Чи є жи­т­тя пі­сля GDPR:

Що змі­ни­ло­ся пі­сля на­бра­н­ня чин­но­сті ре­гла­мен­том

Yurydychna Gazeta - - АНАЛІТИКА ТЕЛЕКОМУНІКАЦІЇ / МЕДІА / ТЕХНОЛОГІЇ -

27.04.2016 р. був прийня­тий Ре­гла­мент про за­хист фі­зи­чних осіб сто­сов­но оброб­ки пер­со­наль­них да­них (General Data Protection Regulation) (да­лі – GDPR або Ре­гла­мент), який на­брав чин­но­сті 25.05.2018 р.

Суть ре­гла­мен­ту

GDPR за­мі­нив за­ста­рі­лу Ди­ре­кти­ву, що мі­сти­ла орі­єн­ти­ри, які дер­жа­ви-уча­сни­ки Єв­ро­пей­сько­го Со­ю­зу вті­лю­ва­ли в ло­каль­них нор­ма­тив­них актах. Він є обов'яз­ко­вим для ім­пле­мен­та­ції та за­сто­су­ва­н­ня в за­ко­но­дав­стві всіх дер­жав-уча­сниць Єв­ро­пей­сько­го Со­ю­зу. Основ­на ме­та і зав­да­н­ня GDPR – під­ви­ще­н­ня до які­сно но­во­го рів­ня про­це­сів оброб­ки пер­со­наль­них да­них гро­ма­дян та ре­зи­ден­тів Єв­ро­пей­сько­го Со­ю­зу, а та­кож за­хист осно­во­по­ло­жних прав і сво­бод фі­зи­чних осіб.

Ви­зна­че­н­ня основ­них по­нять

Згі­дно з GDPR, пер­со­наль­ни­ми да­ни­ми є будь-яка ін­фор­ма­ція, яка сто­су­є­ться фі­зи­чної осо­би, за до­по­мо­гою якої суб'єкт да­них мо­же бу­ти іден­ти­фі­ко­ва­ний. Суб'єктом да­ни­ми вва­жа­є­ться осо­ба, яка мо­же бу­ти іден­ти­фі­ко­ва­на за до­по­мо­гою по­си­ла­н­ня на від­по­від­ний іден­ти­фі­ка­тор (на­при­клад, ім'я, іден­ти­фі­ка­цій­ний но­мер, па­спорт­ні да­ні, да­ні про мі­сце роз­та­шу­ва­н­ня, но­ме­ри мо­біль­них те­ле­фо­нів, пла­ті­жні кар­ти, ip-адре­си, e-mail або будь-які ін­ші да­ні, які до­зво­ля­ють здій­сни­ти іден­ти­фі­ка­цію).

Кон­тро­лер – це юри­ди­чна або фі­зи­чна осо­ба, ор­ган дер­жав­ної вла­ди, які са­мо­стій­но або спіль­но з ін­ши­ми ви­зна­ча­ють ці­лі та за­со­би оброб­ки пер­со­наль­них да­них. Обро­бник – це фі­зи­чна або юри­ди­чна осо­ба, дер­жав­ні ор­га­ни, які обро­бля­ють пер­со­наль­ні да­ні від іме­ні та в ін­те­ре­сах кон­тро­ле­ра.

Оброб­кою да­них є будь-які опе­ра­ції, що ви­ко­ну­ю­ться з пер­со­наль­ни­ми да­ни­ми, не­за­ле­жно від то­го, яким спосо­бом во­ни здій­сню­ю­ться (ав­то­ма­ти­чни­ми за­со­ба­ми або за до­по­мо­гою будь-яких ін­ших ві­до­мих ін­стру­мен­тів). Отри­ма­н­ня до­сту­пу до пер­со­наль­них да­них вже вва­жа­ти­ме­ться оброб­кою, на яку по­ши­рю­є­ться дія GDPR.

Оброб­ка пер­со­наль­них да­них вва­жа­є­ться за­кон­ною в та­ких ви­пад­ках: суб'єкт да­них на­дав зго­ду на оброб­ку сво­їх пер­со­наль­них да­них для кон­кре­тних ці­лей; оброб­ка не­об­хі­дна для ви­ко­на­н­ня кон­тра­кту, сто­ро­ною яко­го є суб'єкт да­них; оброб­ка не­об­хі­дна для за­хи­сту жит­тє­во ва­жли­вих ін­те­ре­сів суб'єкта да­них або ін­шої фі­зи­чної осо­би; оброб­ка не­об­хі­дна для за­хи­сту гро­мад­ських ін­те­ре­сів або у ра­зі здій­сне­н­ня по­кла­де­них на кон­тро­ле­ра офі­цій­них пов­но­ва­жень.

До чо­го тут Укра­ї­на?

По­ло­же­н­ня GDPR за­сто­со­ву­ю­ться до оброб­ки пер­со­наль­них да­них у кон­текс­ті ді­яль­но­сті кон­тро­ле­ра або обро­бни­ка, які зна­хо­дя­ться в Єв­ро­пей­сько­му Со­ю­зі. Про­те не­об­хі­дність бу­ти GDPR-compliance сто­су­є­ться та­кож укра­їн­сько­го бі­зне­су.

У ст. 3 Ре­гла­мен­ту вста­нов­ле­но прин­цип екс­те­ри­то­рі­аль­но­сті: GDPR за­сто­со­ву­є­ться до оброб­ки пер­со­наль­них да­них суб'єктів, що зна­хо­дя­ться в Єв­ро­пей­сько­му Со- юзі, кон­тро­ле­ром або обро­бни­ком, які роз­та­шо­ва­ні за йо­го ме­жа­ми (в будь-якій кра­ї­ні сві­ту). При цьо­му ді­яль­ність з оброб­ки да­них пов'яза­на з про­по­зи­ці­єю то­ва­рів чи по­слуг осо­бам, які пе­ре­бу­ва­ють в ЄС або ма­ють з ним ду­же ті­сний зв'язок (не­за­ле­жно від то­го, чи по­трі­бно опла­та від суб'єкта чи ні), а та­кож з мо­ні­то­рин­гом по­ве­дін­ки та­ких осіб.

Ст. 15 Уго­ди про асо­ці­а­цію з Єв­ро­пей­ським Со­ю­зом пе­ред­ба­че­но спів­пра­цю з ме­тою за­без­пе­че­н­ня на­ле­жно­го рів­ня за­хи­сту пер­со­наль­них да­них від­по­від­но до най­ви­щих між­на­ро­дних та єв­ро­пей­ських стан­дар­тів, зокре­ма до­ку­мен­та­ми Ра­ди Єв­ро­пи, яким є GDPR.

П. 11 Пла­ну за­хо­дів що­до ви­ко­на­н­ня Уго­ди про асо­ці­а­цію з ЄС, за­твер­дже­но­го По­ста­но­вою Ка­бі­не­ту Мі­ні­стрів Укра­ї­ни №1106 від 25.10.2017 р., пе­ред­ба­че­но вдо­ско­на­ле­н­ня за­ко­но­дав­ства про за­хист пер­со­наль­них да­них з ме­тою при­ве­де­н­ня йо­го у від­по­від­ність з Ре­гла­мен­том.

Окрім ви­ще­за­зна­че­но­го, від­по­від­но­сті нор­мам GDPR ви­ма­га­ти­муть кон­тр­аген­ти з Єв­ро­пей­сько­го Со­ю­зу, які обов'яз­ко­во по­вин­ні до­три­му­ва­ти­ся ви­мог Ре­гла­мен­ту, а не­від­по­від­ність укра­їн­ських ком­па­ній GDPR мо­же при­зве­сти до втра­ти ва­жли­вих бі­знес-ко­му­ні­ка­цій з ком­па­ні­я­ми­ре­зи­ден­та­ми ЄС.

От­же, дія GDPR по­ши­рю­ва­ти­ме­ться на укра­їн­ські ком­па­нії, які за­йма­ю­ться ви­ко­на­н­ням ро­біт, по­став­кою то­ва­рів, на­да­н­ням по­слуг гро­ма­дя­нам або ре­зи­ден­там кра­їн Єв­ро­пей­сько­го Со­ю­зу, про­во­дять мар­ке­тин­го­ві або ін­ші до­слі­дже­н­ня по­ве­дін­ки та­ких суб'єктів у Єв­ро­пей­сько­му Со­ю­зі та ма­ють пред­став­ни­цтво в Єв­ро­пей­сько­му Со­ю­зі.

Кро­ки для від­по­від­но­сті ре­гла­мен­ту

З ме­тою за­сте­ре­же­н­ня від бу­дья­ких ри­зи­ків ком­па­нії не­об­хі­дно про­ве­сти ау­дит, щоб з’ясу­ва­ти, яким чи­ном, з якою ме­тою та які пер­со­наль­ні да­ні обро­бля­ю­ться, а та­кож які за­со­би за­хи­сту да­них ви­ко­ри­сто­ву­ю­ться. Пі­сля цьо­го ком­па­нії по­трі­бно зро­зу­мі­ти, чи від­по­від­ає по­лі­ти­ка ін­фор­ма­цій­ної без­пе­ки ви­мо­гам GDPR (чи пе­ред­ба­че­ний пе­ре­лік да­них, які обро­бля­ю­ться, ме­та оброб­ки, пра­ва суб'єктів да­них, по­ря­док ре­а­гу­ва­н­ня на по­ру­ше­н­ня та на­да­н­ня від­по­від­ей на за­пи­ти від суб'єктів да­них то­що).

Для пов­ної від­по­від­но­сті GDPR ком­па­ні­ям не­об­хі­дно по­єд­на­ти те­хні­чні та ор­га­ні­за­цій­ні за­со­би, спря­мо­ва­ні на по­си­ле­н­ня за­хи­сту пер­со­наль­них да­них. Те­хні­чни­ми за­со­ба­ми є ши­фру­ва­н­ня, про­грам­не за­без­пе­че­н­ня, а під ор­га­ні­за­цій­но-пра­во­ви­ми вар­то ро­зу­мі­ти під­го­тов­ку до­ку­мен­та­ції, роз­роб­ку ін­стру­кцій, на­вча­н­ня пер­со­на­лу, ро­бо­ту з під­ря­дни­ка­ми та кон­тр­аген­та­ми.

Ком­па­ні­ям, які не зна­хо­дя­ться в ЄС, від­по­від­но до ст. 27 Ре­гла­мен­ту, не­об­хі­дно при­зна­чи­ти пред­став­ни­ка в Єв­ро­пей­сько­му Со­ю­зі для ко­му­ні­ка­ції з кон­тро­лю­ю­чим ор­га­ном та у ра­зі по­тре­би про­де­мон­стру­ва­ти від­по­від­ність ви­мо­гам GDPR.

Акту­аль­не сьо­го­де­н­ня

За­га­лом, для укра­їн­сько­го бі­зне­су ма­ло що змі­ни­ло­ся пі­сля на­бра­н­ня чин­но­сті Ре­гла­мен­том. Укра­їн­ські ком­па­нії на­ра­зі не ду­же ква­пля­ться для при­ве­де­н­ня се­бе до від­по­від­но­сті GDPR, по­мил­ко­во вва­жа­ю­чи, що Єв­ро­пі бу­де не до них.

В Єв­ро­пей­сько­му Со­ю­зі вже тра­пля­ю­ться не­по­оди­но­кі ви­пад­ки при­тя­гне­н­ня ком­па­ній до від­по­від­аль­но­сті за по­ру­ше­н­ня при­пи­сів Ре­гла­мен­ту. Одни­ми з пер­ших, до ко­го мо­жуть бу­ти за­сто­со­ва­ні до­ста­тньо зна­чні штра­фні сан­кції, ста­ли ком­па­нії зі Спо­лу­че­но­го ко­ро­лів­ства Ве­ли­кої Бри­та­нії та Ір­лан­дії.

Пі­сля то­го як Єв­ро­пей­ський Со­юз ви­рі­шить всі пи­та­н­ня все­ре­ди­ні, бу­де здій­сне­но по­ка­зо­ве по­ка­ра­н­ня ком­па­ній, які зна­хо­дя­ться по­за йо­го ме­жа­ми. Мо­жли­во, та­ким при­кла­дом обе­руть ком­па­нію не з на­шої дер­жа­ви, про­те пі­сля про­гно­зо­ва­них по­дій укра­їн­ські ком­па­нії по­чнуть швид­ко ада­пту­ва­ти свою ді­яль­ність під ви­мо­ги Ре­гла­мен­ту. Го­лов­не, щоб це не бу­ло за­пі­зно.

Пла­тон П ДАНИЛЕНКО, ДАНИЛЕНКО пар­тнер ЮФ EXPATPRO

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.