«Загальні положення про захист даних» (GDPR)
Дотримання «Загальних положень про захист даних» (GDPR) — один із основних принципів наших взаємин з клієнтами. Документ було створено для посилення захисту особистої інформації користувачів. Дотримання зазначених у ньому правил — ключ до вибудовування успішної взаємодії зі споживачами.
Регламент було прийнято лише у 2018 році, тому багато хто до сьогодні мало що знає про нього. Ми допоможемо вам розібратися у цьому питанні і з’ясуємо ключові моменти.
Суть документа
Мета «Загальних положень про захист даних» полягає у регулюванні відносин між користувачами, які надають особисту інформацію, й організаціями, які збирають і обробляють таку інформацію.
Регламент набув чинності 25 травня 2018 року. До цього моменту сфера безпеки персональних даних керувалася спеціальною Директивою ЄС, що діяла з 1995 року.
Згідно з новим документом, користувачам надається можливість керувати особистими даними, зібраними будь-якою компанією. Окремі особи або організації також можуть отримати цю інформацію, зробивши спеціальний запит.
Головними учасниками контролю гемблінг-сектору є регулятори й оператори, які здійснюють обробку даних. До першої категорії належать організації, які збирають інформацію про користувачів, а до другої — компанії, що обробляють отримані відомості в інтересах регуляторів.
Виходячи з положень регламенту, до персональних даних належать:
- ім’я людини, його домашня та робоча адреса;
- мобільні та домашні телефони;
- номер будь-якого документа, що посвідчує особу (паспорта, медичної страховки, водійських прав тощо);
- фінансові відомості (банківські картки, електронні фінансові рахунки);
- інформація про стан здоров’я;
- расова та культурна приналежність користувача;
- IP-адреса, файли cookie тощо.
Це лише кілька основних типів інформації. З повним переліком можна ознайомитися у тексті положення.
Необхідно фіксувати кожен запит і забезпечувати надійний захист користувацьких даних. Нове правило поширюється на всі європейські компанії, а також комерційні організації, розташовані в інших регіонах і які надають послуги громадянам Європейського Союзу.
Основні принципи регулювання
Методи захисту персональних даних ґрунтуються на 7 принципах, які поступово визначалися й удосконалювалися європейською спільнотою, починаючи з 80-х років XX століття.
- Прозорість, справедливість і легальність. Дані мають бути зібрані у легальний спосіб. Організації не мають права передавати й обробляти особисту інформацію без відома клієнта.
- Мета обробки даних. Необхідно чітко вказувати призначення збору інформації. Її не можна використовувати у незаконних цілях.
- Мінімізація обсягу даних. Компанії можуть збирати тільки необхідний пакет відомостей. Інформацію, що не належить до предмету та мети аналізу, використовувати заборонено.
- Достовірність даних. Вони повинні бути максимально точними і правдивими. Якщо зібрані відомості виявилися помилковими, клієнт має право вимагати, щоб вони були змінені.
- Умови зберігання. Інформація має бути видаленою одразу ж після обробки.
- Конфіденційність. Організації, що збирають й аналізують дані, несуть відповідальність за секретність.
- Підзвітність. Регулятори й оператори, які обробляють отримані відомості, повинні бути готовими підтвердити дотримання викладених принципів.
Штрафи за ігнорування визначених правил
З повідомлень ЗМІ стало відомо, що після прийняття постанови деякі компанії безвідповідально поставилися до аудиту, мета якого полягала у перевірці їхньої роботи на відповідність вимогам документа. У результаті багато фірм отримали великі штрафи. Наприклад, за недотримання запропонованих норм Google і British Airways заплатили великі суми.
Розмір стягнення залежить від масштабу шкоди, завданої конфіденційності користувачів. Наприклад, у British Airways стався витік даних (інформації про 500 тис. клієнтів). Авіаперевізникові довелося виплатити штраф у розмірі понад 200 млн євро. Сума може складати до 2% річного обігу всіх філій підприємства, яке порушило закон.
Щоб уникнути фінансових і юридичних проблем, організації повинні працювати зі своїми клієнтами відповідно до принципів GDPR. Спочатку необхідно провести аудит й оцінити, чи здатна фірма забезпечити захист і конфіденційність відомостей.
Окрім первинного аналізу, також важливо проводити регулярні перевірки з регулярністю 6–12 місяців, щоб виявити слабкі сторони та помилки компанії.
Є 2 способи проведення процедури: із залученням експертів і незалежний аналіз. У першому випадку підприємцям необхідно звертатися до надійної аудиторської організації, що завоювала гарну репутацію у країнах ЄС.
Для незалежного оцінювання необхідно найняти спеціального співробітника, який буде відповідати за регулярні перевірки. Такий підхід передбачає великі фінансові інвестиції, але гарантує безпеку взаємодії зі споживачами.
Ще один різновид аудиту — оцінювання компанії контролюючими органами. Зазвичай такі перевірки нерегулярні і проводяться вибірково.
Наші зобов’язання
Фахівці 2WinPower уже багато років співпрацюють з клієнтами з європейських країн. Ми відповідально виконуємо нові норми, ухвалені у 2018 році, і робимо все можливе, щоб створити безпечне середовище для взаємодії з персональними даними клієнтів.
Наші експерти впровадили такі заходи:
- Збір інформації відбувається виключно з особистої згоди гравців із запропонованими умовами.
- 2WinPower обробляє дані для найкращої взаємодії з клієнтами та надання якісних послуг. Ми не розголошуємо конфіденційну інформацію про користувачів.
- У споживачів необмежений доступ до особистих даних, вони можуть самостійно вносити будь-які зміни у надані ними відомості.
- Платіжна інформація користувачів надійно захищена за допомогою технологій шифрування.
Головний обов’язок 2WinPower — захист конфіденційності гемблерів. Використання сучасних систем безпеки гарантує збереження особистих даних.
Ми також збираємо й аналізуємо звіти про зовнішні запити і спроби незаконного отримання персональної інформації, після чого приймаємо рішення щодо зміни механізмів захисту (наприклад, підвищення рівня безпеки, застосування нових інструментів або відмову від неефективних методів).
Команда програмістів постійно тестує надійність сек’юриті-систем для запобігання витоку інформації. Окрім того, ми працюємо з досвідченими юристами, які допомагають дотримуватися нових правил і захищають інтереси наших клієнтів.
Ми нічого не приховуємо від контролюючих органів країн Європейського Союзу і готові надати вичерпну інформацію щодо зовнішніх запитів і використовуваних захисних механізмів.
2WinPower інформує інші організації, які обробляють персональні дані клієнтів нашої компанії, про важливість збереження конфіденційності та можливі штрафи у разі відхилення від міжнародних стандартів.
Наша компанія встановлює чіткий алгоритм взаємодії з особистими відомостями у кожному окремому випадку, який вказується у договорі. Ми несемо повну відповідальність за порушення цього алгоритму, використання додаткових інструментів і виконання непослідовних дій.
Сфера відповідальності наших клієнтів
Згідно «Загальних положень про захист даних», клієнти 2WinPower визнані регуляторами, які визначають цілі та методи обробки інформації. Відповідно до правил, користувачі повинні передавати особисті дані на обробку операторам, що гарантує повну конфіденційність і захист інформації.
Клієнти несуть відповідальність за правдивість і законність наданих відомостей, які повинні бути достовірними та не порушувати правові норми конкретної держави. Окрім того, передавати дані про третіх осіб без їхньої згоди категорично заборонено.
Переваги для користувачів
Згідно з ухваленими положеннями, громадяни ЄС мають право надавати чи не надавати згоду на збір персональної інформації. Вони також можуть видаляти і змінювати особисті відомості, зібрані різними організаціями. У порівнянні з Директивою ЄС про захист даних (1995 року), новий регламент надає людям більше свободи.
Користувачі отримали такі права:
- знати мету збору та обробки даних;
- мати доступ до особистої інформації та керувати нею;
- відмовлятися від збору й обробки відомостей;
- оскаржувати будь-які операції з їхніми даними;
- переносити інформацію з одного ресурсу на інший.
ДЕМО 
