Набрав чинності європейський GDPR
Аліна Моргунова, юрист правової корпорації «Татаров Фаринник Головко»Сьогодні, 25 травня 2018 року, набрав законної сили Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних (General Data Protection Regulation, далі - GDPR).
Цей регламент має територіальну сферу дії не тільки у країнах Європейського Союзу, але й в інших державах. GDPR розповсюджуються на компанії, які займаються обробкою даних резидентів і громадян ЄС, при чому незалежно від місцезнаходження такої компанії. Тому всі компанії, які надають послуги, здійснюють продаж товарів або моніторинг поведінки суб’єктів даних на території ЄС повинні відповідати новим вимогам.
Слід звернути увагу, що нові правила захисту розповсюджується навіть на компанії, які на своєму офіційному сайті лише пропонують свої послуги на таких мовах, як, наприклад, англійська, німецька, французька та ін. Тобто незалежно від того, чи зацікавився клієнт з іншої держави даною пропозицією, компанія має виконувати нові правила захисту (зокрема призначити контролера, оператора та представника).
В ході опрацювання персональних даних повинні бути дотримані наступні принципи: законність, правомірність, прозорість, цільове обмеження, мінімізація даних, точність, обмеження зберігання, цілісність і конфіденційність, підзвітність. У будь-якому випадку опрацювання повинно бути засноване на згоді суб’єкта даних, але з правом відкликати таку згоду в будь-який час. Контролер повинен повідомляти фізичну особу (суб’єкта даних) щодо опрацювання її персональних даних, а також надати інформацію щодо терміну зберігання персональних даних, існування права на відкликання згоди в будь-який момент, права звернення зі скаргою до наглядового органу та ін. Такий суб’єкт даних наділений великим спектром прав, серед них: право на доступ до інформації щодо опрацювання даних, право на виправлення, право на стирання, право на обмеження опрацювання, право на мобільність даних.
Для того щоб опрацювання персональних даних здійснювалось відповідно до Регламенту, контролеру потрібно здійснити ряд технічних та організаційних заходів. У зв’язку з розвитком новітніх технологій, вільної доступності до Інтернету значно зріс потік обміну персональними даними між приватними та публічними особами, а це в свою чергу призводить до складності захисту цієї інформації.
Компаніям не достатньо призначити особу (контролера), який буде здійснювати контроль за збором персональних даних, потрібен ще оператор та представник. Оператор повинен опрацьовувати дані від імені контролера, а представник – перебувати в країні ЄС, в якій будуть надаватись послуги або здійснюватись продаж товару. Представник призначається контролером або оператором в письмовій формі. В деяких випадках компанія звільняється від призначення представника, а саме коли обробка здійснюється не на постійній основі, не в великому обсязі стосовно спеціальних категорій даних (расову чи етнічну приналежність, політичні переконання та ін.) або опрацювання даних про судимості і кримінальні злочини та ймовірно не призведе до виникнення ризику для прав і свобод фізичної особи.
«Персональними даними» є будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати (ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор та ін., фактори, які є визначальними для фізичної, розумової, культурної сутності суб’єкта даних).
Контролери, оператори, представники повинні співпрацювати з наглядовими органами, своєчасно надавати відповіді на запити таких органів. Контролер повинен у разі виявлення будь-якого порушення захисту персональних даних не пізніше 72 годин з моменту виявлення звернутися до наглядових органів.
Якщо здійснюється порушення обробки персональних даних фізичної особи, то така особа має право звернутися в контролюючий орган зі скаргою за місцем свого постійного проживання, місцем роботи або місцем порушення прав. В подальшому контролюючий орган інформує заявника про результати розгляду поданої скарги. У разі неналежного виконання органом своїх обов’язків, а саме ненадання інформації щодо ходу або результатах розгляду скарги впродовж 3 місяців, особа має право звернутись до суду держави, в якій був створений контролюючий орган.
За порушення правил GDPR передбачені адміністративні штрафи, розмір яких залежить від характеру, тяжкості та тривалості порушення, але вони можуть досягати дуже високого рівня. У випадку порушення основних принципів обробки даних, передачі персональних даних одержувачу третіх країн або міжнародних організацій, невиконання вимог національних контролюючих органів, штраф може досягати 20 000 000 євро чи 4% від річного доходу компанії. У випадку порушення повноважень контролера, оператора, покладених на них Регламентом, застосовується штраф розміром до 10 000 000 євро чи 2 % від річного доходу.
Якнайшвидше застосування цих правил у діяльності компаній є дуже важливим. Взагалі дотримання GDPR впливає на успішність Вашого бізнесу, оскільки наслідки невиконання дуже серйозні, мова йде не тільки про високі штрафи, але й про подальшу репутацію. Навряд чи підприємство, яке буде неналежним чином здійснювати обробку персональних даних, зможе вийти і зарекомендувати себе на європейському ринку.
Отже компанії повинні ретельно підійти до питання захисту персональних даних для створення міцних зв’язків на європейському ринку.