15 травня 2018, 14:31

Регламент GDPR: нові правила гри у сфері персональних даних

Опубліковано в №19-20 (621-622)

Тарас Кислий
Тарас Кислий «Arzinger» партнер

GDPR – новий нормативний акт Європейського Союзу, який встановлює правила роботи з персональними даними. Такі правила будуть обов’язковими на території ЄС. У певних випадках їх необхідно буде дотримуватися і за межами ЄС. Про це та інше в нашій статті.


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


«На майдані коло церкви революція іде»

Можливо, це ілюзія, що життя колись було спокійніше, і лише тепер чи не кожного дня суспільство переживає відчутні трансформації у найрізноманітніших сферах. Зовсім скоро, а саме 25.05.2018 р., на нас чекає черговий виток у вдосконаленні регулювання персональних даних – цього дня набуде чинності GDPR. Враховуючи роль ЄС у світовій економіці та політиці, цей документ матиме ефект такого собі каменя, що падає у спокійне європейське плесо, хвилі від якого розійдуться майже усіма країнами світу. І якщо країни ЄС вже декілька років готуються до впровадження GDPR, решта світу, в тому числі Україна, тільки тепер пильніше придивляються до європейської нормативної новинки.

Краще, вище, сильніше

Ось так, трохи перефразувавши олімпійський девіз, можна описати GDPR. ЄС вже достатньо давно має детальне регулювання з питань персональних даних. Однак технології та суспільство не стоять на місці, а нинішня нормативна база вже не завжди відповідає викликам сьогодення. Вагу персональних даних та своєчасність GDPR наочно демонструють вихори, які здійнялись навколо Cambridge Analytics та Facebook.

З одного боку, реальність така, що світова економіка не може ефективно рухатися без роботи з персональними даними. З іншого боку, зловживання такими даними – пряма загроза світовому порядку. Воістину, хто володіє інформацією, той володіє світом. Саме GDPR покликаний зробити обробку персональних даних більш безпечною та, якщо хочете, прогнозованою.

Гарячі новинки

GDPR вводить низку новацій у сфері регулювання персональних даних. Назвемо декілька з них.

  • Діє за межами ЄС

GDPR є обов’язковим для застосування за межами ЄС, якщо обробка персональних даних відбувається за межами ЄС, тоді як володілець чи розпорядник персональних даних знаходяться в ЄС; обробка персональних даних нерезидентами ЄС, якщо це робиться для пропонування товарів/послуг громадянам ЄС, а також якщо стосується стеження за поведінкою населення ЄС.

  • Суперштраф

За новими правилами штрафуватимуть по-новому. За порушення GDPR компанія може бути оштрафована у розмірі до 4% від загального річного обігу, але не більше ніж на 20 млн євро. При цьому штраф може бути накладений як на володільця, так і на розпорядника персональних даних, тобто «хмарні» сервіси також потенційно можуть бути під ударом.

  • Згода людською мовою

Кожен користувач неодноразово ставив галочку під згодою на обробку персональних даних навіть не читаючи, адже прочитати її неможливо – настільки складною мовою та незрозумілими словами викладена така згода. У GDPR передбачено, що тепер згода має бути простою, стислою і доступною для пересічного користувача. Інакше дивися пункт про суперштраф.

  • Повідомити про порушення

Про витік персональних даних, який може загрожувати правам та свободам громадян, обов’язково необхідно буде повідомляти не пізніше ніж через 72 години з моменту, коли володілець чи розпорядник персональних даних виявили такий витік.

  • Доступ до своїх персональних даних

Тепер особа може дізнатися від володільця персональних даних, чи обробляються її персональні дані, де та з якою метою. Розпорядник персональних даних на запит особи повинен безкоштовно надавати особі електронну копію таких персональних даних.

  • Право на забуття

На вимогу особи володілець персональних даних повинен видалити такі дані. Наприклад, якщо особа відкликає свою згоду на обробку персональних даних.

  • Сторож персональних даних

GDPR вводить нову посаду – відповідальний за захист даних. Така посада буде обов’язкова для компаній, основна діяльність яких стосується, наприклад, систематичного вистежування великих обсягів персональних даних або роботи з персональними даними у сфері кримінальної юстиції.

Україна – наступна

Всім добре відомо, що українське законодавство про персональні дані писалося з європейського. Враховуючи офіційний державний курс на приведення наших законів у відповідність до законів ЄС, цілком очевидно, що рано чи пізно аналог GDPR з’явиться в Україні. Тому саме час подивитися, як це працюватиме у сусідів, і потроху готуватися до неминучого.

0
0

Додати коментар

Відмінити Опублікувати