В умовах стрімкого розвитку цифрових технологій, інформація стала одним з найбільш цінних ресурсів, тому захист персональних даних (надалі – ПД), процес їх обробки, використання та збереження відіграють одне з ключових питаннях при функціонуванні компаній.
General Data Protection Regulation (GDPR) – це регламент, прийнятий в межах законодавства Європейського Союзу (ЄС), що спрямований на забезпечення захисту персональних даних громадян ЄС і врегулювання процесу обробки таких даних компаніями, що набув чинності 25 травня 2018 року.
Регламент встановлює принципи роботи з даними; особливості згоди користувачів на обробку їх персональних даних; права користувачів щодо їх персональних даних; деталізує порядок збору, обробки та зберігання таких даних для контролюючих організацій, тощо. Окремої уваги заслуговує відповідальність за порушення GDPR, адже санкції досить суворі. До прикладу, покарання за порушення встановлених вимог може бути у виді штрафу до 4% світового річного обороту компанії або ж до 20 мільйонів євро.
До яких компаній застосовується GDPR
GDPR застосовується до компаній та організацій, що, в процесі їх функціонування, здійснюють збір, обробку та зберігання персональних даних громадян ЄС, а також у випадках, коли така компанія чи організація знаходиться в межах ЄС, незалежно від того, чи опрацювання персональних даних здійснюється в межах ЄС чи поза межами ЄС, а також незалежно від суб’єктів, персональні дані яких обробляються.
Іншими словами, GDPR застосовується до будь-якої компанії, яка:
- зареєстрована або розташована в ЄС
В такому випадку місце зберігання та обробки персональних даних, які збирає компанія немає значення. При цьому навіть, якщо в ЄС розташована філія або представництво іноземної компанії без статусу юридичної особи і вони здійснюють обробку персональних даних громадян та резидентів ЄС, компанія може розглядатись як така, що розташована на території ЄС.
- пропонує послуги чи товари особам на території ЄС
Пропозицією можна вважати використання мови однієї з держав-членів ЄС в одній з версій сайту компанії, вказування цін на товари або послуги у валюті держави-члена ЄС або ж використання національних доменів однієї або з держав-членів ЄС.
Наприклад, одна з версій сайту українського інтернет-магазину зоотоварів представлена італійською мовою та ціни на товари вказані в євро вважається пропозицією товарів особам на території ЄС.
- відстежує поведінку осіб в ЄС.
Одним з найбільш поширених прикладів відстежування є використання файлів «cookie» для аналітики або реклами на сайті. Переважно зазначена норма стосується компаній, які пропонують свої товари, або послуги споживачам в ЄС. Однак, компанія, яка не орієнтована на споживачів з ЄС, але може збирати їх персональні дані на своєму сайті, технічно може бути притягнута до відповідальності за порушення норм GDPR.
Основні моменти, що повинні братись до уваги при підготовці до роботи з GDPR
1) Чи обробляються чутливі персональні дані?
Серед персональних даних GDPR виділяє так звані чутливі дані (спеціальні категорії даних). Вони потребують особливого захисту, оскільки роблять людину вразливою. До них, зокрема, належать:
- дані про расову чи етнічну приналежність
- політичні переконання
- релігійні чи філософські вірування
- участь у профспілках
- генетичні дані/біометричні дані
- стан здоров’я та сексуальне життя/орієнтацію
- дані про злочини та заходи кримінальної відповідальності, що застосовуються чи були застосовані у минулому до конкретної особи.
2) Що передбачено національним законодавством?
Обов’язково варто перевірити національні стандарти та вимоги щодо обробки персональних даних, які закріплені в законодавстві конкретної держави-члена ЄС: часто національне законодавство розширює положення GDPR. Наприклад, розширення обсягу регулювання (тобто не лише Регламент, а ще й вимоги національного закону) може потягнути за собою:
– розширення суб’єктів персональних даних (включати ще й юридичних осіб)
– вимоги щодо мінімального віку суб’єктів персональних даних, які самостійно можуть надавати згоду на обробку даних;
– Whitelists та Blacklists, тобто погоджені з European Data Protection Board (EDPB) переліки операцій, для яких не потрібне або, навпаки, обов’язково потрібне проведення оцінки ризиків (Data Protection Impact Assessment, DPIA).
3) Яку роль у процесі обробки даних виконує компанія?
На цьому етапі важливо визначити роль, яка виконується: роль контролера чи оператора. На останнього ж покладається значно менше відповідальності у порівнянні з першим. Це пов’язано з тим, що оператор діє виключно за інструкцією володільця. Він не може збирати й обробляти персональні дані (ПД) в інший спосіб, ніж вказаний контролером.
Контролер займає ж провідну роль. Він надає гарантії щодо технічних та організаційних заходів безпеки, інформує додатково обробника про обробку спеціальних категорій даних, гарантує, що особи, які взяли на себе зобов’язання щодо обробки персональних даних, здійснюють це відповідно до умов конфіденційності; і, звісно ж, визначає цілі та способи обробки ПД.
4) Чи потрібен у компанії Data Protection Officer (DPO)?
GDPR визначає перелік обставин за яких компанія зобов’язана призначити Data Protection Officer (надалі –
DPO). В свою чергу, DPO – це особа, яку призначає володілець даних, для слідкування за правильністю застосування норм GDPR. Це може бути як працівник, так і особа, що працює за цивільно-правовим договором. Data Protection Officer може виконувати свої функції для різних компаній одночасно – як підрядник. Обов’язково призначається DPO за наступних причин:
– володілець є публічною установою (наприклад, державним органом)
– дані обробляються у великих масштабах
– обробляються спеціальні категорії даних
До обов’язків DPO належить надання порад контролеру чи процесору під час здійснення обробки персональних даних, комунікація з наглядовим органом, здійснення контролю правильності застосування Регламенту.
Перевагою провадження правил GDPR є формування ділової репутації компанії, що цінує персональні дані своїх клієнтів. Окрім цього, забезпечення безпеки даних надасть можливість уникнути фінансових та економічних втрат у майбутньому.
Тому, діючим компаніям ми рекомендуємо критично осмислити на яку аудиторію користувачів за географічним критерієм спрямовані їх послуги, у випадку, якщо ви не обмежені українським ринком і ваші бізнес-цілі спрямовані на масштабування – то слід подбати про відповідність GDPR. Список основних моментів для роботи з GDPR є значно більшим, ніж ми зазначили у статті. Звертайтеся до наших юристів, щоб отримати детальну консультацію та допомогу в провадженні GDPR.
GDPR / інтелектуальна власність / авторське право / захист / персональні дані
