ІМПЛЕМЕНТАЦІЯ GDPR В УКРАЇНІ

15 Жовтня 2019

Останнім часом, Європейське законодавство, основною ціллю якого є захист персональних даних, зазнало значних змін, в силу розвитку новітніх технологій, а також у зв’язку з підвищенням рівня загроз в сфері захисту приватності, що можуть виникати по різноманітним причинам, зокрема, у зв’язку з підвищенням активності хакерських атак.

Знаковим документом, який несе в собі найбільшу частку змін, а також нові принципи захисту персональних даних, є Загальний Регламент із Захисту Даних № 2016/679 (General Data Protection Regulation/GDPR), який було прийнято в 2016 році, та який набрав чинності в 25 травня 2018 року.

Однією з багаточисленних особливостей цього документу є те, що він застосовується не лише до європейських компаній, які здійснюють обробку персональних даних, а і до компаній, які зареєстровані за межами Європейського Союзу, в тому числі до компаній, зареєстрованих в Україні. Такий порядок застосування є унікальним для цієї сфери та змушує більшість світового бізнесу, орієнтованого на Європу, задуматися про належність своєю системи захисту приватності, включаючи безпеку персональних даних.

В статті 3 General Data Protection Regulation вказується, що GDPR застосовується до компаній, які не зареєстровані в ЄС у тому випадку, коли:

  • такі компанії пропонують свої товари або послуги особам, що знаходяться на території ЄС, не залежно від того, чи стягується плата за такі послуги або товари;
  • у випадку моніторингу поведінки осіб, які знаходяться на території ЄС, в силу того, що реалізація такої поведінки відбувається на території Європейського Союзу.

Наприклад. Українська компанія має Інтернет-магазин, на якому продаються електронні гаджети. При цьому, веб-сайт такої компанії розроблений англійською мовою, таргетований на європейських споживачів, а розплачуватися можна як в гривнях, так і в євро. В цьому випадку, компанія підпадає під вимоги GDPR та повинна імплементувати заходи для безпеки обробки персональних даних покупців, у відповідності з європейським законодавством.

Тобто, українські компанії, які орієнтують свою діяльність на ринок ЄС ,повинні вже зараз подбати про вжиття заходів для можливості відповідати вимогам GDPR.

 

ЯКІ СФЕРИ БІЗНЕСУ ПІДПАДАЮТЬ ПІД ВИМОГИ GDPR В ПЕРШУ ЧЕРГУ?

В розрізі світової практики щодо застосування GDPR, потрібно зауважити, що найбільше уваги наразі прикуто до компаній, які здійснюють діяльність в сфері надання телекомунікаційних послуг, а також компаній, які реалізують свій бізнес в мережі Інтернет. В цьому випадку мова йде про компанії, які реалізують свій бізнес через Інтернет-магазини, різноманітні маркетплейси та веб-сайти. Простіше кажучи, GDPR наразі сфокусоване на бізнесі, через який здійснюється збір та обробка персональних даних у великих масштабах. Надалі увага контролюючих органів буде фокусуватися на компаніях з меншими об’ємами обробки персональних даних. Але потрібно бути впевненими в тому, що європейські інституції, рано чи пізно, охоплять всю сферу обробки персональних даних, в контексті GDPR.

Говорячи ж про український бізнес, варто зазначити, що під вимоги GDPR потраплять не тільки компанії, яку позиціонуються як контролери, тобто, збирають персональні дані для власних цілей, а й компанії, які надають послуги іншим компаніям по обробці персональних даних. У відповідності із європейським законодавством, такі компанії мають визначатися як процесори або обробники (кому як зручніше). Вони несуть значно меншу відповідальність за недотримання вимоги GDPR, однак, якщо така компанія-обробник діє від імені або в інтересах компанії-контролера, що підпадає під вимоги General Data Protection Regulation, компанія-обробник зобов’язана вжити всіх необхідних технічних та організаційних заходів для гарантування безпеки обробки персональних даних, а також нести відповідальність, визначену європейським законодавством.

Наприклад. Українська компанія, на умовах outsource, надає послуги європейській компанії з підтримки веб-сайту та забезпечує client service для юзерів такого веб-сайту. В цьому випадку, не залежно від того, який об’єм персональних даних оброблюється, українська компанія повинна відповідати вимогам GDPR. Разом з тим, європейська компанія-контролер скоріш за все буде вимагати від такої компанії вжиття відповідних заходів, адже GDPR фіксує вимогу, що всі, залучені в процес обробки персональних даних компанії, повинні відповідати вимогам GDPR.

 

ЧИ ГОТОВЕ УКРАЇНСЬКЕ ЗАКОНОДАВСТВО?

Насправді, українське законодавство, хоч і має в своєму арсеналі розроблений закон, який регулює питання захисту персональних даних, не достатньо адаптоване до європейських вимог. Разом з тим, в силу поглиблення та зміцнення зав’язків України з Європейським Союзом, наша держава все ж може в перспективі розробити та затвердити нормативний акт або акти, які б чітко відповідали вимогам, що ставляться перед світовою спільнотою у сфері захисту персональних даних.

Розглядаючи можливість притягнення українських компаній до відповідальності за порушення GDPR на нормативному рівні, то відповідь у такому випадку доволі проста, так як між Європейським Союзом та Україною існують механізми, які дозволяють виконувати рішення європейських судів по відношенню до українських компаній і навпаки. Окрім цього, законодавство жодним чином не забороняє компетентним європейським органам блокувати діяльність компанії або відповідного Інтернет ресурсу на своїй території.

 

ПРАКТИЧНІ ПОРАДИ УКРАЇНСЬКИМ КОМПАНІЯМ

Як і завжди, перш за все, радимо українським компаніям здійснити детальний аналіз своєї діяльності на предмет обробки персональних даних осіб, які знаходяться на території Європейського Союзу. Це надасть можливість визначити чи повинна компанія відповідати вимогам General Data Protection Regulation.

Надалі, необхідно розробити та імплементувати необхідні технічні та організаційні заходи, розробити публічні та внутрішні організаційні документи, які вимагає GDPR та які компанія може вважати необхідними на власний розсуд. Окрім всього іншого, необхідно здійснити аудит всіх договорів з контрагентами, щоб привести їх у відповідність з Регламентом, а також належним чином налаштувати функціонал веб-сайту, якщо діяльність здійснюється через мережу Інтернет.

В процесі впровадження заходів та розробки документів, потрібно провести ряд призначень, зокрема, необхідно призначити офіцера із захисту даних (Data Protection Officer (DPO)), призначення якого вимагається при певних обставинах, передбачених GDPR, а також осіб, відповідальних за обробку та персональних даних в середині компанії.

По завершенню вжиття всіх необхідних заходів та розробки документів, необхідно забезпечити постійну підтримку відповідності вимогам GDPR, шляхом здійснення моніторингу змін до законодавства Європейського Союзу, законодавства Країн – Членів ЄС, де знаходяться особи, чиї персональні дані оброблюються компанією, а також змін до законодавства України. Такий моніторинг найкраще можуть забезпечити спеціалісти, які розуміються на практичних аспектах приватності, в контексті застосування GDPR.