Популярні матеріали

20 червня 2018, 18:23

GDPR - не еволюція, а революція

Більш обговорювану тему, ніж  GDPR зараз важко знайти. І не дивно, адже правила роботи з персональними даними, які встановлює Регламент, торкнуться не тільки всього Євросоюзу, а в деяких випадках і територій за його межами.

Тож сьогодні в юридичній компанії Arzinger відбувся семінар на тему “Старт нової GDPR-реальності. Український бізнес та стандарти захисту даних за регламентом ЄС”. Формат передбачав дві частини, одна з яких присвячена юридичним, інша - технічним аспектам GDPR-комплаєнсу.

Юридичну частину вели партнер Arzinger Катерина Олійник та юрист Arzinger Тетяна Слабко.

Розпочали з того, для яких українських компаній необхідно дотримуватись GDPR-комплаєнсу. Це компанії, які надають послуги чи постачають товари суб’єктам в ЄС,  компанії, діяльність яких стосується відслідковування поведінки населення ЄС, ті, які пов'язані із компаніями в ЄС, міжнародні компанії і ті, які мають співробітників з ЄС.

Підставами обробки персональних даних є:

-  згода на обробку персональних даних;

-  виконання умов договору;

-  виконання зобов'язання;

-  захист життєво важливих інтересів;

-  захист інтересів суспільства та публічного порядку;

-  законний інтерес.

Поняття згоди на обробку персональних даних деталізували відповідно до офіційного перекладу GDPR. За Регламентом, «Згода» суб’єкта даних означає будь-яке вільно надане, конкретне, поінформоване та однозначне зазначення бажань суб’єкта ПД, яким він або вона, шляхом оформлення заяви чи проявом чітких ствердних дій, підтверджує згоду на обробку ПД.

Згода має відповідати конкретним критеріям:

- бути вільно надана (передбачає активну дію);

-  письмова форма;

-  недвозначність і чіткість;

-  викладена окремо від інших питань;

-  конкретизована;

-  легко доступна форма;

-  з використанням чітко зрозумілої та простої мови;

-  легка для відзиву.

Експерти відповіли на досить поширене питання: хто ж такі EU representative та Data Protection Officer.

EU representative - це, по суті, офіційний представник компанії в ЄС. Ця особа має бути зазначена у privacy notices, і її основною функцією є інформування, тобто вона передає інформацію про порушення та скарги українській компанії. Це може бути як фізична, так і юридична особа.

Data Protection Officer - це так званий комплаєнс-менеджер - особа, відповідальна за захист персональних даних. Така посада є обов’язковою у всіх компаніях, які мають справу зі значним обсягом персональних даних або зі «спеціальними» категоріями таких даних. Він може виконувати свої обов’язки як за трудовим договором, так і на підставі цивільно-правової угоди.

Основні порушення за Регламентом - це порушення конфіденційності даних, відсутність їх належного обліку, відсутність доступу чи порушення цілісності даних.

Відповідальність за вищезгадані порушення може бути дуже різною: насамперед, це репутаційні ризики, попередження, догани, тимчасові чи навіть постійні обмеження щодо обробки ПД, позбавлення сертифікатів, надання рекомендацій чи здійснення коригувальних заходів, адміністративні штрафи та відповідальність за нормами національного права.

Тож GDPR, безперечно, вплине на всі ті українські компанії, які будь-яким чином співпрацюють з ЄС. Щоб компанія відповідала вимогам Регламенту, експерти порадили врахувати всі зміни: здійснити кадрові призначення, внести оновлення у трудових відносинах, оновити юридичні аспекти обробки та зберігання даних, вдатись до аудиту та здійснити необхідні організаційні заходи.

0
0

Додати коментар

Відмінити Опублікувати