Вплив GDPR на до­го­вір­ні від­но­си­ни з ІТ-ау­тсор­син­гу

Yurydychna Gazeta - - АНАЛІТИКА | ТЕЛЕКОМУНІКАЦІЇ / МЕДІА / ТЕХНОЛОГІЇ - Те­тя­на Т ХАРЕБАВА ХАРЕБАВА, адво­кат, ра­дник ADER HABER Ве­ро­ні­ка В і ЗБРИЗЬКА ЗБРИЗЬКА, адво­кат, юрист ADER HABER DPA)

Ні для ко­го не се­крет, що 25.05.2018 р. на­бе­ре чин­но­сті General Data Protection Regulation (да­лі – GDPR, Ре­гла­мент). GDPR – це по су­ті «онов­ле­ний» Ре­гла­мент, який ви­зна­чає пра­ви­ла оброб­ки пер­со­наль­них да­них та при­хо­дить на змі­ну Ди­ре­кти­ві 95/46/ЄС «Про за­хист фі­зи­чних осіб при оброб­ці пер­со­наль­них да­них і про віль­не пе­ре­мі­ще­н­ня та­ких да­них» від 24.10.1995 р. Клю­чо­вою ме­тою GDPR є за­без­пе­че­н­ня на­ле­жно­го за­хи­сту пер­со­наль­них да­них гро­ма­дян Єв­ро­пей­сько­го Со­ю­зу (да­лі – ЄС) та гар­мо­ні­за­ція нор­ма­тив­них актів у цій сфе­рі.

GDPR-осо­бли­во­сті

До пер­со­наль­них да­них на­ле­жить будь-яка ін­фор­ма­ція, за якою пря­мо або опо­се­ред­ко­ва­но мо­жна ви­зна­чи­ти кон­кре­тну осо­бу (суб'єкта да­них). На­при­клад, ім'я, да­ні про мі­сце роз­та­шу­ва­н­ня, он­лайн іден­ти­фі­ка­тор, фі­зи­чні, фі­зіо­ло­гі­чні, ге­не­ти­чні, ін­те­ле­кту­аль­ні, еко­но­мі­чні, куль­тур­ні чи со­ці­аль­ні да­ні про цю лю­ди­ну (п. 1 ст. 4 GDPR).

Осо­бли­ві­стю цьо­го Ре­гла­мен­ту є прин­цип екс­те­ри­то­рі­аль­но­сті, який по­ля­гає в то­му, що дія GDPR по­ши­рю­є­ться не ли­ше на кра­ї­ни ЄС, але й на будь-яку ком­па­нію, яка збе­рі­гає та от- ри­мує пер­со­наль­ні да­ні гро­ма­дян ЄС чи про­по­нує для них то­ва­ри або по­слу­ги. Тоб­то якщо укра­їн­ська ком­па­нія, яка роз­ро­бляє SaaS-рі­ше­н­ня, отри­мує пер­со­наль­ні да­ні гро­ма­дян ЄС, то оброб­ка та­ких да­них має від­бу­ва­ти­ся від­по­від­но до ви­мог Ре­гла­мен­ту. Якщо ком­па­нія мо­ні­то­рить за до­по­мо­гою фай­лів cookies по­ве­дін­ку ко­ри­сту­ва­чів­ре­зи­ден­тів ЄС на сай­ті з ме­тою подаль­шої пе­ре­да­чі ці­єї ін­фор­ма­ції ре­клам­ним аген­ці­ям та ана­лі­ти­чним ком­па­ні­ям, то та­ка ді­яль­ність має здій­сню­ва­ти­ся від­по­від­но до ви­мог Ре­гла­мен­ту. За­ува­жу­є­мо, що згі­дно з нор­ма­ми GDPR, отри­ма­н­ня пер­со­наль­них да­них без їх збе­ре­же­н­ня та­кож вва­жа­є­ться оброб­кою пер­со­наль­них да­них. От­же, дія GDPR по­ши­рю­є­ться та впли­ває на ді­яль­ність IT-ком­па­ній, які до­ста­тньо ча­сто отри­му­ють та/або обро­бля­ють пер­со­наль­ні да­ні ре­зи­ден­тів ЄС.

Ді­йо­ві осо­би

Перш ніж опи­су­ва­ти до­го­вір­ні кон­стру­кції у роз­рі­зі ви­мог GDPR, вар­то ви­окре­ми­ти уча­сни­ків, які бе­руть участь у про­це­сі оброб­ки пер­со­наль­них да­них:

• фі­зи­чні осо­би, пер­со­наль­ні да­ні яких обро­бля­ю­ться (Data Subject);

• кон­тро­ле­ри пер­со­наль­них да­них (Data Controller);

• про­це­со­ри пер­со­наль­них да­них та/або їх пред­став­ни­ки в кра­ї­нах ЄС (Data Processor/Representative);

• ор­га­ни мо­ні­то­рин­гу і кон­тро­лю (Supervisory Authority) та офі­це­ри із за­хи­сту да­них (Data Protection Officer); з ін­ши­ми ви­зна­чає ці­лі та за­со­би оброб­ки пер­со­наль­них да­них (п. 7 ст. 4 GDPR). Про­це­сор – це фі­зи­чна або юри­ди­чна осо­ба, дер­жав­ний ор­ган, агент­ство чи ін­ший ор­ган, який обро­бляє осо­би­сті да­ні від іме­ні кон­тро­ле­ра, згі­дно з ін­стру­кці­єю кон­тро­ле­ра (п. 8 ст. 4 GDPR). Ін­ши­ми сло­ва­ми, кон­тро­лер – це той, хто во­ло­діє пер­со­наль­ни­ми да­ни­ми та мо­же пе­ре­да­ва­ти їх тре­тім осо­бам для оброб­ки з пев­ною ці­л­лю, а кон­тро­лер – це той, хто «пра­цює» з пе­ре­да­ни­ми пер­со­наль­ни­ми да­ни­ми.

Вра­хо­ву­ю­чи ви­ще­вка­за­не, IT-ком­па­нія мо­же ви­сту­па­ти як кон­тро­ле­ром («controller») так і про­це­со­ром («processor») / суб­про­це­со­ром («subprocessor»). За­ле­жно від кон­кре­тно­го «ста­ту­су», IT-ком­па­нія має ви­ко­ну­ва­ти пев­ні дії та від­по­від­а­ти пев­ним ви­мо­гам.

До­го­вір­на осно­ва

З огля­ду на спе­ци­фі­ку ді­яль­но­сті IT-ком­па­ній, у пра­во­від­но­си­нах з кон­тр­аген­та­ми во­ни ви­сту­па­ють пе­ре­ва­жно як про­це­со­ри або суб­про­це­со­ри да­них. У та­ко­му ра­зі пра­кти­чним ме­ха­ні­змом «ви­ко­на­н­ня GDPR» є вне­се­н­ня змін до на­яв­них до­го­во­рів або укла­де­н­ня но­вих до­го­во­рів про оброб­ку да­них, так зва­но­го Data Processing Agreement (да­лі – чи ін­ших пра­во­вих актів.

Будь-які до­го­во­ри, що ді­ють ста­ном на 25.05.2018 р., по­вин­ні від­по­від­а­ти но­вим ви­мо­гам GDPR. Та­кі до­го­во­ри ма­ють бу­ти пе­ре­ві­ре­ні на пре­дмет на­яв­но­сті всіх не­об­хі­дних еле­мен­тів.

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.