GDPR – новий нормативний акт Європейського Союзу, який встановлює правила роботи з персональними даними. Такі правила будуть обов’язковими на території ЄС. У певних випадках їх необхідно буде дотримуватися і за межами ЄС. Про це та інше в нашій статті.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
«На майдані коло церкви революція іде»
Можливо, це ілюзія, що життя колись було спокійніше, і лише тепер чи не кожного дня суспільство переживає відчутні трансформації у найрізноманітніших сферах. Зовсім скоро, а саме 25.05.2018 р., на нас чекає черговий виток у вдосконаленні регулювання персональних даних – цього дня набуде чинності GDPR. Враховуючи роль ЄС у світовій економіці та політиці, цей документ матиме ефект такого собі каменя, що падає у спокійне європейське плесо, хвилі від якого розійдуться майже усіма країнами світу. І якщо країни ЄС вже декілька років готуються до впровадження GDPR, решта світу, в тому числі Україна, тільки тепер пильніше придивляються до європейської нормативної новинки.
Краще, вище, сильніше
Ось так, трохи перефразувавши олімпійський девіз, можна описати GDPR. ЄС вже достатньо давно має детальне регулювання з питань персональних даних. Однак технології та суспільство не стоять на місці, а нинішня нормативна база вже не завжди відповідає викликам сьогодення. Вагу персональних даних та своєчасність GDPR наочно демонструють вихори, які здійнялись навколо Cambridge Analytics та Facebook.
З одного боку, реальність така, що світова економіка не може ефективно рухатися без роботи з персональними даними. З іншого боку, зловживання такими даними – пряма загроза світовому порядку. Воістину, хто володіє інформацією, той володіє світом. Саме GDPR покликаний зробити обробку персональних даних більш безпечною та, якщо хочете, прогнозованою.
Гарячі новинки
GDPR вводить низку новацій у сфері регулювання персональних даних. Назвемо декілька з них.
- Діє за межами ЄС
GDPR є обов’язковим для застосування за межами ЄС, якщо обробка персональних даних відбувається за межами ЄС, тоді як володілець чи розпорядник персональних даних знаходяться в ЄС; обробка персональних даних нерезидентами ЄС, якщо це робиться для пропонування товарів/послуг громадянам ЄС, а також якщо стосується стеження за поведінкою населення ЄС.
- Суперштраф
За новими правилами штрафуватимуть по-новому. За порушення GDPR компанія може бути оштрафована у розмірі до 4% від загального річного обігу, але не більше ніж на 20 млн євро. При цьому штраф може бути накладений як на володільця, так і на розпорядника персональних даних, тобто «хмарні» сервіси також потенційно можуть бути під ударом.
- Згода людською мовою
Кожен користувач неодноразово ставив галочку під згодою на обробку персональних даних навіть не читаючи, адже прочитати її неможливо – настільки складною мовою та незрозумілими словами викладена така згода. У GDPR передбачено, що тепер згода має бути простою, стислою і доступною для пересічного користувача. Інакше дивися пункт про суперштраф.
- Повідомити про порушення
Про витік персональних даних, який може загрожувати правам та свободам громадян, обов’язково необхідно буде повідомляти не пізніше ніж через 72 години з моменту, коли володілець чи розпорядник персональних даних виявили такий витік.
- Доступ до своїх персональних даних
Тепер особа може дізнатися від володільця персональних даних, чи обробляються її персональні дані, де та з якою метою. Розпорядник персональних даних на запит особи повинен безкоштовно надавати особі електронну копію таких персональних даних.
- Право на забуття
На вимогу особи володілець персональних даних повинен видалити такі дані. Наприклад, якщо особа відкликає свою згоду на обробку персональних даних.
- Сторож персональних даних
GDPR вводить нову посаду – відповідальний за захист даних. Така посада буде обов’язкова для компаній, основна діяльність яких стосується, наприклад, систематичного вистежування великих обсягів персональних даних або роботи з персональними даними у сфері кримінальної юстиції.
Україна – наступна
Всім добре відомо, що українське законодавство про персональні дані писалося з європейського. Враховуючи офіційний державний курс на приведення наших законів у відповідність до законів ЄС, цілком очевидно, що рано чи пізно аналог GDPR з’явиться в Україні. Тому саме час подивитися, як це працюватиме у сусідів, і потроху готуватися до неминучого.