GDPR: СУТНІСТЬ, ПРИНЦИПИ, ВІДПОВІДАЛЬНІСТЬ ЗА НОВИМИ ПРАВИЛАМИ ОБІГУ ПЕРСОНАЛЬНИХ ДАНИХ У ЄС

Вже менше місяця залишилось до 25 травня, моменту, коли вступлять в силу нові правила регулювання обігу персональних даних в Європейському Союзі, які є більш відомими за своєю скороченою назвою - GDPR. У зв’язку із цим багато підприємців різних країн світу із острахом очікують настання цієї дати, адже GDPR передбачає багатомільйонні штрафи, які впроваджуються за порушення нових правил у сфері обігу персональних даних. Про це йдеться на сайті ukrainepravo.com.

Але в чому полягає основна суть GDPR та його ключові відмінності від попереднього регулювання? Який вплив здійснюватиме цей європейський акт на Україну? Які конкретно суми штрафів передбачено за недотримання GDPR? «Українське право» спробувало знайти відповіді на ці та деякі інші питання, які стосуються нового законодавства ЄС у сфері персональних даних.

Для довідки: GDPR (англ. General Data Protection Regulation) є Регламентом ЄС, який за своєю суттю посилює та уніфікує систему захисту персональних даних в Європейському Союзі. GDPR був прийнятий Європарламентом ще 27 квітня 2016 року, проте вступає в силу лише в травні поточного року. Такий значний проміжок часу між прийняттям та набранням чинності можна пояснити тим, що особам, які підпадають під дію Регламенту, було надано час на виконання всіх необхідних вимог відповідно до його умов. Варто зазначити, що GDPR покликаний замінити стару Директиву із захисту персональних даних № 95/46 ЄС. На відміну від вищезазначеної Директиви GDPR не потребує від держав-членів ЄС додаткової імплементації у своє національне законодавство, і таким чином, є одразу обов’язковим до виконання.

Користуйтеся консультацією: GDPR в Украине: инструкция как подготовиться

Як розуміються персональні дані в контексті GDPR?

На зображенні нижче міститься перелік тих даних, які належать до персональних, відповідно до GDPR. Окрім зазначеного переліку, до персональних даних можуть також належати ще ідентифікаційний код, файли Cookies й будь-яка інформація, розміщена анонімно або під псевдонімом.

Основні принципи функціонування GDPR.

Для кращого розуміння сутності GDPR пропонуємо вашій увазі основні, на нашу думку, засади, якими пронизаний весь текст Регламенту.

1. Принцип законної, чесної та прозорої обробки персональних даних. Сутність цього принципу полягає в тому, що особа, яка здійснює збір персональних даних, повинна мати чітке пояснення того, з якою метою вона збирає ці дані та яким чином дані будуть нею використовуватись. Крім того, на вимогу суб’єкта персональних даних повинні бути надані деталі, що стосуються обробки його даних. Наприклад, якщо суб'єкт запитує, які його персональні дані зберігаються на певному підприємстві або хто в цій структурі займає посаду співробітника із захисту персональних даних, така інформація має бути йому доступною.

2. Принцип обмеження мети. Під наступним принципом мається на увазі те, що обробка інформації завжди повинна мати насамперед свою законну та обґрунтовану мету. Приміром, під час прийому на роботу майбутній працівник зазвичай заповнює анкету, яка складається із чисельних пунктів, проте насправді роботодавцю в більшості випадків потрібні лише ПІБ, телефон, електрона пошта та ще, можливо, адреса проживання для доставлення поштових відправлень. Простіше кажучи, цей принцип говорить, що організації не повинні збирати будь-який фрагмент даних, який не має конкретної мети.

3. Принцип мінімізації даних. Відповідно до цього принципу, організації повинні гарантувати, що дані, які вони зберігають та оброблюють, є адекватними, релевантними та обмеженими. На сьогоднішній день компанії збирають безліч персональної інформації з різних причин, наприклад, задля розуміння попиту споживачів на ті та інші групи товарів. Базуючись на цьому принципі, організації повинні бути впевнені, що вони зберігають лише мінімальний обсяг даних, необхідних для їх використання.

4. Принцип точної та актуальної обробки. Цей принцип вимагає від контролерів даних постійної перевірки того, що оброблювана інформація залишається точною, дійсною та придатною для її цілей.

5. Принцип обмеження зберігання персональних даних у формі, яка дозволяє ідентифікацію. Іншими словами, зазначений принцип перешкоджає зайвим надмірності та реплікації даних. Він обмежує переміщення та тривалість зберігання даних і вимагає розуміння того, як суб'єкт буде ідентифікований, якщо записи даних будуть порушені. Крім цього, зазначений принцип включає в себе впровадження спеціальної політики збереження даних, яка, в тому числі, містить обмеження щодо зберігання даних одночасно в декількох місцях. Наприклад, компанії повинні заборонити своїм співробітникам зберігати копії списку клієнтів на локальному ноутбуці або переносити дані на зовнішні пристрої, такі як, USB. Тобто, наявність декількох нелегальних копій тих самих даних у кількох місцях вважатиметься серйозним порушенням GDPR.

6. Принцип конфіденційності та безпеки зберігання даних. Цей принцип захищає цілісність та конфіденційність даних шляхом забезпечення надійності їх збереження (яка поширюється на ІТ-системи, паперові записи та фізичну безпеку). Організація, яка збирає та обробляє дані, наразі несе повну відповідальність за здійснення щодо них заходів безпеки, які мають бути співмірними із ризиками окремих суб'єктів даних. Недбалість більше не є виправданням за GDPR, тому компанії повинні витрачати чималі ресурси задля запобігання вчинення, як навмисних, так і ненавмисних порушень у сфері обігу даних.

7. Принцип підзвітності та відповідальності. Цей принцип гарантує, що ви у разі потреби зможете продемонструвати відповідність вимогам GDPR. Організації повинні мати можливість в будь-який момент довести державним органам, що вони вжили всіх необхідних заходів, співмірних із ризиками, з якими стикаються суб'єкти даних. Для кожної компанії рівень відповідності може бути різним. Все залежить від того, настільки компанія є великою, скільки осіб мають доступ до персональних даних, наскільки великий ризик витоку даних і т. д.

Читайте статью: Право на забвение как основной риск для технологии блокчейн

Який вплив матиме впровадження GDPR на Україну?

На перший погляд, може здатись дивним, чому український та іноземний неєвропейський бізнес піднімають так багато шуму навколо Регламенту Європейського Союзу. Відповідь тут є дуже простою.

По-перше, GDPR має екстериторіальну дію, тобто його дія поширюється не лише на резидентів ЄС (а, наприклад, й на резидентів України), які:

- мають співробітників в ЄС;

- здійснюють дослідження суб’єктів ринку ЄС (приміром, маркетингові);

- ведуть діяльність у ЄС (постачання товарів, виконання робіт, надання послуг резидентам ЄС, в тому числі, й безкоштовно);

- використовують персональні дані громадян ЄС для виготовлення власної продукції;

По-друге, згідно із п. 11 Плану заходів щодо імплементації Угоди про асоціацію між Україною та ЄС, затвердженому 25 жовтня 2017 року, Україна має привести своє законодавство про захист персональних даних у відповідність до GDPR до 25 травня 2018 року. Звичайно, на сьогоднішній момент ця дата виглядає фантастично, проте рано чи пізно стандарти GDPR будуть все одно імплементовані у вітчизняне законодавство.

Таким чином, навіть якщо ваш бізнес жодним чином не пов’язаний із ЄС, вам все одно слід задуматись про здійснення заходів на відповідність вимогам Регламенту, адже згодом його положення мають бути запроваджені й в нашій державі.

Хто є учасниками обробки персональних даних за GDPR?

Як можна побачити на схемі нижче, учасниками процесу обробки персональних даних є три групи осіб: суб’єкти, контролери та процесори. Суб’єкт є фізичною особою, дані якої підлягають обробці. Контролер – фізична або юридична особа, державний орган, який визначає цілі і засоби обробки. Процесор – фізична або юридична особа, державний орган, який діє на виконання вказівок контролера від його імені.

Основні фундаментальні права суб’єктів персональних даних за GDPR.

1. Право на доступ до інформації (right to access). Це право включає в себе два основних компонента: право знати, чи обробляються дані стосовно себе; якщо так, то ще право на отримання доступу до цих даних, а також додаткову інформацію (мету обробки, категорії даних, що обробляються та ін. ).

2. Право на виправлення (right to rectification). Якщо персональні дані є неточними, контролери повинні їх виправити без необгрунтованих затримок.

3. Право на видалення або право бути забутим (right to erasure or right to be forgotten). За запитом суб’єкта, вся інформація про нього повинна бути видалена. Із цього правила є винятки, коли, наприклад, інформація необхідна для забезпечення громадського здоров’я, наукової, історичної чи статистичної мети, вирішення юридичних спорів. Крім цього, право бути забутим включає в себе можливість звертатись до пошукових сервісів із вимогою видалити посилання на інформацію, яка містить персональні дані заявника. Це стало можливим після винесення рішення Європейським судом справедливості у гучній справі «Іспанія проти Google» в 2014 році.

4. Право на обмеження обробки даних (right to restriction of processing). За наявності декількох підстав суб’єкт має право обмежити обробку своїх даних. Таким чином, якщо буде встановлено обмеження, дані можуть бути оброблені лише за згодою суб’єкта або за наявності певних винятків, таких як, публічний інтерес ЄС, його країни-члена, захист чиїхось прав тощо.

5. Право бути проінформованим (right to be informed). Контролер повідомляє суб’єкта про кожне виправлення чи стирання персональних даних або обмеження їх обробки.

6. Право на перенесення даних (right to data portability). Суб'єкт даних має право отримувати персональні дані стосовно нього, які він надав контролеру, у структурованому, широко використовуваному, придатному для зчитування комп’ютером форматі, та має право передавати ці дані іншому контролеру без перешкод від попереднього контролера.

7. Право на заперечення (right to object). Це право включає в себе можливість заперечення проти використання персональних даних в наукових / історичних дослідженнях, прямому маркетингу та ін.

8. Право на захист від рішень, які приймаються виключно на автоматизованій основі (right not to be subject to a decision based solely on automated processing). В даному випадку йдеться про обмеження, пов'язані з використанням інструментів автоматизованого прийняття рішення без людського впливу, в частині де результати таких дій несуть юридичні або інші істотні наслідки для людини.

Відповідальність за порушення норм GDPR

Однією із ключових відмінностей GDPR від попереднього регулювання є запровадження величезних сум штрафів, з точними сумами яких можна ознайомитись за схемою нижче. При цьому слід мати на увазі, що у разі встановлення порушення буде застосовуватись більша сума штрафу. Тобто, якщо ви вжили недостатніх заходів щодо безпеки даних, тоді мінімальна сума штрафу буде дорівнювати 20 млн. євро. Але цю суму буде підвищено до 4% від вашого світового річного обороту за попередній фінансовий рік, якщо ці зазначені 4% є більшою сумою за 20 млн. євро.

Читайте статтю: Право на забуття: що варто знати

Що варто зробити українському бізнесу задля відповідності вимогам GDPR?

Юрист компанії «Avellum» Андрій Гуменчук радить зробити наступні ключові кроки:

- Призначити особу, відповідальну за виконання вимог із захисту персональних даних (data protection officer). Як зазначає пан Андрій, таку особу слід призначати не у всіх компаніях, а лише в таких, де обробка даних відбувається у великих обсягах. Також це може бути одна особа, яка обійматиме цю посаду одночасно в групі компаній на підставі трудового або цивільно-правового договору.

- Призначити представника в ЄС – контактну особу для цілей дотримання вимог GDPR.

- Розробити внутрішні політики захисту персональних даних.

-Забезпечити належний захист персональних даних (наприклад, за допомогою псевдонімізації, шифрування).

- Повідомляти про витік персональних даних їх власників і уповноважені органи (протягом 72 годин після такого витоку).

Отже, GDPR є безумовним кроком уперед у сфері захисту персональних даних, який матиме вплив не лише на бізнес всередині держав-членів Європейського Союзу, а й на багато інших компаній з різних країн світу. Також ті захмарні суми штрафів, які передбачає Регламент, є великим стимулом для того, щоб компанії якомога швидше приводили свою діяльність у його відповідність. Проте наскільки готовим виявиться бізнес і не лише бізнес до старту GDPR на практиці ми зможемо дізнатись лише після 25 травня…

Представлені у статті графічні схеми були запозичені із презентації юриста «Avellum» Андрія Гуменчука «GDPR: нові виклики для захисту персональних даних працівників».

Автор статті: Даниїл Шаров

Фото: Habrahabr