Усім привіт! Я — Ігор Котков, Privacy Lawyer в Legal IT Group. У цій статті я розкажу про те, як IT-компаніям адаптуватись до GDPR та на які основні концепти в сфері захисту персональних даних слід звернути увагу.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Що таке GDPR?
GDPR (General Data Protection Regulation) — це загальний регламент про захист персональних даних в ЄС, який регулює питання обробки персональних даних у Європейському Союзі. Також цей регламент застосовний до країн Європейської економічної зони: Ісландія, Ліхтенштейн, Норвегія. На відміну від свого попередника Data Protection Directive 95/46/EC 1995 року цей акт є регламентом та має пряму дію, тобто підлягає негайному виконанню в усіх державах-учасницях одночасно. Хоча деякі питання в контексті обробки персональних даних країни-учасниці можуть вирішувати самостійно, основні концепти є незмінними для усіх країн, в яких діє GDPR.
Чи може GDPR стосуватись української компанії?
Однією з головних особливостей GDPR є його екстериторіальний характер, тобто цей акт може діяти за межами Євросоюзу та ЄЕЗ. Для того, щоб зрозуміти, чи підпадає IT-компанія, що знаходиться за межами ЄС та ЄЕЗ, під дію GDPR, слід проаналізувати статтю 3 GDPR, що описує територіальну сферу дії (territorial scope) закону.
По-перше, GDPR застосовний до компаній у контексті активності їхньої установи (establishment), незалежно від того, обробка персональних даних має місце в Євросоюзі чи ні. Поняття establishment є широким та гнучким і не повинно залежати від юридичної форми компанії. Так, наприклад, наявність офісу з продажів або представника для роботи з місцевими клієнтами за певних обставин може також вважатись «establishment».
По-друге, GDPR застосовний до компаній, що знаходяться поза межами ЄС, а їхня активність відноситься до пропонування товарів та послуг суб’єктам даних в ЄС або моніторингу поведінки осіб. Важливо зрозуміти, чи пропонує компанія товари та послуги особам в ЄС. Для цього необхідно проаналізувати такі фактори, як використання компанією назв країн ЄС, мови ЄС, наявність маркетингових кампаній, націлених на аудиторію ЄС, використання європейських доменів та інші фактори.
Серед прикладів моніторингу, наведених EDPB, є поведінкова реклама, онлайн-трекінг за допомогою кукіс, моніторинг здоров’я особи та інше.
Контролер та процесор: яка різниця?
Ролі компанії:
- контролер — це фізична або юридична особа, державний орган, установа або інший орган, що самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних;
- процесор — це фізична або юридична особа, державний орган, установа або інший орган, що обробляє персональні дані від імені контролера.
Якщо після аналізу сфери дії закону, як матеріальної (стаття 2), так і територіальної (стаття 3), виявилось, що на компанію розповсюджується GDPR, слід зрозуміти, яку роль має компанія та, відповідно, які вимоги до неї застосовуються. Розуміння того, яку роль покладено на компанію, має велике значення, тому що це дає змогу розподілити обов’язки за GDPR для ефективного захисту прав та свобод суб’єктів даних. З дефініцій вище можна зробити висновок, що контролер приймає основні рішення стосовно персональних даних. Процесор також має певні обов’язки, наприклад, мати відповідний рівень безпеки даних, повідомлення контролера у випадку витоку даних та інше.
Яскравим прикладом відносин «контролер — процесор» є використання хмарних сервісів, де клієнт, який надає дані хмарному сервісу, є контролером, а хмарний сервіс, що обробляє такі дані, є процесором. Важливо пам’ятати, що під час різних операцій з обробки компанія може мати різні ролі. Наприклад, компанія може бути процесором стосовно обробки даних клієнта та контролером стосовно обробки персональних даних своїх працівників. Також GDPR визначає таку роль, як «спільний контролер», для випадків, коли два або більше контролери спільно визначають цілі та засоби обробки персональних даних.
Принципи GDPR
Одним з найважливіших завдань для компаній, що мають бажання адаптуватись до вимог Регламенту, є розуміння принципів GDPR та їхнє практичне втілення в діяльність компанії. Так, доволі часто компанії отримують штрафи за невідповідність GDPR саме через порушення принципів, закріплених у статті 5 GDPR.
Виділяються наступні принципи обробки персональних даних:
- законність, справедливість та прозорість;
- обмеження цілі, тобто персональні дані не повинні оброблятись у майбутньому в цілях, що є несумісними з початковими цілями обробки даних;
- мінімізація даних, тобто використання тільки необхідної кількості даних та керування принципом пропорційності щодо даних, що використовуються, та мети такого використання;
- точність: тут мається на увазі використання надійних джерел отримання даних та підтримання точності даних, особливо, коли використання неточної інформації може мати негативний вплив на особу;
- обмеження зберігання, тобто зберігати дані потрібно не довше, ніж це необхідно для досягнення мети обробки;
- цілісність та конфіденційність, тобто дані необхідно обробляти безпечно, вони мають бути захищені від несанкціонованої або незаконної обробки та від випадкової втрати, знищення, пошкодження шляхом використання відповідних технічних чи організаційних заходів;
- підзвітність: цей принцип означає, що контролер повинен бути відповідальним та мати змогу продемонструвати відповідність принципам, переліченим вище.
Правова підстава: згода, легітимний інтерес та інше
Якщо компанія підпадає під вимоги GDPR, вона повинна визначити правову підставу щодо конкретної обробки даних. Це тісно пов’язано з першим принципом, про який ішлося в попередньому розділі. GDPR виділяє шість правових підстав для обробки персональних даних.
В залежності від конкретного випадку компанія має спиратись на один з них:
- згода — суб’єкт даних дає явну згоду на обробку персональних даних для визначеної мети;
- виконання контракту — обробка персональних даних необхідна для виконання контракту із суб’єктом даних або для того, щоб вжити певних заходів на запит суб’єкта даних до укладення контракту;
- правовий обов’язок — обробка необхідна для виконання законних вимог;
- життєво важливі інтереси — обробка необхідна для захисту життєвих інтересів суб’єктів даних або інших осіб;
- публічний інтерес — обробка, яка здійснюється в суспільних інтересах або для виконання офіційних повноважень, наданих контролеру;
- легітимний (законний) інтерес — обробка необхідна для легітимних інтересів контролера або третіх сторін, враховуючи, що такі інтереси не превалюють над інтересами, правами та свободами суб’єкта даних.
Також слід розуміти, що обробка спеціальних категорій персональних даних (дані щодо здоров’я, релігії, етнічного походження та інші категорії, встановлені у статті 9 GDPR) за замовчуванням заборонена. Проте така обробка можлива на підставі виключень, що перелічені в другому пункті статті 9 GDPR (наприклад, суб’єкт даних надав явну згоду на обробку).
Інші вимоги
Окрім перелічених вище вимог, GDPR містить ще низку обов’язків, що покладаються на компанії. Для адаптації до GDPR компаніям також слід звернути особливу увагу на питання надання належної інформації суб’єктам даних, ведення record of processing activities, врегулювання передачі даних в треті країни, проведення DPIA та інших оцінювань (assessments), необхідність призначення DPO та representative, а також проаналізувати інші вимоги GDPR та інших застосовних законів для підвищення рівня захищеності персональних даних у межах компанії.