Захист персональних даних в ЄС: що потрібно знати українським компаніям

З 25 травня у європейських країнах набуває чинності регламент захисту персональних даних. Це допоможе зробити велетенський крок щодо захисту персональних даних користувачів. Чому це важливо для українського бізнесу?
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

25 травня 2018 року набуває чинності європейський регламент захисту персональних даних General Data Protection Regulation (GDPR). І хоча дія GDPR розповсюджується на країни ЄС, для багатьох українських компаній це також означає зміни.

"Даю згоду" — цього більше недостатньо

Згідно з новим регламентом, не можна просто так взяти і використовувати персональну інформацію, прикриваючись чекмарком на згоду про конфіденційність. Для цього буде потрібен як мінімум дозвіл власника і прозорий для нього (власника) механізм використання даних компанією.

Компаніям, які мають справу з обробкою персональних даних, — а це всі компанії, що мають справу з кінцевим споживачем, — доведеться облікувати все, починаючи з дати, коли клієнт надав чи відредагував інформацію, і закінчуючи тим, коли дані будуть видалені зі сховищ. І найголовніше, на запит власника потрібно буде в повному обсязі і в зрозумілій формі надавати йому всі ці дані, а також видаляти їх зі сховища за його бажанням.

Для компаній це означає перелаштування існуючої системи опрацювання та збереження персональної інформації, встановлення серверів, додаткових сховищ даних, програмного забезпечення та призначення осіб, які відповідатимуть за це.

Як це стосується українського бізнесу?

Якщо у вас є хоч один клієнт — громадянин чи резидент ЄС, правила GDPR поширюються і на вашу компанію. Тому, щоб продовжити співпрацю з європейським ринком, українським компаніям також необхідно трансформуватися. Це стосуватиметься будь-яких бізнес-процесів, які пов'язані з персональною інформацією клієнтів з ЄС.

Право бути забутим: що саме вимагає GDPR

  • Потрібно отримати згоду власника на використання його персональних даних. Іноді навіть у задокументованому вигляді.
  • Усі процеси, які стосуються персональних даних, необхідно зробити прозорими для власника: для чого використовуються ті чи інші дані, хто має до них доступ, де вони зберігаються.
  • За запитом власника протягом місяця надавати в повному обсязі його персональну інформацію, яка зберігається в компанії.
  • За першою вимогою власника потрібно видаляти всі його персональні дані зі сховищ даних ("Право бути забутим").
  • Організовувати документообіг згідно з GDPR щодо використання особистих даних.
  • Організувати належний ІТ-захист персональних даних. При виявленні порушень конфіденційності в перші 72 години повідомляти про це власнику. Якщо ви цього не зробили, то компанії загрожує штраф у 2% річного світового прибутку (або 10 млн євро, дивлячись що більше).

Якщо компанія, наприклад, передає персональну інформацію в іншу країну, не маючи законних підстав для цього (в регламенті вони також указані), то штраф за такі дії буде ще більшим. Як і за недотримання будь-яких інших правил GDPR, доведеться сплатити 4% загального річного прибутку компанії (в усьому світі), або 20 млн євро, дивлячись що більше.

Getty Images

Гра за новими правилами: відповідь SAP

21 лютого 2018 року, через чотири місяці після того, як компанія SAP оголосила про придбання компанії Gigya, відбулася презентація нових програмних рішень. Вони допомагають компаніям впроваджувати цифровий підхід для більш ефективного маркетингу, продажів та обслуговування за допомогою даних, а також водночас надають клієнтам можливість контролювати їх.

Три нових рішення SAP® Hybris® від Gigya, які допоможуть компаніям захищати дані клієнтів і зміцнювати бізнес:

SAP® Hybris® Identity

Забезпечує надійну реєстрацію користувачів і вхід у систему через веб-сайти, мобільні додатки та пристрої інтернету речей, використовуючи гнучкі параметри аутентифікації користувачів, державні врегулювання і функцію єдиного входу.

Додаток фіксує та зберігає дані ідентифікації користувача для отримання надійного і персоналізованого цифрового досвіду. Оптимізовані потоки реєстрацій збільшують конверсію, тоді як платформа допомагає захистити споживачів від шахрайства та крадіжок персональних даних.

SAP Hybris Consent

Фіксує згоду клієнта на умови надання послуг та угоди про конфіденційність, включаючи згоду на отримання файлів cookie та маркетингові сповіщення. Історія погоджень клієнта відслідковується безперервно.

Ця інформація може бути синхронізованою з додатками для маркетингу, продажів і обслуговування. Клієнти контролюють свою особисту інформацію та мають додаткові функції для анулювання згоди, експорту даних і видалення облікового запису. Записи щодо згоди зберігаються в захищеному сховищі даних.

SAP Hybris Profile

Перетворює інформацію клієнта, атрибути профілю та інші системні дані на єдиний образ клієнта, який у режимі реального часу може бути використаний практично будь-якою програмою, службою або сховищем даних.

Компанії можуть керувати всією інформацією про клієнта протягом усього життєвого циклу. З цією платформою клієнти SAP можуть аналізувати дані в межах образів споживачів для планування, прогнозування та оптимізації цифрового досвіду з метою підтримання рівня продажів і послуг, за умови згоди споживача та прозорості процесу.