточнити деталі.
• Надайте альтернативи: Надайте користувачам можливість обмежити збір даних. Наприклад, використовуйте оформлення замовлення без реєстрації або дозвольте клієнтам відмовитися від будь-яких функцій обміну даними.

Обмеження цілей:

• Чіткі заяви про мету: Чітко поясніть мету збору даних у своїх повідомленнях про конфіденційність та згоду.Не використовуйте розпливчасту або неконкретну мову, зосередьтеся на використанні мови, яка є чіткою, лаконічною та одразу переходить до суті.
• Обмежити внутрішній доступ: Доступ повинні мати лише ті співробітники, яким він вкрай необхідний для виконання своїх робочих обов'язків.
• Видалення даних: Створіть протокол видалення будь-яких даних, які не потрібно зберігати після їх використання за призначенням.

Прозорість:

• Детальна згода: Надайте користувачам можливість вмикати або вимикати певні функції, а також надайте їм певний контроль над даними, якими вони діляться.
• Повідомлення про конфіденційність простою мовою: Створіть політику конфіденційності зрозумілою та доступною, використовуючи повсякденну мову замість юридичних термінів.
• Багаторівневі повідомлення: Будьте лаконічними у своїх коротких описах усіх повідомлень для користувачів щодо ключової інформації та надайте посилання на детальнішу інформацію для тих, хто бажає ознайомитися з детальнішими поясненнями.

Псевдонімізація/анонімізація: Впроваджуйте способи деідентифікації персональних даних, де це можливо. Наприклад, замініть ідентифікаційну інформацію псевдонімами (наприклад, Користувач123), щоб запобігти прив'язці даних до окремих осіб. Розгляньте можливість повного видалення ідентифікаторів, щоб дані не можна було пов'язати з фізичними особами.

Безпека:

• Контроль доступу: Будьте вибірковими щодо того, хто має доступ до перегляду, зміни або видалення персональних даних.
• План реагування на витоки даних: Впровадьте процеси для виявлення, стримування та оперативного реагування на витоки даних.
• Регулярні аудити: Заплануйте аудити та оцінки безпеки на випередження, щоб виявляти та виправляти будь-які потенційні проблеми з безпекою.
• Шифрування: Шифруйте дані, що зберігаються та передаються, використовуючи надійні алгоритми.

Використовуйте просту та зрозумілу мову згоди, яка вказує, як будуть використовуватися дані користувача. Будьте прозорими щодо того, що згода надається свідомо, є інформованою, конкретною та може бути відкликана в будь-який час. 

• Запити на згоду мають бути чіткими та лаконічними, щоб користувачі розуміли, на що вони погоджуються.
• Згода має певну мету і не є загальною угодою.
• Згода має бути чітким «так». 
• Згода є опцією, а не примусовою вимогою.
• Користувачі можуть легко відкликати свою згоду будь-коли.

Загальний регламент про захист даних (GDPR) визначає певні права суб'єктів даних (фізичних осіб) щодо їхньої персональної інформації. Ваш SaaS-бізнес і платформа повинні враховувати ці права. 

• Право доступу: Пам'ятайте, що ви повинні підтверджувати запити користувачів щодо того, чи обробляєте ви їхні дані, та надавати їм копію цих даних.
• Право на виправлення: Ви повинні вживати заходів, коли особи вимагають виправлення своїх персональних даних.
• Право на обмеження обробки: Запит на обмеження обробки їхніх даних у певних ситуаціях, наприклад, коли вони оскаржують їхню точність, має бути задоволений.
• Право на заперечення: Фізичні особи можуть заперечувати проти використання своїх даних для прямого маркетингу, як один із прикладів типу обробки, яку вони можуть заборонити.
• Право на видалення («право бути забутим»): Коли користувачі вимагають видалення своїх персональних даних, у деяких випадках, наприклад, коли дані більше не потрібні, вони мають право на це. 
• Право на перенесення даних: Фізичні особи мають право запросити копію своїх даних у структурованому, машиночитаному форматі та передати ці дані іншому контролеру.

Запити суб'єктів даних (DSAR) вимагають чітких, документально підтверджених процедур, включаючи те, хто несе відповідальність, як перевіряються запити та яка інформація надається.

Персонал має бути навченим та готовим до обробки DSAR відповідно до GDPR та відповідати на запити протягом одного місяця з моменту їх отримання. Для складних випадків прийнятний термін до трьох місяців. Щоб оптимізувати цей процес, розгляньте можливість використання інструмента керування DSAR.

Дотримання прав суб'єктів даних також сприяє зміцненню довіри користувачів та демонструє відданість питанням конфіденційності.

Якщо ваша SaaS-платформа обробляє великі обсяги персональних даних або займається діяльністю, що вважається високоризикованою, варто розглянути питання про призначення DPO. Хоча це й не обов'язково, наявність співробітника з захисту даних рекомендується.

Основні обов'язки DPO:

• Інформувати компанію про її зобов'язання щодо захисту даних.
• Бути контактною особою для органу нагляду та суб'єктів даних.
• Співпрацюйте з контролюючим органом.
• Будьте експертом з оцінки впливу на захист даних (DPIA).
• Забезпечуйте відповідність GDPR та іншим законам про захист даних.

Повинен бути розроблений план дій у разі витоку даних. У разі витоку відповідні органи повинні бути повідомлені протягом 72 годин, а постраждалі особи — негайно, якщо це становить ризик для їхніх прав та свобод. 

План реагування на витоки даних:

• Виявлення інциденту: Створіть критерії для ідентифікації витоку даних. Чітко визначте, які інциденти запускатимуть ваш план реагування.
• Локалізація: Повинні бути впроваджені процедури для запобігання подальшій шкоді та локалізації витоку, такі як зміна паролів, виправлення вразливостей та ізоляція систем.
• Оцінка: Оцініть серйозність порушення та визначте, які дані були скомпрометовані. Визначте кількість постраждалих осіб та оцініть будь-які потенційні ризики, які це створює для їхніх прав.
• Повідомлення: Якщо стався витік даних, який може поставити під загрозу права людей, повідомте про це відповідні органи протягом 72 годин. Повідомте постраждалих осіб, якщо порушення становить високий ризик для їхніх прав та свобод, і надайте їм чітку та лаконічну інформацію про порушення та кроки, які вони можуть вжити для захисту. Завжди краще перестрахуватися та тримати їх у курсі.
• Розслідування та виправлення: Після ретельного розслідування з'ясуйте першопричину та вживіть належних заходів для запобігання майбутнім порушенням.