В процесі імплементації українського законодавства до законодавства ЄС та наближенням України до Європейського економічного простору, українським компаніям вже зараз варто приймати до уваги чинні правові норми ЄС та поступово імплементувати їх у власну господарську діяльність. Навіщо це робити і чому це важливо, розглянемо у даному матеріалі.
Отож, GDPR (англ. General Data Protection Regulation) - Загальний регламент Європейського Парламенту і Ради (ЄС) 2016/679 про захист даних, який набув чинності 25 травня 2018 року на всій території Європейського союзу і встановлює порядок опрацювання персональних даних фізичних осіб установами, органами, офісами та агентствами ЄС (надалі - Регламент).
Основною метою даного Регламенту є:
1. посилення та уніфікація законодавства про конфіденційність в мережі і захист даних осіб у межах Європейського Союзу (спільний регламент уніфікує та замінює 27 існуючих нормативних актів окремих держав-членів);
2. спрощення правил безпеки для компаній та організацій, що обслуговують резидентів ЄС.
Але не варто поспішати з висновками про те, що положення Регламенту розповсюджуються виключно на резидентів ЄС. Оскільки, в даному випадку, законодавство ЄС застосовується і тоді, коли персональні дані передаються за кордон компаніями, які працюють в ЄС і пропонують свої продукти та послуги (включаючи безкоштовні) громадянам ЄС, а також коли ці компанії здійснюють моніторинг поведінки осіб в ЄС.
Іншими словами, якщо ваша компанія має офіс в ЄС, постачає товари/надає послуги/виконує роботи резидентам ЄС, використовує інформацію резидентів ЄС у своїх продуктах чи проводить маркетингові або інші дослідження суб'єктів ринку в ЄС, то виконання GDPR є обов`язком для таких українських компаній.
Які дані захищає GDPR і на що компанії слід звернути увагу?
Виходячи з положень ст. 4 Регламенту, його дія розповсюджується, серед іншого, на будь-яку інформацію, що стосується:
фізичної особи, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім'я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи;
будь-яких операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них;
позначення збережених персональних даних з метою обмеження їх опрацювання в майбутньому;
будь-якої форми автоматизованого опрацювання персональних даних - "профайлінг";
"використання псевдонімів" - опрацювання персональних даних у такий спосіб, що персональні дані більше не можна віднести до конкретного суб'єкта даних без використання додаткової інформації тощо.
Тобто до персональних даних, в тому числі, відноситься інформація, зібрана автоматично. Такою інформацією, до прикладу, може бути геолокація особи, її IP-адреса, пошукові запити, відомості про відвідуваність інтернет сторінок, а також публікації в соціальних мережах тощо.
Безумовно, що спосіб управління персональними даними також врегульований і в українському законодавстві, а саме в Законі України “Про захист персональних даних”, який, в свою чергу, теж піддавався трансформаціям у відповідності до норм згаданого Регламенту, але, на нашу думку, український Закон все ще потребує вдосконалення з огляду на сучасні тенденції обігу персональних даних.
Так, відповідно до ст. 32 Регламенту, зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяги, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, контролер і оператор повинні вжити необхідних заходів для забезпечення рівня безпеки даних, відповідно до ризику, в тому числі, у випадках використання псевдонімів і шифрування персональних даних та інше.
Відтак, Регламент накладає обов'язок на компанії, що опрацьовують персональні дані відповідних фізичних осіб розібратися з поняттями “контролер” і “оператор” даних та, відповідно, визначити свою роль, з метою сумлінного її виконання.
Чому це так важливо?
Все досить просто - з огляду на значні штрафи. Так, виходячи з норм ст. 82 Регламенту, якщо контролер персональних даних, до прикладу, не вжив відповідних технічних та організаційних заходів для захисту прав суб'єктів даних, не взяв до уваги захист даних на етапі проектування (ІТ-системи), не повідомив про інцидент наглядовий орган протягом 72 годин після виявлення порушення, якщо інцидент призвів до порушення прав чи свобод фізичних осіб, передбачені штрафні санкції розміром до 20 мільйонів євро або в розмірі 4% від річного доходу компанії (залежно від того, яка сума більша).
До того ж, орган захисту даних може розпорядитися про додаткові коригувальні заходи, наприклад про припинення обробки персональних даних.
Тож, щоб не потрапити під санкції Регламенту варто пам'ятати про те, що коли персональні дані резидентів ЄС передаються за його межі, вони повинні бути захищені відповідно до GDPR. Це означає, що ваша компанія повинна відповідати (або переконатися, що) виконується одна з таких умов:
Європейський Союз визнає адекватними заходи захисту даних, що діють у країні призначення, що не входить до ЄС.
Ваша компанія вживає необхідних заходів для забезпечення відповідних заходів безпеки, наприклад, включає спеціальні пункти в контракт із суб'єктами з ЄС, у зв'язку з отриманням і обробкою їх даних.
Ваша компанія отримує та/або обробляє дані на особливих підставах (відступах), таких як згода фізичної особи, дані якої обробляються.
LIGA360 забезпечить ваш бізнес інформацією, необхідною для комплексного управління ризиками. Наші інструменти дозволяють попереджати ризики співпраці з партнерами, а також законодавчі, судові й інформаційні загрози й вживати своєчасних заходів щодо їх мінімізації. Оцініть можливості LIGA360, замовивши персональну презентацію вже сьогодні.
