GDPR – нові правила гри. А ваша команда готова?

GDPR – нові правила гри. А ваша команда готова?

Анастасія Доброчинська — адвокат, керівник філіалу Юридичної Компанії «Право Гарант» у місті Києві:

Написання цієї статті зумовлено великою кількістю звернень за юридичною допомогою у зв’язку із набуттям чинності General data protection regulation.  Загального регламенту із захисту даних (GDPR).

GDPR – нові правила гри. А ваша команда готова?

Тож світова бізнес-спільнота перебуває в очікуванні 25.05.2018, коли почне застосовуватись GDPR. На відміну від Директиви 95/46/ЄС, GDPR має екстратериторіальну дію: його положення є нормами прямої дії, тобто їх виконання загальнообов’язкове без імплементації до національного законодавства кожної країни-учасниці. При цьому дія документу не обмежена кордонами ЄС, а поширюється на всі організації, що працюють з даними фізичних осіб, які знаходяться в ЄС, у тому числі українські.

ЧИ ВПЛИНЕ GDPR НА ВАШ БІЗНЕС?

В контексті GDPR, «персональні дані» – будь-яка інформація щодо громадян ЄС, яка дозволяє ідентифікувати особу прямо або побічно, зокрема, за допомогою посилання на ідентифікатор, онлайн-ідентифікатор, один або кілька факторів, специфічних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності даної фізичної особи.
Цікаво, що до персональних можуть бути віднесені онлайн-ідентифікатори, ідентифікатори пристроїв, ідентифікатори файлів cookie та IP-адреси.

Суб’єкти, які працюють з персональними даними – це контролери (визначають цілі та засоби обробки даних) і процесори (обробляють дані від імені та за дорученням контролера). Основна вимога до них – ретельний захист конфіденційної інформації.
Бізнес підпадає під сферу застосування GDPR, якщо в процесі діяльності здійснюється:

  1.  обробка персональних даних контролером/процесором, що знаходяться в ЄС, незалежно від того, де обробляються дані.
  2.  обробка персональних даних суб’єктів в ЄС контролером/процесором, що знаходяться поза ЄС, у зв’язку з:
    – пропозицією товарів/послуг (оплатних чи безоплатних) суб’єктам персональних даних в ЄС;
    – відстеженням поведінки суб’єктів персональних даних в ЄС.
Читайте также:   Apple vs. Samsung: ситуація на ринку розумних годинників

Слід ретельно підготуватися до виконання норм GDPR, оскільки розміри адміністративних санкцій, які будуть застосовуватися до порушників, вражають.

Так, діапазон штрафів становить до 10-20 млн євро, або 2-4% валового річного доходу компанії (обирається найбільша сума).

І хоча механізм застосування санкцій в українських реаліях поки що незрозумілий, враховуючи інтеграційний курс держави до Європи, він буде запроваджений найближчим часом.
Так, у березні відбувся круглий стіл національних регуляторів з питань захисту персональних даних (НБУ, Мінюст, Секретаріат Уповноваженого з прав людини), де стало відомо, що наразі здійснюється офіційний переклад GDPR на українську мову та готується дорожня карта для створення проекту закону, який запровадить практичні механізми для виконання вимог GDPR щодо накладення штрафів.

ПРАВОВІ АСПЕКТИ ВІДПОВІДНОСТІ БІЗНЕСУ GDPR

GDPR не зазначає, які саме заходи мають вживатися для захисту даних. Конкретні заходи визначає сама компанія, беручи до уваги такі фактори, як сутність даних, які збираються, рівень їх конфіденційності та ризики, що становить обробка.

Читайте также:   Королівська вакансія: Єлизавета II шукає садівника за великі гроші

Для визначення індивідуальних кроків з адаптації кожної окремої компанії вимогам GDPR радимо звернутися до спеціаліста з метою проведення відповідного аудиту. Щодо загальних рекомендацій, пропонуємо такі:

1. Дотримання основних принципів обробки даних:

Законність, прозорість; конкретна мета обробки; «dataminimization» (здійснення якомога мінімального об’єму обробки); точність даних; зберігання даних протягом терміну, не більшого ніж це необхідно для цілей обробки (як забезпечення права на забуття); належний захист даних.

Читайте також: «Право Гарант» – надійний юридичний партнер Вашого бізнесу

2. Уникнення безпідставної обробки даних, а також обробки «чуттєвих» даних:

Відповідно до GDPR, обробка даних можлива лише за наявності згоди на неї для конкретних цілей. При цьому контролер повинен бути в змозі довести отримання згоди, текст якої надається в простій, зрозумілій, доступній і чіткій формі. Крім того, контролером забезпечується можливість суб’єкта персональних даних відізвати свою згоду у будь-який час та без обмежень.

3. Призначення відповідальних працівників:

Введення посади працівника, відповідального за захист персональних даних (Data Protection Officer), проводиться обов’язково в тому випадку, якщо компанією здійснюється глобальна обробка даних та/або обробка «спеціальних категорій».
Якщо компанія здійснює постійну обробку даних, розташована не в ЄС і не підпадає під виключення, необхідною є наявність офіційного представника компанії в ЄС, з яким укладається письмовий договір. Представником може бути юридична чи фізична особа, що відповідно заснована чи перебуває в одній з тих країн, де знаходяться суб’єкти персональних даних.

Читайте также:   У США програміст забув пароль від гаманця з Bitcoin на $220 млн

4. Підвищення рівня безпеки персональних даних:

Досягається за допомогою забезпечення найвищого можливого рівня захисту інформації, зокрема, впровадження належних технічних та організаційних заходів (як то: введення паролів, псевдонімізації, шифрування, журналів аудиту, зберігання персональних даних на хмарних сховищах з високим рівнем безпеки, підписання договорів з особливими застереженнями, зокрема, про видалення персональних даних, які стали відомі з договору, в розумні строки після його виконання, обмеження у доступі до інформації субпроцесорів тощо).

5. Вчасне повідомлення контролюючого органу та контролера про витік персональних даних, а у випадках, встановлених GDPR, – суб’єкта персональних даних:

Забезпечення можливості виявлення та прийняття відповідних заходів у разі порушення прав суб’єкта персональних даних щодо його персональних даних.

Зі змісту статті 45 GDPR вбачається, що персональні дані з європейського економічного простору можуть передаватися у треті країни за наявності позитивного висновку ЄК щодо відповідності країни високим стандартам захисту персональних даних. Враховуючи, що на сьогодні Україна не входить до списку держав, щодо яких існує рішення ЄК про «адекватність країни», рекомендуємо використання Model Clauses – стандартних умов договору, затверджених ЄК.

Не успеваете всё читать ?
Подпишитесь на рассылку Financoff.
Самое важное и интересное из
сегодняшних новостей вам на почту.

Это бесплатно.




Нет комментариев

Напишите комментарий

Your email address will not be published. Required fields are marked *