У травні 2018 року набрав чинності Європейський закон про захист даних GDPR. На даний час в Україні цей документ не ратифіковано, але його норми зачіпають усіх суб’єктів, що знаходяться або ведуть бізнес на теренах ЄС.

Новий закон перш за все направлений на посилення відповідальності обробників персональної інформації і обмеження безладного збору та розміщення персональної інформації в супереч етичним принципам.

Які ж ключові аспекти GDPR та який вплив він матиме на суб'єктів, зокрема на бізнес?

Чії інтереси зачіпає даний нормативно-правовий документ?

Перш за все GDPR зачіпає інтереси компаній, які працюють на ринку ЄС та прямо або опосередковано збирають та обробляють персональну інформацію.

Регламент застосовується, якщо контролер даних (організація, яка збирає дані від резидентів ЄС), обробник (організація, яка опрацьовує дані від імені контролера даних, наприклад, постачальники послуг), суб'єкт даних (особа) базуються в ЄС. До того ж місцезнаходження контролера, обробника та громадянство суб’єкта даних не має значення.

Наприклад, українська компанія здійснює продаж комплектуючих частин для комп’ютерів в тому числі на території Європейського Союзу. Для більш ефективної комунікації з європейськими клієнтами, вона відкриває представництво в Латвії. Тоді дане представництво починає збирати персональні дані своїх клієнтів, які є громадянами ЄС, а українська компанія повинна вжити заходів для відповідності такої діяльності положенням GDPR.

Іншу категорію суб'єктів розглянемо на наступному прикладі: Організація базується в Україні та продає онлайн товари і послуги користувачам, в тому числі користувачам з ЄС. Послуги надаються на локальних мовах в місцевих валютах на національних доменах верхнього рівня країн ЄС (напр., «.De», «.nl» або «.co.uk»). При цьому ця організація не здійснює ніяких операцій безпосередньо на території ЄС, тому повинна призначити свого представника в державі-члені, громадянами якої є користувачі даної компанії, для комунікації з відповідними наглядовими органами.

Не слід обходити увагою і звичайних людей, що знаходяться на території ЄС, наприклад, туристів. Тепер треба дуже уважно слідкувати за розміщенням пам’ятних фото у публічному просторі. Якщо на фото або відео, яке зроблено на території ЄС, буде знаходитися інша особа, то для розміщення такого фото потрібно буде отримати згоду цієї особи на публікацію або розмивати обличчя такої особи перед публікацією.

Захист персональних даних та згода на їх обробку

При передачі даних GDPR встановлює суворі обмеження на перенесення до місць, розташованих за межами Европейского Союзу. А саме така передача може відбутися лише у разі: прийняття рішення ЄС про адекватність (визначення, що певна країна має закони про захист даних, еквіваленті законам ЄС), існування відповідних гарантій (наприклад, контракти, що включають типові положення ЄС щодо передачі персональних даних) , надання чіткої інформативної згоди на обробку персональних даних з боку суб’єкта.

Під персональними даними розуміється будь-яка інформація, що відноситься до ідентифікованого або ідентифікованому фізичній особі (суб'єкт даних), по якій прямо або побічно можна його визначити. До такої інформації належить в тому числі ім'я, дані про місце розташування, онлайн ідентифікатор або один або кілька факторів характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи (п. 1 ст. 4). Визначення широке і досить чітко дає зрозуміти, що навіть IP адреси також можуть бути персональними даними.

Також встановлюються вимоги щодо зберігання особистих даних користувачів у безпеці, використовуючи в першу чергу такі заходи як: псевдонімізація персональних даних (тобто обробка персональних даних таким чином, що не може бути пов'язана з конкретним суб'єктом даних без використання додаткової інформації), можливість своєчасно відновити доступність (і доступ до) персональних даних після фізичних або технічних інцидентів, здатність забезпечувати конфіденційність, цілісність і стійкість систем обробки, додавання процесів для забезпечення регулярного тестування та оцінки технічних та організаційних заходів для забезпечення безпеки оброблених персональних даних. Тому, для забезпечення вищевказаного, організації зобов’язані призначатиу свій штат офіцера з захисту даних (DPO).

Штрафи

Організації, які порушують вимоги GDPR, можуть бути оштрафовані до 4% річного глобального обороту або 20 мільйонів євро (залежно від того, що більше). Такий максимальний штраф застосовується зокрема за відсутності достатньої згоди клієнта на обробку даних або порушення суті концепції конфіденційності. Також компанія може бути оштрафована на 2% за відсутність порядку повідомлення контролюючого органу та суб’єктів даних про порушення. Важливо відзначити, що ці правила застосовуються як до контролерів, так і до процесорів, тобто "clouds" не звільняються від виконання вимог GDPR.

 

Адвокат Карелов К.Ю.
за участі Копейчикової Т.В.