Коротко про Регламент та його дію
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Вже важко знайти юриста чи людину з бізнесу, яка не чула б цю абревіатуру – GDPR (General Data Protection Regulation – Загальний Регламент із захисту персональних даних). Однак нагадаємо базову інформацію. Отже, Регламент почне діяти з 25.05.2018 р. Він має пряму дію та здійснюватиме екстериторіальний вплив. Варто також згадати про штрафні санкції, передбачені цим Регламентом, адже саме вони підштовхнули багатьох з ним ознайомитися: штрафи за порушення досягають 20 млн євро або 4% від річного світового обігу компанії.
Чому про GDPR варто говорити в Україні?
Щоб визначити, чи потрібно вам, маючи бізнес в Україні, перейматися цим Регламентом, достатньо відповісти собі на такі запитання:
- Чи маєте ви у структурі юридичну особу, зареєстровану в ЄС?
- Чи реалізовуєте ви послуги/товари в ЄС?
- Чи доступна версія вашого сайту мовами ЄС?
- Чи є оплата в євро або одній з валют ЄС?
- Чи маєте доступ до баз даних клієнтів/працівників з ЄС (наприклад, ІТ-аутсорс)?
Якщо відповідь хоча б на одне із запитань буде «так», то вам потрібно буде ознайомитися з вимогами Регламенту. Мабуть, ви будете думати над питанням, як саме до вас чи вашої компанії можуть дістатися у разі порушення Регламенту. Чіткої відповіді на це поки що немає. Ймовірно, її не буде, поки не сформується якась практика (наприклад, у Court of Justice).
Регламент є чудовим зразком документа, який здатен спонукати ринок до саморегуляції. Я маю на увазі, що ті, хто розпоряджається персональними даними, просто відмовлятимуться працювати з компаніями, які не забезпечують належний захист цих даних. Деякі компанії в Україні (переважно ІТ-аутсорс) вже відчули вплив на себе через клієнтів, які перш ніж перейти до переговорів, тепер запитують про те, чи відповідає ваша компанія вимогам Регламенту.
Що зміниться?
Деякі вимоги нового Регламенту виявилися абсолютно новими, інші ж були доповнені та уточнені, якщо порівнювати з Директивою про захист персональних даних 1995 р., яку Регламент покликаний замінити. Ми зупинимося на кількох новелах.
- Призначення представника в ЄС
За загальним правилом, коли організація не перебуває на території ЄС, але підпадає під дію Регламенту, така організація повинна призначити свого представника на території ЄС. Представник повинен мати повноваження діяти від імені організації та представляти її інтереси у взаємодії з місцевими регуляторами у сфері захисту персональних даних. Це буде актуальним і для українських компаній.
- Згода на обробку персональних даних
Змінилися умови отримання згоди на обробку. По-перше, відтепер суб'єкти персональних даних завжди повинні мати можливість відкликати свою згоду, надану раніше. По-друге, окрема згода має бути надана щодо кожної окремої мети обробки таких персональних даних (наприклад, для обробки замовлення і маркетингу). Загальні ('omnibus') згоди у більшості випадків вважатимуться недійсними. Це потрібно враховувати у процесі розробки форми згоди, яка підійде саме для вашої моделі бізнесу.
- Повідомлення про злом/компрометацію персональних даних
Відтепер організації зобов'язані розкривати інформацію про випадки злому або компрометації персональних даних. Організації, які контролюють персональні дані, повинні повідомляти регулятора про такі випадки, а також суб'єктів персональних даних за певних умов. Таке повідомлення повинно бути зроблено без зволікань, але в будь-якому випадку не пізніше ніж через 72 години з того моменту, коли про них стало відомо.
- Зобов'язання щодо управління ПД
Регламент передбачає низку зобов'язань організаційного характеру щодо управління ПД. Залежно від конкретних обставин, організації повинні здійснювати оцінку впливу на особистість високоризикованих методик з обробки персональних даних (Privacy Impact Assessments), призначати відповідальну особу (Data Protection Officer), проявляти пильність під час вибору субпідрядників, які беруть участь в обробці персональних даних, та вести облік всіх дій з обробки таких даних.
- Розширені права суб'єктів персональних даних
Регламент уточнює та розширює права суб’єктів персональних даних. Загалом, цих прав вісім, але ми зупинимося на основних. Так, суб'єкти персональних даних мають право: отримувати підтвердження факту обробки персональних даних; вимагати надання їм копії тих даних, які є у вас; вимагати надання додаткової інформації (про цілі обробки, категорії персональних даних, їх одержувачів, терміни обробки та видалення); висловлювати протест проти обробки персональних даних для конкретних цілей; вимагати повного видалення персональних даних або тимчасового обмеження їх використання.
- Згода дітей
Регламент містить особливі правила для отримання згоди дітей на обробку їхніх персональних даних. Згода дітей до 16 років має супроводжуватися згодою їхніх батьків. Держави-члени ЄС можуть знизити цей віковий поріг до 13 років.
Що можуть зробити компанії, щоб підготуватися?
Для процесорів GDPR має певний набір юридичних зобов'язань, деякі з них вимагатимуть від вас:
- зберігати актуальні записи персональних даних, деталі вашої обробки діяльності та категорій, включаючи інформацію про вашу категорію даних (клієнти, співробітники, постачальники тощо), категорії обробки (передача, розміщення, зміна, отримання, розкриття тощо);
- зберігати інформацію про будь-яку передачу даних до країн, які не входять до Європейського економічного простору (ЄЕП);
- вживати відповідні заходи безпеки, які можуть включати псевдоанонімізацію і шифрування, та довести, що ви регулярно перевіряєте ці заходи.
Будьте готові надати загальний опис технічних та організаційних заходів безпеки, які ви провели. Варто зазначити, навіть якщо ви лише процесор, але з вашої вини було порушено права суб'єкта персональних даних, то він матиме право подати скаргу безпосередньо на процесора.
Якщо ж ви контролер, то майте на увазі, що всі контролери за своїм характером також є процесорами, а отже, повинні відповідати тим же основним вимогам. GDPR зобов'язує вас як контролера та ваш бізнес забезпечити відповідність будь-яких контрактів з процесорами. Можливо, варто перевірити, чи сумісні заходи безпеки ваших партнерів з GDPR, перш ніж підписати або поновлювати будь-який контракт.
Робота з GDPR-сумісними постачальниками та підрядниками зменшить ризик наслідків порушенням даних та будь-яких наступних штрафів і претензій. Ви можете попросити постачальників та підрядників заповнити форму, яка підтверджує вжиті заходи безпеки, або ви можете здійснити візит та впевнитися в цьому на місці. Якщо таких заходів недостатньо, ви повинні переглянути свої відносини, щоб переконатися, що вони відповідають GDPR.
Якщо ваші постачальники (як процесори) обробляють особисті дані від вашого імені (як контролера), ви зобов'язані оновлювати свої контракти з ними, щоб включити низку обов'язкових положень, які можна знайти у ст. 28 (3) Регламенту. Це гарантує, що процесори зобов'язані забезпечувати стандарти захисту даних, сумісні з GDPR.
Як підтвердити відповідність GDPR (Compliance)?
Заходи, які необхідно прийняти, я поділяю на 3 складові:
- Зовнішні, які бачать суб'єкти персональних даних. Сюди включаємо політику конфіденційності (Privacy Notice), форму отримання згоди, політику щодо cookies, сертифікації тощо.
- Внутрішні, які бачитимуть працівники компанії та регулятор. До них належить визначення списку даних, які є у вас, де вони зберігаються, хто має до них доступ (умовно назвемо це «картою даних»), політика, що визначає основні принципи роботи з даними у вашій організації, включення положень про роботу з персональними даними в договорах з підрядниками/замовниками, політика видалення даних (Retention Policy), тренінг для персоналу, який має доступ до персональних даних.
- Технічні, які перекликаються з внутрішніми та зовнішніми. Коли ви визначите, в якій формі маєте отримувати згоду на сайті, потрібно буде технічно це реалізувати, розробити дизайн кнопки/галочки, розділити бази даних клієнтів, які погодилися на маркетинг, і тих, які не погодилися, забезпечити можливість роздачі та обмеження доступів до баз даних, розробити функціонал сайту для видалення та контролю над персональними даними, пройти сертифікацію тощо.
Універсального інструменту для всіх компаній не існує, так само як не існує повністю однакових бізнес-процесів. Тому жодна стаття не дасть вам відповідь на запитання з чітким планом дій. Однак приймаючи рішення, що вам робити, пам’ятайте про основні принципи Регламенту: не збирайте даних більше ніж вам потрібно, використовуйте їх лише для того, для чого вам їх надали, будьте прозорими та чесними зі своїми клієнтами.
Тепер ви вже знаєте основні моменти. Проте наш бот може допомогти визначитись, чи потрібно вам відповідати вимогам GDPR або може надати консультацію з базових питань. Отримати консультацію та перевірити свою компанію можна у Facebook та Telegram.