На­ві­що укра­їн­сько­му бі­зне­су зна­ти про GDPR?

Yurydychna Gazeta - - АНАЛІТИКА | ТЕЛЕКОМУНІКАЦІЇ / МЕДІА / ТЕХНОЛОГІЇ - Ка­те­ри­на К ТИЩЕНКО ТИЩЕНКО, юрист-ана­лі­тик JURIMEX

GDPR – но­вий ре­гла­мент ЄС про за­хист пер­со­наль­них да­них – по­чи­нає ді­я­ти вже 25.05.2018 р. Чим ближ­че до ці­єї да­ти, тим біль­ше про­гно­зів що­до змін у пра­ви­лах гри у сфе­рі за­хи­сту пер­со­наль­них да­них.

У цій стат­ті ми спро­бу­є­мо на­да­ти від­по­відь на най­більш пра­кти­чні за­пи­та­н­ня, зокре­ма, на­ві­що укра­їн­ським ком­па­ні­ям ре­а­гу­ва­ти на GDPR, які пра­кти­чні кро­ки слід здій­сни­ти для при­ве­де­н­ня вну­трі­шньої по­лі­ти­ки ком­па­нії у від­по­від­ність до Ре­гла­мен­ту.

Нор­ми GDPR по­ши­рю­ва­ти­му­ться на ті укра­їн­ські ком­па­нії, які: • ма­ють спів­ро­бі­тни­ків з ЄС; • про­во­дять мар­ке­тин­го­ві чи ін­ші до­слі­дже­н­ня суб’єктів рин­ку в ЄС;

• здій­сню­ють без­по­се­ре­дню ді­яль­ність (по­ста­ча­ють то­ва­ри/ви­ко­ну­ють ро­бо­ти/на­да­ють по­слу­ги) гро­ма­дя­нам ЄС;

• ви­ко­ри­сто­ву­ють ін­фор­ма­цію гро­ма­дян ЄС у сво­їх вла­сних про­ду­ктах.

Мо­жна з впев­не­ні­стю ска­за­ти, що під та­кі кри­те­рії під­па­да­ють ту­ри­сти­чні ком­па­нії з на­прям­ка­ми в ЄС, IT-ком­па­нії, які «про­да­ють» свій про­дукт в ЄС, та всі ін­ші фір­ми, які тим чи ін­шим чи­ном у сво­їй ді­яль­но­сті ма­ють від­но­си­ни з гро­ма­дя­на­ми ЄС. Тож не ли­ша­є­ться сум­ні­вів у то­му, що ве­ли­кий се­гмент суб’єктів рин­ку Укра­ї­ни му­си­ти­ме при­ве­сти свою ді­яль­ність у від­по­від­ність до Ре­гла­мен­ту.

GDPR роз­по­всю­джу­є­ться на «кон­тро­ле­рів» та «обро­бни­ків». Пер­ші – осо­би, які ви­рі­шу­ють, як і ко­ли зби­ра­ти пер­со­наль­ні да­ні. Дру­гі – осо­би, які ді­ють на ви­ко­на­н­ня вка­зі­вок кон­тро­ле­ра. Кон­тро­ле­ром, на­при­клад, є банк, який зби­рає пер­со­наль­ні да­ні сво­їх клі­єн­тів, ко­ли во­ни від­кри­ва­ють ра­хун­ки, то­ді як обро­бля­ти ці да­ні (тоб­то збе­рі­га­ти, оци­фро­ву­ва­ти то­що) мо­же ін­ша ор­га­ні­за­ція – обро­бник. Най­ча­сті­ше обро­бни­ка­ми є тре­ті осо­би – вла­сни­ки сер­ве­рів чи по­што­вих сер­ві­сів, яки­ми ко­ри­сту­є­ться кон­тро­лер.

Се­ред основ­них ва­жли­вих но­во­вве­день GDPR, які тор­кну­ться бі­зне­су в Укра­ї­ні, вар­то зга­да­ти про та­кі.

1. Під­ви­ще­н­ня рів­ня без­пе­ки пер­со­наль­них да­них

Ре­гла­мент не вста­нов­лює чі­тких кри­те­рі­їв, за яки­ми оці­ню­ва­ти­ме­ться рі­вень від­по­від­но­сті ви­мо­гам без­пе­ки. На­то­мість він опе­рує оці­но­чни­ми ка­те­го­рі­я­ми, з яких ви­пли­ває, що кон­тро­ле­ри та обро­бни­ки по­вин­ні за­без­пе­чу­ва­ти най­ви­щий мо­жли­вий для них рі­вень за­хи­сту ін­фор­ма­ції, в то­му чи­слі впро­ва­джу­ва­ти на­ле­жні те­хні­чні та ор­га­ні­за­цій­ні за­хо­ди для за­без­пе­че­н­ня ви­со­ко­го рів­ня без­пе­ки ін­фор­ма­ції.

За­хо­ди без­пе­ки мо­жуть бу­ти до­ста­тньо рі­зно­ма­ні­тни­ми. Це за­ле­жить від то­го, які са­ме да­ні обро­бля­ю­ться, від їхньої кіль­ко­сті, мо­жли­во­сті ви­то­ку то­що. Як при­клад за­хо­дів, які мо­жуть за­сто­со­ву­ва­ти­ся, Ре­гла­мент на­во­дить псев­до­ні­мі­за­цію та ши­фру­ва­н­ня. За­галь­ни­ми за­хо­да­ми є під­пи­са­н­ня до­го­во­рів про оброб­ку пер­со­наль­них да­них чи вне­се­н­ня у до­го­во­ри ви­мо­ги про ви­да­ле­н­ня пер­со­наль­них да­них, які ста­ли ві­до­мі з до­го­во­ру, одра­зу пі­сля йо­го ви­ко­на­н­ня.

По­вин­на бу­ти роз­ро­бле­на пев­на по­лі­ти­ка що­до за­галь­них прин­ци­пів оброб­ки та збе­рі­га­н­ня пер­со­наль­них да­них, в якій бу­де вка­за­но, які да­ні обро­бля­ю­ться, де во­ни збе­рі­га­ю­ться, про­тя­гом яко­го ча­су во­ни збе­рі­га­ю­ться, спо­сіб ви­да­ле­н­ня да­них зі спли­вом стро­ку їх збе­рі­га­н­ня, яким чи­ном за­свід­чу­є­ться ви­да­ле­н­ня то­що. Ва­жли­во пе­ред­ба­чи­ти, щоб до оброб­ки та збе­рі­га­н­ня пер­со­наль­них да­них бу­ли за­лу­че­ні ли­ше ті осо­би, які ма­ють від­по­від­ні пра­ва та обов’яз­ки, пе­ред­ба­че­ні тру­до­вим до­го­во­ром.

Ва­жли­во та­кож оно­ви­ти під­хід до укла­де­н­ня угод з кон­тр­аген­та­ми з ЄС, за­без­пе­чив­ши до­ста­тній рі­вень га­ран­тій за­хи­сту да­них. У цьо­му аспе­кті вар­то зга­да­ти про тру­до­ві від­но­си­ни. Ще на ета­пі при­йо­му на ро­бо­ту, по­шу­ку но­вих пра­ців­ни­ків, про­ве­де­н­ня спів­бе­сід вар­то ма­ти ти­по­ві зго­ди на оброб­ку пер­со­наль­них да­них, під­пи­са­ні осо­бою. Ко­жен тру­до­вий до­го­вір по­ви­нен бу­ти пе­ре­гля­ну­тий на пре­дмет на­яв­но­сті до­ста­тніх га­ран­тій для пра­ців­ни­ка. Остан­ній по­ви­нен ба­чи­ти у до­го­во­рі, скіль­ки да­них що­до ньо­го обро­бля­є­ться, ко­ли во­ни бу­дуть ви­да­ле­ні то­що. Ди­ску­сій­ним у тру­до­вих від­но­си­нах є пи­та­н­ня що­до то­го, чи по­вин­ні спів­ро­бі­тни­ки зо­бов’язу­ва­ти­ся не роз­го­ло­шу­ва­ти ін­фор­ма­цію про ін­ших спів­ро­бі­тни­ків, сво­їх ко­лег.

2. Не­об­хі­дність за­про­ва­дже­н­ня но­вої по­са­ди в ком­па­нії – Data Protection Officer

Йде­ться про обов’яз­ко­ве при­зна­че­н­ня від­по­від­аль­но­го за за­хист пер­со­наль­них да­них пра­ців­ни­ка всі­ма ком­па­ні­я­ми, що ма­ють спра­ву зі зна­чним об­ся­гом пер­со­наль­них да­них або зі «спе­ці­аль­ни­ми» ка­те­го­рі­я­ми та­ких да­них. Він мо­же ви­ко­ну­ва­ти свої обов’яз­ки як за тру­до­вим до­го­во­ром, так і на під­ста­ві ци­віль­но­пра­во­вої уго­ди.

Officer по­ви­нен ма­ти від­по­від­ний об­сяг знань у га­лу­зі охо­ро­ни пер­со­наль­них да­них. Гру­па ком­па­ній мо­же ма­ти одно­го від­по­від­аль­но­го, за умо­ви за­без­пе­че­н­ня без­пе­ре­шко­дно­го до­сту­пу до ді­яль­но­сті ко­жно­го чле­на гру­пи. Так, він мо­же пра­цю­ва­ти в ком­па­нії за основ­ним мі­сцем ро­бо­ти або за су­мі­сни­цтвом. Від­по­від­аль­но­му по­вин­ні бу­ти за­без­пе­че­ні не­за­ле­жність та мо­жли­вість без­пе­ре­шко­дно­го до­сту­пу до всіх да­них ком­па­нії.

Зав­да­н­ням Data Protection Officer є до­по­мо­га у ви­ко­нан­ні всіх ви­мог за­ко­но­дав­ства у сфе­рі охо­ро­ни пер­со­наль­них да­них (він про­во­дить на­вча­н­ня се­ред пра­ців­ни­ків, кон­тро­лює від­по­від­ність ді­яль­но­сті ком­па­нії стан­дар­там, на­дає кон­суль­та­ції з фа­хо­вих пи­тань). Та­кож він мо­же бу­ти пред­став­ни­ком ком­па­нії пе­ред ор­га­на­ми, упов­но­ва­же­ни­ми у сфе­рі пер­со­наль­них да­них.

Ре­гла­мент вста­нов­лює, що по­ру­ше­н­ня ви­мо­ги про при­зна­че­н­ня Data Protection Officer мо­же тя­гну­ти за со­бою від­по­від­аль­ність у ви­гля­ді штра­фу до 10 млн єв­ро або 2% від рі­чно­го сві­то­во­го обі­гу ком­па­нії.

Для ви­ко­на­н­ня ці­єї ви­мо­ги не­об­хі­дно зна­йти осо­бу, яка від­по­від­ає ви­ще­вка­за­ним ви­мо­гам, та прийня­ти її на ро­бо­ту на від­по­від­ну по­са­ду. По­са­до­ва ін­стру­кція по­вин­на мі­сти­ти ши­ро­кий пе­ре­лік пов­но­ва­жень, який за­без­пе­чу­ва­ти­ме упов­но­ва­же­но­му не­об­хі­дний рі­вень не­за­ле­жно­сті.

3. Не­об­хі­дність пред­став­ни­ка (пред­став­ни­цтва) в ЄС

Згі­дно з но­ви­ми пра­ви­ла­ми, якщо ва­ша ком­па­нія під­па­дає під дію GDPR і роз­та­шо­ва­на не в ЄС, не­об­хі­дно ма­ти офі­цій­но­го пред­став­ни­ка ком­па­нії в ЄС. Пред­став­ник по­ви­нен бу­ти при­зна­че­ний як кон­та­ктна осо­ба з усіх пи­тань охо­ро­ни пер­со­наль­них да­них гро­ма­дян ЄС для упов­но­ва­же­них ор­га­нів вла­ди. Це мо­же бу­ти як фі­зи­чна, так і юри­ди­чна осо­ба.

Се­ред обов’яз­ко­вих ви­мог до пред­став­ни­ка – бу­ти за­сно­ва­ним (для ЮО) чи пе­ре­бу­ва­ти (для ФО) в одній з тих кра­їн, гро­ма­дя­на­ми якої є осо­би, пер­со­наль­ні да­ні яких обро­бля­ю­ться або по­ве­дін­ка яких до­слі­джу­є­ться. Ін­ших ви­мог не­має (на­при­клад, що це по­вин­ні бу­ти юри­сти за фа­хом то­що). Тоб­то якщо у вас ту­ри­сти­чна фір­ма, по­трі­бно укла- сти до­го­вір з юри­ди­чною чи фі­зи­чною осо­бою, яка має мо­жли­вість на по­стій­ній осно­ві пред­став­ля­ти ва­ші ін­те­ре­си, в одній з тих кра­їн, де зби­ра­ю­ться пер­со­наль­ні да­ні. Оформ­лю­ю­ться від­но­си­ни між ком­па­ні­єю та пред­став­ни­ком шля­хом укла­де­н­ня пи­сьмо­во­го до­го­во­ру.

Якщо фір­ма має вла­сне пред­став­ни­цтво в ЄС у кра­ї­ні, да­ні гро­ма­дян якої обро­бля­ю­ться най­біль­ше, до йо­го ста­ту­тних до­ку­мен­тів слід вне­сти змі­ни, щоб во­но мо­гло ста­ти пред­став­ни­цтвом що­до пер­со­наль­них да­них. По­ді­бне мо­жна зро­би­ти, якщо один із ди­ре­кто­рів, за­снов­ни­ків ком­па­нії є ре­зи­ден­том ЄС, до­дав­ши до йо­го пов­но­ва­жень та­кі, що сто­су­ю­ться за­хи­сту пер­со­наль­них да­них і пред­став­ни­цтва з цих пи­тань.

Від­кри­тим за­ли­ша­є­ться пи­та­н­ня, чи по­трі­бно ком­па­нії де­кіль­ка пред­став­ництв/пред­став­ни­ків, якщо во­на здій­снює ді­яль­ність, на­при­клад, у гео­гра­фі­чно від­да­ле­них кра­ї­нах Єв­ро­пи. Ре­гла­мент не уто­чнює цей мо­мент, тож для по­ча­тку вар­то за­без­пе­чи­ти на­яв­ність хо­ча б одно­го пред­став­ни­цтва у кра­ї­ні, де обро­бля­є­ться най­біль­ше да­них.

Ви­ня­ток із пра­ви­ла що­до обов’яз­ко­во­сті пред­став­ни­цтва вста­нов­лю­є­ться у та­ких ви­пад­ках: якщо оброб­ка да­них не є по­стій­ною; якщо пер­со­наль­ні да­ні, які обро­бля­ю­ться, не на­ле­жать до «спе­ці­аль­них» ка­те­го­рій (як вже за­зна­ча­ло­ся ви­ще, сю­ди на­ле­жать, зокре­ма, ге­не­ти­чні, біо­ме­три­чні да­ні), сто­су­ю­ться кри­мі­наль­них про­ва­джень чи обви­ну­ва­чень; якщо ха­ра­ктер да­них свід­чить про не­мо­жли­вість зна­чно­го по­ру­ше­н­ня прав осо­би у ра­зі їх ви­то­ку (не важ­ко при­пу­сти­ти, що уча­сни­ки рин­ку, які не ма­ють на­мі­ру з тих чи ін­ших при­чин ви­ко­ну­ва­ти цю ви­мо­гу Ре­гла­мен­ту, спро­бу­ють ви­ко­ри­сто­ву­ва­ти та­ке оці­но­чне фор­му­лю­ва­н­ня для ухи­ле­н­ня від її ви­ко­на­н­ня).

4. Де­мон­стра­ція (до­ве­де­н­ня) від­по­від­но­сті ви­мо­гам GDPR

Ре­гла­мент вста­нов­лює обов’язок до­ве­сти від­по­від­ність ді­яль­но­сті ком­па­нії но­вим ви­мо­гам. Для ко­жної ком­па­нії рі­вень від­по­від­но­сті мо­же бу­ти рі­зним. Все за­ле­жить від то­го, на­скіль­ки ком­па­нія є ве­ли­кою, скіль­ки осіб ма­ють до­ступ до пер­со­наль­них да­них, на­скіль­ки ве­ли­кий ри­зик ви­то­ку то­що.

Для то­го щоб до­ве­сти від­по­від­ність, обро­бни­ки по­вин­ні збе­рі­га­ти всю ін­фор­ма­цію, що сто­су­є­ться ді­яль­но­сті з пер­со­наль­ни­ми да­ни­ми (про кон­тро­ле­ра, опе­ра­ції з пе­ре­да­чі да­них то­що). При цьо­му кон­тро­лер по­ви­нен за­про­ва­ди­ти від­по­від­ну вну­трі­шню по­лі­ти­ку, що на пра­кти­ці озна­чає мі­ні­мі­за­цію оброб­ки пер­со­наль­них да­них, псев­до­ні­мі­за­цію то­що, а та­кож збе­рі­га­ти ін­фор­ма­цію

про спів­пра­цю з обро­бни­ком. Як для обро­бни­ків, так і для кон­тро­ле­рів вста­нов­лю­є­ться ви­мо­га що­до не­об­хі­дно­сті за­без­пе­че­н­ня пов­ної се­кре­тно­сті та кон­фі­ден­цій­но­сті пер­со­наль­них да­них.

На­ра­зі не­має чі­тко­го ме­ха­ні­зму під­твер­дже­н­ня від­по­від­но­сті ви­мо­гам GDPR (на­при­клад, шля­хом отри­ма­н­ня сер­ти­фі­ка­та від­по­від­но­го рів­ня), про­те згі­дно з Ре­гла­мен­том він бу­де ство­ре­ний в май­бу­тньо­му. Пе­ред­ба­че­но, що про­хо­дже­н­ня ці­єї про­це­ду­ри від­бу­ва­ти­ме­ться до­бро­віль­но.

Та­кож для де­мон­стра­ції не­об­хі­дним є про­ве­де­н­ня тре­нін­гів, на­вчань для всіх спів­ро­бі­тни­ків, ро­зроб­ка ін­стру­кцій з пе­ред­ба­че­ни­ми кро­ка­ми дій у ра­зі ви­то­ку да­них, ро­зроб­ка ти­по­вих до­го­во­рів про за­хист да­них то­що.

5. За­про­ва­дже­н­ня кон­тро­лю за пе­ре­да­чею пер­со­наль­них да­них за ме­жі Єв­ро­пей­сько­го еко­но­мі­чно­го про­сто­ру

Згі­дно із за­галь­ним пра­ви­лом, пер­со­наль­ні да­ні з ЄЕП мо­жуть пе­ре­да­ва­ти­ся у тре­ті кра­ї­ни ли­ше за на­яв­но­сті по­зи­тив­но­го ви­снов­ку Єв­ро­ко­мі­сії що­до від­по­від­но­сті кра­ї­ни ви­со­ким стан­дар­там за­хи­сту пер­со­наль­них да­них. Ви­сно­вок оформ­лю­є­ться у ви­гля­ді акту за ре­зуль­та­та­ми все­бі­чної пе­ре­вір­ки юрис­ди­кції.

Якщо та­ко­го ви­снов­ку не­має, діє пре­зум­пція то­го, що ком­па­нії ви­ко­на­ють ви­мо­ги Ре­гла­мен­ту та змо­жуть за­без­пе­чи­ти на­ле­жний рі­вень охо­ро­ни да­них. Най­прийня­тні­шим за­без­пе­че­н­ням охо­ро­ни да­них для Укра­ї­ни мо­же бу­ти ви­ко­ри­ста­н­ня стан­дар­тних умов до­го­во­ру, за­твер­дже­них Єв­ро­ко­мі­сі­єю.

6. Обме­же­н­ня мо­жли­во­сті ви­ко­ри­ста­н­ня хмар­них схо­вищ для роз­мі­ще­н­ня пер­со­наль­них да­них

З норм Ре­гла­мен­ту ви­пли­ває, що роз­мі­ще­н­ня пер­со­наль­них да­них на хмар­них схо­ви­щах (cloud storage) вва­жа­є­ться їх пе­ре­да­чею тре­тім осо­бам. Вар­то осте­рі­га­ти­ся схо­вищ з низь­ким рів­нем за­хи­сту, а та­кож обме­жи­ти роз­мі­ще­н­ня на них пер­со­наль­них да­них. При цьо­му, якщо пе­ре­да­ча да­них за до­по­мо­гою хмар­но­го схо­ви­ща від­бу­ва­є­ться за ме­жі ЄС без на­ле­жних за­без­пе­чень (псев­до­ні­мі­за­ція, ши­фру­ва­н­ня, за­се­кре­чу­ва­н­ня у будь-який ін­ший спо­сіб), та­кі дії є по­ру­ше­н­ням норм за­ко­но­дав­ства ЄС.

7. За­галь­не під­ви­ще­н­ня рів­ня за­без­пе­че­н­ня при­ва­тно­сті

Ре­гла­мент пе­ред­ба­чає не­об­хі­дність по­си­ле­н­ня при­ва­тно­сті. Окрім стан­дар­тно­го най­ви­що­го рів­ня при­ва­тно­сті за за­мов­чу­ва­н­ням (на­при­клад, у со­ці­аль­них ме­ре­жах), у пер­спе­кти­ві мо­же бу­ти не­об­хі­дним зби­ра­н­ня зго­ди суб’єкта на оброб­ку ко­жно­го окре­мо­го пун­кту ін­фор­ма­ції, який він вво­дить.

Цей ви­сно­вок ви­пли­ває з норм Ре­гла­мен­ту, де вка­за­но, що фі­зи­чні осо­би по­вин­ні зна­ти про ри­зи­ки, пра­ви­ла, за­без­пе­че­н­ня, вла­сні пра­ва у зв’яз­ку з оброб­кою пер­со­наль­них да­них. Зокре­ма, осо­ба по­вин­на зна­ти ме­ту оброб­ки пер­со­наль­них да­них вже на ета­пі її збо­ру. Якщо збір да­них від­бу­ва­є­ться в ре­зуль­та­ті во­ле­ви­яв­ле­н­ня осо­би, кон­тро­лер по­ви­нен про­де­мон­стру­ва­ти, що во­на тут і за­раз на­дає свої пер­со­наль­ні да­ні. Хо­ча в Укра­ї­ні на­ра­зі ді­ють по­ді­бні нор­ми, пра­во­знав­ці з ЄС вка­зу­ють, що ни­ні­шньо­го рів­ня обі­зна­но­сті ко­ри­сту­ва­чів не до­ста­тньо, а со­ці­аль­ні ме­ре­жі ра­зом із прийня­т­тям Ре­гла­мен­ту змі­ня­ться до не­пі­зна­ва­но­сті.

У цьо­му аспе­кті є ці­ка­ви­ми по­ло­же­н­ня Ре­гла­мен­ту, в яко­му вка­за­но, що дер­жа­ви-чле­ни ЄС по­вин­ні за­без­пе­чи­ти при­ва­тність на ро­бо­чо­му мі­сці. Зокре­ма, якщо ро­бо­то­да­вець кон­тро­лює пра­ців­ни­ків шля­хом вста­нов­ле­н­ня ка­мер, пра­ців­ник по­ви­нен про це зна­ти та на­да­ти зго­ду на оброб­ку пер­со­наль­них да­них. Та­ке пра­ви­ло та­кож за­сто­со­ву­ва­ти­ме­ться в Укра­ї­ні, якщо пра­ців­ник є гро­ма­дя­ни­ном ЄС.

8. Вдо­ско­на­ле­на про­це­ду­ра по­ві­дом­ле­н­ня про ви­тік да­них

Цей блок є над­зви­чай­но ва­жли­вим для Укра­ї­ни, адже в чин­но­му ві­тчи­зня­но­му за­ко­но­дав­стві не мі­сти­ться по­ді­бних ви­мог.

Якщо став­ся ви­тік пер­со­наль­них да­них, обро­бник по­ви­нен не­гай­но по­ві­до­ми­ти про це кон­тро­ле­ра, щоб спіль­ни­ми зу­си­л­ля­ми змен­ши­ти мо­жли­ві не­га­тив­ні на­слід­ки. Якщо ви­тік ін­фор­ма­ції є зна­чним, обро­бник по­ви­нен про­тя­гом 72 го­дин з йо­го мо­мен­ту по­ві­до­ми­ти осо­бу, якій на­ле­жать пер­со­наль­ні да­ні, та упов­но­ва­же­ний ор­ган вла­ди. Осо­ба, якій на­ле­жать да­ні, не по­ві­дом­ля­є­ться, ли­ше якщо кон­тро­лер до­клав до­ста­тніх зу­силь для уне­мо­жлив­ле­н­ня по­ру­ше­н­ня її прав, має на­ле­жну си­сте­му за­хи­сту да­них, а та­кож якщо об’єктив­но по­ві­дом­ле­н­ня є не­ви­прав­да­ним.

Ком­па­нія по­вин­на роз­ро­би­ти по­лі­ти­ку чи ін­стру­кцію, якою пе­ред­ба­чи­ти чі­ткий ме­ха­нізм дій у ра­зі ви­то­ку да­них, вра­хо­ву­ю­чи за­галь­ні нор­ми Ре­гла­мен­ту та укра­їн­сько­го за­ко­но­дав­ства. Зокре­ма, слід про­пи­са­ти ета­пи вну­трі­шньої пе­ре­вір­ки, ви­пад­ки по­ві­дом­ле­н­ня Упов­но­ва­же­но­го з прав лю­ди­ни про ви­тік да­них, ви­зна­че­н­ня осіб, які по­стра­жда­ли, то­що.

9. Змі­цне­н­ня кон­тро­лю у від­но­си­нах між кон­тро­ле­ра­ми та обро­бни­ка­ми

Ва­жли­вою нор­мою Ре­гла­мен­ту є пре­зум­пція від­по­від­аль­но­сті кон­тро­ле­ра за ви­бір обро­бни­ка. Кон­тро­лер по­ви­нен спів­пра­цю­ва­ти ли­ше з ти­ми обро­бни­ка­ми, які га­ран­ту­ють на­яв­ність те­хні­чних та ор­га­ні­за­цій­них ре­сур­сів, що від­по­від­а­ють ви­мо­гам що­до до­три­ма­н­ня прав вла­сни­ка пер­со­наль­них да­них.

На­сам­пе­ред, мо­ва йде про са­мо­кон­троль, який є осно­вою для ді­яль­но­сті з пер­со­наль­ни­ми да­ни­ми. Так, обро­бни­ки ін­фор­ма­ції мо­жуть ді­я­ти ви­клю­чно в ме­жах, вста­нов­ле­них кон­тро­ле­ром. Во­дно­час кон­тро­ле­ри зо­бов’яза­ні впев­ни­ти­ся в то­му, що обро­бни­ки зда­тні без­за­пе­ре­чно га­ран­ту­ва­ти на­яв­ність те­хні­чних та ор­га­ні­за­цій­них за­со­бів, до­ста­тніх для без­пе­ки пер­со­наль­них да­них.

Всі дії, які упов­но­ва­же­ний здій­сню­ва­ти обро­бник, у пов­но­му об­ся­зі по­вин­ні бу­ти про­пи­са­ні у до­го­во­рі з кон­тро­ле­ром. Крім то­го, має бу­ти ви­зна­че­но строк до­го­во­ру, при­ро­ду і ме­ту оброб­ки, вид да­них, що обро­бля­ю­ться, пра­ва та обов’яз­ки кон­тро­ле­ра. Та­кож по­вин­ні бу­ти ви­зна­че­ні ін­ші умо­ви, спря­мо­ва­ні на спів­пра­цю між кон­тро­ле­ром та обро­бни­ком (на­при­клад, що­до обов’яз­ку по­ві­дом­ле­н­ня кон­тро­ле­ра, якщо обро­бник вва­жає йо­го вка­зів­ки не­на­ле­жни­ми з по­зи­ції за­хи­сту пер­со­наль­них да­них).

10. Обме­же­н­ня мо­жли­во­сті за­лу­че­н­ня су­бо­бро­бни­ків

Су­бо­бро­бни­ка­ми є осо­би, яким обро­бни­ки мо­жуть пе­ре­да­ти ча­сти­ну сво­їх зо­бов’язань за кон­тра­ктом з кон­тро­ле­ром. Ре­гла­мент вста­нов­лює, що для ре­а­лі­за­ції та­кої пе­ре- да­чі не­об­хі­дний пи­сьмо­вий до­звіл кон­тро­ле­ра. Пе­ре­да­ю­чи ча­сти­ну зо­бов’язань, обро­бник обов’яз­ко­во по­ви­нен за­без­пе­чи­ти той рі­вень без­пе­ки, що був пе­ред­ба­че­ний у кон­тра­кті з кон­тро­ле­ром.

З мо­мен­ту на­бу­т­тя Ре­гла­мен­том чин­но­сті ко­жен гро­ма­дя­нин ЄС ма­ти­ме роз­ши­ре­ний пе­ре­лік прав у сфе­рі за­хи­сту пер­со­наль­них да­них, а обов’яз­ком кон­тро­ле­рів та обро­бни­ків бу­де за­без­пе­че­н­ня до­три­ма­н­ня та­ких прав. Це озна­чає, що з-по­між за­галь­них ви­мог Ре­гла­мен­ту не­об­хі­дно звер­ну­ти ува­гу на ме­ха­ні­зми за­без­пе­че­н­ня прав.

Не вар­то та­кож за­бу­ва­ти, що у сво­їй ді­яль­но­сті кон­тро­лер по­ви­нен за­без­пе­чу­ва­ти до­три­ма­н­ня прав осо­би, да­ні якої зби­ра­ю­ться. Cе­ред основ­них прав, які бу­ли вдо­ско­на­ле­ні Ре­гла­мен­том, вар­то ви­ді­ли­ти та­кі.

• Пра­во бу­ти по­ін­фор­мо­ва­ним. Якщо ін­фор­ма­ція зби­ра­є­ться без­по­се­ре­дньо від ін­ди­ві­да, не­об­хі­дним є йо­го опо­ві­ще­н­ня про це та отри­ма­н­ня одно­зна­чної зго­ди. Зго­да по­вин­на бу­ти від­кри­тою, яв­но ви­ра­же­ною та не­за­ву­а­льо­ва­ною (на­при­клад, на пра­кти­ці мо­же ви­ра­жа­ти­ся як про­став­ля­н­ня га­ло­чки бі­ля ко­жно­го пун­кту пер­со­наль­них да­них, що вво­дя­ться у мо­біль­но­му до­да­тку ви­кли­ку та­ксі). Зго­да не мо­же бу­ти мов­ча­зною та по­вин­на бу­ти від­ді­ле­на від ін­ших умов до­го­во­ру (в то­му чи­слі при­єд­на­н­ня як terms and conditions у со­ці­аль­них ме­ре­жах).

• Пра­во на ви­да­ле­н­ня (пра­во бу­ти за­бу­тим). За за­пи­том суб’єкта вся ін­фор­ма­ція про ньо­го по­вин­на бу­ти ви­да­ле­на. Цьо­го пра­ви­ла мо­жна не до­три­му­ва­ти­ся, якщо ін­фор­ма­ція не­об­хі­дна для ре­а­лі­за­ції пра­ва на ін­фор­ма­цію, ви­ко­на­н­ня норм чин­но­го за­ко­но­дав­ства, за­без­пе­че­н­ня гро­мад­сько­го здо­ров’я, на­у­ко­вої, істо­ри­чної чи ста­ти­сти­чної ме­ти, ви­рі­ше­н­ня пра­во­вих спо­рів. Ком­па­нії, які мо­жуть роз­мі­щу­ва­ти ін­фор­ма­цію ко­ри­сту­ва­чів он­лайн, по­вин­ні за за­пи­том осо­би ви­да­ля­ти не ли­ше ін­фор­ма­цію, але й по­си­ла­н­ня на неї чи будь-які мо­жли­ві ко­пії.

• Пра­во на за­бо­ро­ну оброб­ки. Ком­па­нія зо­бов’яза­на від­мо­ви­ти­ся від оброб­ки пер­со­наль­них да­них на ви­мо­гу суб’єкта. Ме­то­да­ми, за до­по­мо­гою яких ком­па­нія мо­же це здій­сни­ти, є уне­мо­жлив­ле­н­ня до­сту­пу тре­тіх осіб до да­них, ви­да­ле­н­ня їх з веб-сай­ту та ін.

Ви­ди від­по­від­аль­но­сті за по­ру­ше­н­ня будь-якої з ви­ще­за­зна­че­них ви­мог ва­рі­ю­ю­ться від штра­фів у роз­мі­рі до 20 млн єв­ро або 4% від що­рі­чно­го сві­то­во­го обі­гу ком­па­нії (кон­тро­ле­ра або обро­бни­ка) до кри­мі­наль­ної від­по­від­аль­но­сті (за­ле­жно від на­ціо­наль­но­го за­ко­но­дав­ства), а та­кож шко­ди ре­пу­та­ції. По­ки що не­зро­зумі­ло, яким са­ме чи­ном ці за­хо­ди від­по­від­аль­но­сті мо­жуть бу­ти за­сто­со­ва­ні в Укра­ї­ні, про­те з огля­ду на єв­ро­пей­ський курс на­шої дер­жа­ви, на на­шу дум­ку, від­по­від­ний спо­сіб бу­де роз­ро­бле­ний вже най­ближ­чим ча­сом.

От­же, без­пе­ре­чно, GDPR впли­не на всі укра­їн­ські ком­па­нії, які так чи іна­кше спів­пра­цю­ють з ЄС. Для то­го щоб ком­па­нія від­по­від­а­ла ви­мо­гам Ре­гла­мен­ту, по­трі­бно вра­ху­ва­ти всі аспе­кти но­во­вве­день – пред­став­ни­цтва в ЄС, онов­ле­н­ня у тру­до­вих від­но­си­нах, не­об­хі­дність що­най­мен­ше одні­єї но­вої по­са­до­вої осо­би, онов­ле­н­ня пра­вої оброб­ки та збе­рі­га­н­ня то­що.

При цьо­му ком­па­нія по­вин­на озбро­ю­ва­ти­ся як з юри­ди­чно­го бо­ку шля­хом роз­роб­ки всіх не­об­хі­дних до­ку­мен­тів, так і з ор­га­ні­за­цій­но­те­хні­чно­го, тоб­то во­на по­вин­на ма­ти до­ста­тньо ре­сур­сів, щоб убез­пе­чи­ти да­ні від ви­то­ку та ре­а­гу­ва­н­ня на не­пе­ре­дба­чу­ва­ні ви­то­ки.

GDPR впли­не на всі укра­їн­ські ком­па­нії, які так чи іна­кше спів­пра­цю­ють з ЄС

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.