27.04.2016 р. був прийнятий Регламент про захист фізичних осіб стосовно обробки персональних даних (General Data Protection Regulation) (далі – GDPR або Регламент), який набрав чинності 25.05.2018 р.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Суть регламенту
GDPR замінив застарілу Директиву, що містила орієнтири, які держави-учасники Європейського Союзу втілювали в локальних нормативних актах. Він є обов'язковим для імплементації та застосування в законодавстві всіх держав-учасниць Європейського Союзу. Основна мета і завдання GDPR – підвищення до якісно нового рівня процесів обробки персональних даних громадян та резидентів Європейського Союзу, а також захист основоположних прав і свобод фізичних осіб.
Визначення основних понять
Згідно з GDPR, персональними даними є будь-яка інформація, яка стосується фізичної особи, за допомогою якої суб'єкт даних може бути ідентифікований. Суб'єктом даними вважається особа, яка може бути ідентифікована за допомогою посилання на відповідний ідентифікатор (наприклад, ім'я, ідентифікаційний номер, паспортні дані, дані про місце розташування, номери мобільних телефонів, платіжні карти, ip-адреси, e-mail або будь-які інші дані, які дозволяють здійснити ідентифікацію).
Контролер – це юридична або фізична особа, орган державної влади, які самостійно або спільно з іншими визначають цілі та засоби обробки персональних даних. Обробник – це фізична або юридична особа, державні органи, які обробляють персональні дані від імені та в інтересах контролера.
Обробкою даних є будь-які операції, що виконуються з персональними даними, незалежно від того, яким способом вони здійснюються (автоматичними засобами або за допомогою будь-яких інших відомих інструментів). Отримання доступу до персональних даних вже вважатиметься обробкою, на яку поширюється дія GDPR.
Обробка персональних даних вважається законною в таких випадках: суб'єкт даних надав згоду на обробку своїх персональних даних для конкретних цілей; обробка необхідна для виконання контракту, стороною якого є суб'єкт даних; обробка необхідна для захисту життєво важливих інтересів суб'єкта даних або іншої фізичної особи; обробка необхідна для захисту громадських інтересів або у разі здійснення покладених на контролера офіційних повноважень.
До чого тут Україна?
Положення GDPR застосовуються до обробки персональних даних у контексті діяльності контролера або обробника, які знаходяться в Європейському Союзі. Проте необхідність бути GDPR-compliance стосується також українського бізнесу. У ст. 3 Регламенту встановлено принцип екстериторіальності: GDPR застосовується до обробки персональних даних суб'єктів, що знаходяться в Європейському Союзі, контролером або обробником, які розташовані за його межами (в будь-якій країні світу). При цьому діяльність з обробки даних пов'язана з пропозицією товарів чи послуг особам, які перебувають в ЄС або мають з ним дуже тісний зв'язок (незалежно від того, чи потрібно оплата від суб'єкта чи ні), а також з моніторингом поведінки таких осіб.
Ст. 15 Угоди про асоціацію з Європейським Союзом передбачено співпрацю з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих міжнародних та європейських стандартів, зокрема документами Ради Європи, яким є GDPR.
П. 11 Плану заходів щодо виконання Угоди про асоціацію з ЄС, затвердженого Постановою Кабінету Міністрів України №1106 від 25.10.2017 р., передбачено вдосконалення законодавства про захист персональних даних з метою приведення його у відповідність з Регламентом.
Окрім вищезазначеного, відповідності нормам GDPR вимагатимуть контрагенти з Європейського Союзу, які обов'язково повинні дотримуватися вимог Регламенту, а невідповідність українських компаній GDPR може призвести до втрати важливих бізнес-комунікацій з компаніями-резидентами ЄС.
Отже, дія GDPR поширюватиметься на українські компанії, які займаються виконанням робіт, поставкою товарів, наданням послуг громадянам або резидентам країн Європейського Союзу, проводять маркетингові або інші дослідження поведінки таких суб'єктів у Європейському Союзі та мають представництво в Європейському Союзі.
Кроки для відповідності регламенту
З метою застереження від будь-яких ризиків компанії необхідно провести аудит, щоб з’ясувати, яким чином, з якою метою та які персональні дані обробляються, а також які засоби захисту даних використовуються. Після цього компанії потрібно зрозуміти, чи відповідає політика інформаційної безпеки вимогам GDPR (чи передбачений перелік даних, які обробляються, мета обробки, права суб'єктів даних, порядок реагування на порушення та надання відповідей на запити від суб'єктів даних тощо).
Для повної відповідності GDPR компаніям необхідно поєднати технічні та організаційні засоби, спрямовані на посилення захисту персональних даних. Технічними засобами є шифрування, програмне забезпечення, а під організаційно-правовими варто розуміти підготовку документації, розробку інструкцій, навчання персоналу, роботу з підрядниками та контрагентами.
Компаніям, які не знаходяться в ЄС, відповідно до ст. 27 Регламенту, необхідно призначити представника в Європейському Союзі для комунікації з контролюючим органом та у разі потреби продемонструвати відповідність вимогам GDPR.
Актуальне сьогодення
Загалом, для українського бізнесу мало що змінилося після набрання чинності Регламентом. Українські компанії наразі не дуже квапляться для приведення себе до відповідності GDPR, помилково вважаючи, що Європі буде не до них.
В Європейському Союзі вже трапляються непоодинокі випадки притягнення компаній до відповідальності за порушення приписів Регламенту. Одними з перших, до кого можуть бути застосовані достатньо значні штрафні санкції, стали компанії зі Сполученого королівства Великої Британії та Ірландії.
Після того як Європейський Союз вирішить всі питання всередині, буде здійснено показове покарання компаній, які знаходяться поза його межами. Можливо, таким прикладом оберуть компанію не з нашої держави, проте після прогнозованих подій українські компанії почнуть швидко адаптувати свою діяльність під вимоги Регламенту. Головне, щоб це не було запізно.