За п’ять хви­лин до на­бра­н­ня чин­но­сті GDPR

Ре­гла­мент General Data Protection Regulation: но­ві пра­ви­ла гри у сфе­рі пер­со­наль­них да­них

Yurydychna Gazeta - - АНАЛІТИКА | ТЕЛЕКОМУНІКАЦІЇ / МЕДІА / ТЕХНОЛОГІЇ - Олег О КЛИМЧУК КЛИМЧУК, ра­дник Sayenko Kharenko

General Data Protection Regulation (GDPR) бу­ло прийня­то 14.04.2016 р. і до 25.05.2018 р. всім бу­ло на­да­но час для при­ве­де­н­ня про­це­сів оброб­ки пер­со­наль­них да­них у від­по­від­ність із GDPR. З ча­су анон­су­ва­н­ня від­по­від­ність GDPR ста­ла топ-те­мою не ли­ше в ЄС. Одні­єю з при­чин ши­ро­ко­го ре­зо­нан­су ста­ло те, що GDPR за­сто­со­ву­є­ться екс­тра­те­ри­то­рі­аль­но. Ін­ши­ми сло­ва­ми, якщо во­ло­ді­лець пер­со­наль­них да­них має при­су­тність в ЄС (на­при­клад, афі­лі­йо­ва­на юри­ди­чна осо­ба, при цьо­му не ва­жли­во, здій­сню­є­ться оброб­ка пер­со­наль­них да­них у ме­жах чи по­за ме­жа­ми ЄС) або якщо про­по­нує то­ва­ри чи по­слу­ги (на­віть якщо без­опла­тно) суб’єктам пер­со­наль­них да­них, які зна­хо­дя­ться в ЄС, або здій­снює мо­ні­то­ринг їхньої ді­яль­но­сті (по­ве­дін­ки) в ЄС, то на та­ко­го во­ло­діль­ця фа­кти­чно по­ши­рю­ю­ться ви­мо­ги GDPR. Ін­шою при­чи­ною ре­зо­нан­су ста­ли зна­чні штра­фи, пе­ред­ба­че­ні GDPR (на­при­клад, штраф у роз­мі­рі 4% від гло­баль­но­го обі­гу або до 20 млн єв­ро, за­ле­жно від то­го, що є біль­шим).

В Укра­ї­ні це пи­та­н­ня отри­ма­ло до­ста­тній ре­зо­нанс ли­ше кіль­ка мі­ся­ців то­му, ко­ли одні ком­па­нії по­ча­ли при­во­ди­ти у від­по­від­ність з GDPR про­це­си у сво­їх укра­їн­ських афі­лі­йо­ва­них стру­кту­рах, дру­гі зро­зумі­ли, що GDPR – це не про штра­фи, а про ре­пу­та­цію і пер­спе­кти­ви ро­бо­ти з єв­ро­пей­ськи­ми пар­тне­ра­ми, тре­ті зро­би­ли ви­сно­вок, що це пи­та­н­ня ло­яль­но­сті та до­ві­ри єв­ро­пей­ських спо­жи­ва­чів. Якщо пер­ші, най­імо­вір­ні­ше, всти­гнуть до 25 трав­ня при­ве­сти свою ді­яль­ність у від­по­від­ність з GDPR, оскіль­ки їхні ма­те­рин­ські стру­кту­ри про­тя­гом три­ва­ло­го ча­су го­ту­ва­ли­ся до цьо­го, то всім ін­шим за­ли­ша­є­ться «оста­н­ня ніч пе­ред за­хи­стом ди­пло­му». До на­бра­н­ня чин­но­сті Ре­гла­мен­том за­ли­ши­ло­ся мен­ше ніж мі­сяць. На що звер­ну­ти ува­гу і з чо­го по­ча­ти, якщо рі­ше­н­ня про не­об­хі­дність від­по­від­но­сті GDPR прийня­то «за 5 хви­лин» до або вже пі­сля на­бу­т­тя чин­но­сті GDPR?

З пра­кти­чної по­зи­ції, ре­ко­мен­ду­є­ться роз­по­ді­ли­ти прі­о­ри­те­ти що­до від­по­від­но­сті GDPR на 3 гру­пи: пер­шо­чер­го­ві, про­це­дур­ні та те­хні­чні.

Пер­шо­чер­го­ві прі­о­ри­те­ти

На­сам­пе­ред, во­ло­ді­лець пер­со­наль­них да­них по­ви­нен про­ве­сти ін­фор­ма­цій­ний ау­дит. Ау­дит має вклю­ча­ти пе­ре­вір­ку то­го, які пер­со­наль­ні да­ні зби­ра­ю­ться та обро­бля­ю­ться, яким чи­ном і яки­ми за­со­ба­ми во­ни зби­ра­ю­ться та обро­бля­ю­ться, а та­кож ким (в ме­жах ор­га­ні­за­ції та зов­ні­шньо) і на під­ста­ві яких за­до­ку­мен­то­ва­них про­це­сів во­ни зби­ра­ю­ться та обро­бля­ю­ться. Ін­фор­ма­цій­ний ау­дит на­дасть ро­зу­мі­н­ня об­ся­гу пер­со­наль­них да­них, що обро­бля­ю­ться, про­це­сів, пов’яза­них з оброб­кою пер­со­наль­них да­них, та до­зво­лить стру­кту­ру­ва­ти да­ні. Без ін­фор­ма­цій­но­го ау­ди­ту бу­де май­же не­мо­жли­во ви­зна­чи­ти, на якій пра­во­вій під­ста­ві во­ло­ді­лець обро­бляє пер­со­наль­ні да­ні (вка­за­ні у ст. 6 GDPR), а та­кож на­ле­жним чи­ном під­го­ту­ва­ти до­ку­мен­ти що­до оброб­ки пер­со­наль­них да­них та при­ве­сти їх у від­по­від­ність із GDPR.

До­ку­мен­том, який по­тре­бує пер­шо­чер­го­вої під­го­тов­ки во­ло­діль­цем, є privacy notice. Privacy notice не має нор­ма­тив­них ана­ло­гів в укра­їн­сько­му за­ко­но­дав­стві. За­зви­чай під privacy notice ро­зу­мі­ють або privacy policy, яку роз­мі­щу­ють на он­лайн ре­сур­сах, або по­ря­док оброб­ки пер­со­наль­них да­них, який за­твер­джу­є­ться на під­при­єм­стві. В тер­мі­но­ло­гії GDPR, privacy notice – це до­ку­мент, який ла­ко­ні­чно опи­сує всі аспе­кти оброб­ки пер­со­наль­них да­них та адре­со­ва­ний без­по­се­ре­дньо суб’єктам пер­со­наль­них да­них. Privacy policy – це вну­трі­шній, більш де­таль­ний, до­ку­мент, який опи­сує про­це­си та по­ря­док оброб­ки пер­со­наль­них да­них у ме­жах ком­па­нії (на­при­клад, по­ря­док по­во­дже­н­ня пра­ців­ни­ків во­ло­діль­ця з пер­со­наль­ни­ми да­ни­ми).

Ви­мо­ги до privacy notice пе­ред­ба­че­ні у ст. 12-14 GDPR, во­ни є до­ста­тньо де­таль­ни­ми. На­сам­пе­ред, privacy notice має бу­ти ви­кла­де­но в ла­ко­ні­чній та лег­ко­до­сту­пній фор­мі, без при­хо­ву­ва­н­ня аспе­ктів оброб­ки пер­со­наль­них да­них, а та­кож, що не менш ва­жли­во, про­стою (не юри­ди­чною) мо­вою (ч. 1 ст. 12 GDPR).

Що­до більш кон­кре­тних ви­мог, то privacy notice має мі­сти­ти ін­фор- ма­цію про ав­то­ма­ти­зо­ва­не рі­ше­н­ня (на­при­клад, про­фай­линг), а та­кож про зна­чу­щість та на­слід­ки оброб­ки у та­кий спо­сіб пер­со­наль­них да­них для суб’єктів пер­со­наль­них да­них. Окрім то­го, ін­фор­ма­цію про те, що во­ло­ді­лець пер­со­наль­них да­них має на­мір пе­ре­да­ти пер­со­наль­ні да­ні в кра­ї­ну, яка не вхо­дить до Єв­ро­пей­сько­го еко­но­мі­чно­го про­сто­ру (ЄЕП) або між­на­ро­дної ор­га­ні­за­ції. Сто­сов­но кра­ї­ни, яка не вхо­дить до ЄЕП, во­ло­ді­лець та­кож має по­ві­до­ми­ти, чи прийня­то що­до та­кої кра­ї­ни рі­ше­н­ня про аде­ква­тність за­хи­сту пер­со­наль­них да­них. Якщо кра­ї­на є та­кою, що не за­без­пе­чує до­ста­тній за­хист пер­со­наль­них да­них, у та­ко­му ви­пад­ку privacy notice має мі­сти­ти ін­фор­ма­цію про на­ле­жні та до­ста­тні за­хо­ди що­до за­хи­сту пер­со­наль­них да­них (ст. 46 GDPR), що вчи­не­ні во­ло­діль­цем, а та­кож вка­зу­ва­ти на за­со­би, за до­по­мо­гою яких суб’єкт пер­со­наль­них да­них мо­же отри­ма­ти до­ку­мен­ти, які об­ґрун­то­ву­ють та­кі

На­сам­пе­ред, во­ло­ді­лець пер­со­наль­них да­них по­ви­нен про­ве­сти ін­фор­ма­цій­ний ау­дит

за­хо­ди, або вка­за­ти, де та­кі до­ку­мен­ти є до­сту­пни­ми.

До то­го ж ст. 35 GDPR вста­нов­лює ви­мо­гу що­до про­ве­де­н­ня оцін­ки впли­ву на за­хист пер­со­наль­них да­них (Data protection impact assessment). Про­ве­де­н­ня оцін­ки впли­ву ви­ма­га­є­ться у тих ви­пад­ках, ко­ли вид оброб­ки (на­при­клад, ви­ко­ри­ста­н­ня но­вих те­хно­ло­гій оброб­ки), при­ро­да, об­сяг, кон­текст і ціль оброб­ки, най­імо­вір­ні­ше, мо­же спри­чи­ни­ти ви­со­кі ри­зи­ки для прав та сво­бод фі­зи­чних осіб. Оцін­ка впли­ву має про­во­ди­ти­ся до по­ча­тку оброб­ки пер­со­наль­них да­них, а та­кож по­вин­на бу­ти за­до­ку­мен­то­ва­на. Ви­мо­ги до оцін­ки пе­ред­ба­че­ні у ч. 7 ст. 35 GDPR. Для во­ло­діль­ців та всіх за­ці­кав­ле­них до­сту­пні ре­ко­мен­да­ції що­до про­ве­де­н­ня оцін­ки (Guidelines on Data Protection Impact Assessment).

Не менш ва­жли­вим є за­без­пе­че­н­ня до­ста­тньо­го ін­фор­му­ва­н­ня (awareness) пра­ців­ни­ків про те, що в ЄС на­би­рає чин­но­сті но­ве за­ко­но­дав­ство що­до за­хи­сту пер­со­наль­них да­них, що во­но мо­же ма­ти вплив на подаль­шу ро­бо­ту з іно­зем­ни­ми клі­єн­та­ми, їхні­ми афі­лі­йо­ва­ни­ми ком­па­ні­я­ми в Укра­ї­ні; якщо во­ни отри­му­ють за­пи­ти від клі­єн­тів що­до пер­со­наль­них да­них (на­при­клад, що­до під­пи­са­н­ня до­да­тко­вих угод, на­яв­но­сті сер­ти­фі­ка­ту ISO 27001), то во­ни по­вин­ні від­по­від­аль­но по­ста­ви­ти­ся до та­ких за­пи­тів; ко­жен пра­ців­ник, який без­по­се­ре­дньо пра­цює з клі­єн­та­ми, має ро­зу­мі­ти ва­жли­вість за­без­пе­че­н­ня від­по­від­но­сті GDPR для остан­ніх.

Про­це­дур­ні прі­о­ри­те­ти

Пе­ре­д­усім, до про­це­дур­них прі­о­ри­те­тів вар­то від­не­сти вну­трі­шню пе­ре­вір­ку на пре­дмет від­по­від­но­сті та при­ве­де­н­ня у від­по­від­ність вну­трі­шньо­го по­ряд­ку оброб­ки пер­со­наль­них да­них (privacy policy). Ва­жли­во, щоб по­ря­док оброб­ки роз­ро­бляв­ся на ви­ко­на­н­ня privacy notice – зо­бов’яза­н­ня що­до оброб­ки пер­со­наль­них да­них, про яке во­ло­ді­лець за­яв­ляє пу­блі­чно (на­сам­пе­ред, суб’єктам пер­со­наль­них да­них, але та­кож пе­ре­ві­ря­ю­чим ор­га­нам, кон­тр­аген­там, ін­шим за­ці­кав­ле­ним осо­бам).

Окрім то­го, ва­жли­во пе­ре­ві­ри­ти та за­без­пе­чи­ти, щоб вну­трі­шні по­лі­ти­ки, про­це­ду­ри й про­це­си во­ло­діль­ця пер­со­наль­них да­них га­ран­ту­ва­ли мо­жли­вість ефе­ктив­ної фа­кти­чної ре­а­лі­за­ції суб’єкта­ми пер­со­наль­них да­них сво­їх прав, які пе­ред­ба­че­ні у ст. 15-21 GDPR (пра­во на до­ступ до пер­со­наль­них да­них, пра­во на ви­да­ле­н­ня та зни­ще­н­ня пер­со­наль­них да­них, пра­во обме­жи­ти оброб­ку пер­со­наль­них да­них, пра­во на пе­ре­мі­ще­н­ня пер­со­наль­них да­них (right of portability), пра­во на пре­тен­зію).

Во­ло­ді­лець та­кож по­ви­нен ви­зна­чи­ти вну­трі­шні про­це­си та про­це­ду­ри, за яки­ми у ра­зі по­тре­би від­бу­ва­ти­ме­ться пе­ре­вір­ка не­об­хі­дно­сті про­ве­де­н­ня до­да­тко­вої оцін­ки впли­ву на за­хист пер­со­наль­них да­них (на­при­клад, у ра­зі по­яви но­вих про­ду­ктів, до­да­тків, сер­ві­сів, пов’яза­них з пер­со­наль­ни­ми да­ни­ми та їх оброб­кою).

Те­хні­чні прі­о­ри­те­ти

Ст. 24 GDPR ви­ма­гає, щоб во­ло­ді­лець пер­со­наль­них да­них здій­снив на­ле­жні ор­га­ні­за­цій­ні та те­хні­чні за­хо­ди що­до за­хи­сту пер­со­наль­них да­них, аби за­без­пе­чи­ти та бу­ти спро­мо­жним про­де­мон­стру­ва­ти, що оброб­ка пер­со­наль­них да­них від­по­від­ає GDPR. На­ле­жність ор­га­ні­за­цій­них і те­хні­чних за­хо­дів має ви­зна­ча­ти­ся ви­хо­дя­чи з при­ро­ди, об­ся­гу, кон­текс­ту та ці­лей оброб­ки, рів­ня не­без­пе­ки для прав і сво­бод фі­зи­чних осіб.

Ст. 32 GDPR пе­ред­ба­чає, що во­ло­ді­лець, вра­хо­ву­ю­чи вка­за­ні ви­ще чин­ни­ки, се­ред ін­шо­го, мо­же здій­сни­ти та­кі те­хні­чні за­хо­ди:

• псев­до­ні­мі­за­цію (ви­зна­че­н­ня да­є­ться в GDPR) та ши­фру­ва­н­ня пер­со­наль­них да­них;

• без­пе­рерв­ну кон­фі­ден­цій­ність, ці­лі­сність, до­сту­пність та ста­біль­ність си­стем оброб­ки пер­со­наль­них да­них.

• те­хні­чну зда­тність вча­сно від­но­ви­ти до­сту­пність та до­ступ до пер­со­наль­них да­них у ра­зі ви­ни­кне­н­ня ін­ци­ден­тів те­хні­чно­го або фі­зи­чно­го ха­ра­кте­ру;

• про­цес ре­гу­ляр­но­го те­сту­ва­н­ня й оцін­ки ефе­ктив­но­сті те­хні­чних та ор­га­ні­за­цій­них за­хо­дів для за­без­пе­че­н­ня без­пе­ки оброб­ки пер­со­наль­них да­них.

Те­хні­чні за­хо­ди ма­ють бу­ти син­хро­ні­зо­ва­ні з privacy policy, а та­кож у про­стій, до­сту­пній та ла­ко­ні­чній фор­мі бу­ти до­не­се­ні до ві­до­ма суб’єктів пер­со­наль­них да­них у privacy notice.

Чи бу­ти бі­зне­су з ЄС пі­сля 25 трав­ня?

З хо­ро­ших но­вин, якщо ви не GAFA-ком­па­нія (Google, Apple, Facebook, Amazon) і ваш бі­знес кор­по­ра­тив­но не при­су­тній в ЄС, най­імо­вір­ні­ше, 26 трав­ня, тоб­то у пер­ший день пі­сля на­бра­н­ня чин­но­сті GDPR, для укра­їн­сько­го во­ло­діль­ця пер­со­наль­них да­них ні­чо­го не змі­ни­ться. Оче­ви­дно, що во­ло­діль­ці пер­со­наль­них да­них з Укра­ї­ни ма­ти­муть до­да­тко­вий час, для то­го щоб за­без­пе­чи­ти від­по­від­ність GDPR. Однак на­вряд чи вар­то від­кла­да­ти від­по­від­ність GDPR до пер­шо­го втра­че­но­го кон­тра­кту з єв­ро­пей­ським пар­тне­ром че­рез не­від­по­від­ність бі­знес-про­це­сів ви­мо­гам GDPR чи на­сту­пно­го квар­таль­но­го зві­ту від­ді­лу про­да­жів, який за­свід­чить па­ді­н­ня он­лайн-про­да­жів спо­жи­ва­чам з ЄС (з ті­єї ж при­чи­ни). Для тих, хто про­по­нує свої то­ва­ри та по­слу­ги на рин­ку ЄС (або на­віть їхнім афі­лі­йо­ва­ним осо­бам в Укра­ї­ні) та має спра­ву з пер­со­наль­ни­ми да­ни­ми осіб, що зна­хо­дя­ться в ЄС, бі­знес-ва­жли­вим є вчи­не­н­ня за­хо­дів із за­без­пе­че­н­ня «ма­лої» єв­ро­ін­те­гра­ції (в цьо­му ви­пад­ку – за­без­пе­че­н­ня від­по­від­но­сті ви­мо­гам GDPR).

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.