Закон і Бізнес


Офіцери — на варті даних

Як українським компаніям виконати вимоги GDPR


Новий регламент дозволить європейцям захищати свої персональні дані від несанкціонованого збирання та використання.

№23 (1373) 09.06—15.06.2018
Валентин ГВОЗДІЙ, старший партнер ЮФ GOLAW
9813
9813

Набули чинності нові вимоги щодо захисту персональних даних. Правила закріплені в General Data Protection Regulation. Документ за своєю природою є регламентом, а отже, має пряму дію та обов’язковий для імплементації всіма 28 державами — членами Європейського Союзу.


Яка мета регламенту?

На перший погляд, незрозуміло, який стосунок GDPR має до України. Проте важливою особливістю регламенту є принцип екстериторіальної дії його норм (ст.3 GDPR). Тому компаніям (незалежно від місцезнаходження), які обробляють персональні дані резидентів ЄС, слід звернути особливу увагу на цей документ, аби уникнути негативних наслідків від його порушення.

GDPR замінила рамкову директиву №95/46/ЕС, яка не мала імперативного характеру та від початку була спрямована на гармонізацію фундаментальних прав і свобод людини у сфері захисту персональних даних, а також на забезпечення вільного обміну даними між резидентами Союзу. Одначе стрімкий розвиток інформаційних технологій, глобалізація та перехід бізнесу в цифровий простір зумовлюють нові виклики. Ці чинники й стали першочерговою причиною перегляду регуляторних вимог.

Головна мета GDPR — гарантія захисту персональних даних громадян ЄС без прив’язки до того, на території якої держави вони зберігаються. Основна вимога до компаній, які працюють із такими даними, — надійно захищати їх конфіденційність. GDPR не встановлює прив’язки до конкретних прийомів та методів захисту персональних даних, а залишає це право й водночас обов’язок за компаніями.

За принципом екстериторіальності

Як зазначалося раніше, регламент поширює свою дію як на компанії, що працюють на території ЄС, так і на розташовані поза межами Союзу. Це відбувається в разі, якщо компанія:

• є оператором персональних даних або обробляє їх та працює на території ЄС;

• розташована за межами міждержавного об’єднання, але обробляє персональні дані його громадян чи займається продажем товарів або послуг і здійснює моніторинг поведінки користувачів, які перебувають на території ЄС.

Як дізнатися, що компанія пропонує товари або послуги громадянам Союзу? GDPR установив такі критерії:

• використовується мова або валюта, а також національні домени однієї чи кількох держав — членів ЄС та надається допомога особам, які там проживають, щодо ознайомлення з офертами компанії;

• згадуються клієнти чи користувачі, що перебувають на території Союзу;

• цілеспрямовано пропонуються товари або послуги саме громадянам ЄС.

Першочергові заходи

Дієвим заходом для адаптації до нових вимог є проведення загального аудиту щодо персональних даних, з якими компанія прямо чи опосередковано пов’язана. Під час перевірки слід установити:

• які персональні дані збираються, зберігаються та обробляються;

• яким суб’єктам такі дані передаються, у тому числі хто з контрагентів має доступ до персональних даних;

• яким є рівень ризику та які джерела витоку персональних даних;

• хто в компанії відповідальний за захист та обробку персональних даних та які саме заходи вживаються такою особою.

Після цього потрібно перевірити, чи відповідає вимогам GDPR політика приватності, яку компанія пропонує своїм клієнтам. У ній слід зазначити:

• перелік даних, що збираються;

• мету обробки;

• права клієнтів щодо своїх даних;

• порядок надання відповідей на скарги.

Нові суб’єкти

Регламент запроваджує нові поняття в суб’єктному складі у сфері захисту й обробки персональних даних: «Controller», «Processor», «Data Protection Officer». Щоб чітко розмежувати поняття «контролер» та «процесор», слід відштовхуватися від мети обробки даних.

Якщо компанія встановлює мету й засоби обробки персональних даних, то це контролер (володілець даних). Якщо вона обробляє дані за дорученням контролера, то є процесором (розпорядником). Як правило, компанії з ЄС виступають контролерами й наділяють українські чи інші компанії повноваженнями процесора.

У той же час можливий випадок, коли українська компанія є контролером, відповідно, й обов’язків на неї покладають більше. Що робити, якщо компанія — процесор? Є кілька варіантів:

• укласти стандартні договори про обробку персональних даних (Data Protection Acts), в яких установити чіткі вимоги стосовно технічних та організаційних заходів, які слід учинити процесору;

• провести сертифікацію процесора, яка підтвердить відповідність/невідповідність суб’єкта вимогам, які висуваються до процесора;

• розробити корпоративні правила, що затверджуються органом контролю компанії з ЄС.

Дійсно, GDPR установлює вимогу призначати відповідальних за обробку персональних даних. Але, звичайно, не всі компанії зобов’язані мати таку особу в штаті. Згідно з GDPR офіцера мають призначати лише тоді, коли:

• обробку здійснює орган державної влади;

• компанія проводить систематичний моніторинг фізичних осіб, використовуючи значні масиви персональних даних;

• компанія, яка здійснює обробку «sensitive data», таких як дані про стан здоров’я, расове чи етнічне походження, біометричні дані, відомості про судимість тощо.

У будь-якому випадку компанія може добровільно призначити працівника для захисту персональних даних з метою контролю за дотриманням вимог GDPR. Тоді публікується інформація про таку особу та повідомляється національний регулятор із захисту персональних даних відповідної держави — члена об’єднання.

Права суб’єкта даних

Регламент значно розширив права резидентів ЄС у сфері контролю за їхніми персональними даними. Серед нововведень, зокрема: право особи запитувати інформацію про місце і мету обробки даних, категорію даних, що обробляються, третіх осіб, яким надаються персональні дані, про період обробки, джерела їх отримання, а також право на підтвердження факту обробки персональних даних.

У GDPR за суб’єктами даних закріплено «право бути забутим» (right to be forgotten), або «право на забуття» (right to be erasure). Це право дублюється з директиви №95/46/ЕС.

Суб’єкти даних мають право на видалення будь-якої інформації про персональні дані (у тому числі з результатів пошуку, посилання, повідомлення тощо). Воно кореспондується з обов’язком контролера видалити подібну інформацію, якщо це не суперечить інтересам суспільства або іншим фундаментальним правам людини.

Однією з новацій є право на перенесення даних (right to data portability). Воно полягає в тому, що компанії зобов’язані надавати на безоплатній основі електронну копію персональних даних іншій компанії на вимогу самого суб’єкта цих даних.

GDPR установлює вимоги щодо форми отримання згоди на обробку даних. Вона повинна виражатись у формі ствердження або чітких активних дій користувача. Згода буде недійсною, якщо в користувача не було вибору або можливості відкликати її без шкоди для себе. Вона також не може виражатись у вигляді мовчазної, так званої конклюдентної, дії.

Інформація про процедуру відкликання згоди має бути розміщена таким чином, щоб користувач зміг її знайти без зайвих зусиль.

Штрафні санкції

Компанії зобов’язані повідомити органи контролю про будь-які порушення, пов’язані із захистом і обробкою персональних даних, протягом 72 год. після їх виявлення. Найвищим органом контролю є Європейська рада із захисту даних (EDPB). Також на рівні членів ЄС діють органи регулювання, які виступають національними регуляторами в цій сфері.

За «незначні» порушення вимог GDPR штраф може сягати €10 млн або 2% від річного світового обороту (залежно від того, яка сума є більшою). За серйозніші порушення (наприклад за недотримання принципів захисту даних) передбачений більш високий розмір штрафу — до €20 млн або 4% від річного світового обороту.

Штрафні санкції будуть застосовуватися до юридичних осіб, які зареєстровані у відповідних державах — членах ЄС. Якщо компанія-порушник не має офіційного представництва на території Союзу, санкції можуть бути застосовані до компанії, яка розташована за його межами.