ЩО ПОТРІБНО ЗНАТИ ПРО GDPR

15 Жовтня 2019

GDPR – це новий документ, що регулює питання захисту персональних даних, який набрав чинності та вступив у дію з 25 травня 2018 року і тим самим замінив собою Директиву 95/46/ЄС Європейського Парламенту і Ради “Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних”, яка регулювала відносини у сфері захисту персональних даних в Європі останні десятиліття.

GDPR. НОВЕ РЕВОЛЮЦІЙНЕ РЕГУЛЮВАННЯ

В 2016 році, Європейським парламентом та Радою ЄС було прийнято та затверджено новий Загальний Регламент щодо Захисту Персональних Даних (General Data Protection Regulation або скорочено GDPR), який по своїй суті став революційним, адже до цього документу, жоден інший так скрупулюозно не підходив до питання захисту приватних персональних даних.

ОСНОВНІ ЗМІНИ ЩОДО ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

GDPR, як документ, який приймався з врахуванням розвитку сучасних технологій, а також з врахуванням тенденцій використання персональних даних при наданні телекомунікаційних послуг та в контексті використання всесвітньої мережі Інтернет, значною мірою змінив та доповнив положення європейського законодавства у сфері захисту персональних даних, яке значно застаріло.

Основні зміни насамперед стосуються розширення принципів обробки персональних даних, прав, обов’язків та відповідальності всіх разом та кожного окремого суб’єкта, залученого в процес обробки персональних даних. Розглянемо лише декілька з них.

  • По-перше, з’явився принцип “Accountability”, який зобов’язує всі компанії, залучені в процес обробки персональних даних в рамках європейського законодавства, доводити відповідність своєї діяльності вимогам GDPR, в контексті обробки персональних даних.

Наприклад, коли до вас, як до контролера даних звертається контролюючий орган, ви будете зобов’язані довести, що вжили всіх належних організаційних та технічних заходів для можливості гарантувати безпеку обробки персональних даних). Інакше, до вас будуть застосовані санкції.

  • По-друге, права фізичних осіб, чиї персональні дані оброблюються, отримали додаткові права, наприклад, як (і) право вимагати передачу персональних даних іншому контролеру (data portability right) та право на заборону прийняття рішення щодо фізичної особи виключно на підставі автоматизованої обробки.

Наприклад, коли ви як контролер, здійснюючи обробку персональних даних з допомогою автоматизованої програми, формуєте профіль клієнта, та коли така програма, використовуючи інформацію з профілю, автоматично приймає рішення щодо вчинення певних дій щодо такого клієнта(наприклад видача чи невидача кредиту), в такому випадку, клієнт, у ролі суб’єкта персональних даних, має право звернутися до вас із вимогою не використовувати таку програму по відношенню до його персональних даних.

  • По-третє, GDPR, розділяючи поняття контролер та обробник, на відміну від Директиви 95/46/ЄС, наділив обробника певними обов’язками, як по відношенню до контролера так і по відношенню до фізичних осіб, чиї персональні дані оброблюються.

Наприклад, обробник повинен нести відповідальність самостійно, якщо він не виконає вимоги щодо організації належного захисту персональних даних, які покладаються на нього статтею 32 GDPR.

КОГО СТОСУЄТЬСЯ GDPR?

Розглядаючи GDPR, як комплексний документ, варто наголосити на тому, що його норми можуть обов’язковими для виконання і за межами Європейського Союзу. Зокрема, Регламент, визначає два принципи застосування Регламенту до компаній:

  • Територіальний принцип;
  • Матеріальний принцип.

Територіальний принцип вважається універсальним та визначає, зокрема, які категорії персональних даних повинні оброблюватися контролером або обробником, щоб зрозуміти чи їхня діяльність, пов’язана з обробкою персональних даних, підпадає під вимоги GDPR. Так, в статті 2 GDPR зазначається, що Регламент застосовується по відношенню до обробки всіх персональних, фізичних осіб, які знаходяться в ЄС, незалежного від місця їхнього проживання, походження та реєстрації. З цього слід вже відразу зробити висновок, що GDPR не буде стосуватися обробки персональних даних тільки громадян ЄС, а всіх фізичних осіб, які знаходяться на території Європейського Союзу.

Матеріальний принцип, передбачений статтею 3 GDPR, вже більш чітко дає можливість зрозуміти, які ж компанії підпадають під вимоги нового Регламенту. Насамперед, і це надзвичайно важливо знати, це компанії, які зареєстровані на території Європейського Союзу або ж які мають осідки (наприклад, дочірні компанії, представництва, філії або відділення) на території ЄС.

Наприклад це стосується компаній, які зареєстровані в Естонії або компанії, які є частиною великих холдингів, частина яких зареєстрована та діє на території Європейського Союзу.

Також, у статті 3 GDPR зазначається, що норми Регламенту застосовується до компаній, які не зареєстровані та не мають осідків на території ЄС, але здійснюють обробку персональних даних суб’єктів даних, які знаходяться на території ЄС, коли такі компанії: (і) пропонують товари або послуги суб’єктам даних на території ЄС, незалежно від того, чи стягується за це плата; (іі) здійснюють моніторинг поведінки суб’єктів даних, які знаходяться на території ЄС, якщо така поведінка має місце у межах Європейського Союзу.

Наприклад, припустимо, що компанія з України, яка розробила програмне забезпечення, реалізовує його як послугу (SaaS) на території ЄС для кінцевих споживачів. В такому випадку, слід вважати, що ця компанія надає платні послуги громадянам та особам, які знаходяться на території ЄС. Відповідно, на неї розповсюджується положення статті 3 GDPR, а отже і положення всього Регламенту.

ПЕРЕДАЧА ПЕРСОНАЛЬНИХ ДАНИХ ДО ТРЕТІХ КРАЇН У ВІДПОВІДНОСТІ З GDPR

Окрім всього іншого, визначеного в GDPR, варто виділити інформацію як щодо передачі персональних даних між компаніями в межах Європейського Союзу, так і за його межі. Доречі, одним із ключових завдань Регламенту, звісно ж окрім захисту персональних даних, є забезпечення полегшення переміщення персональних даних між будь-яким країнами, в тому числі які не є членами ЄС.

Переміщуватися персональні дані можуть будь-як та між будь-ким, головне, щоб всі суб’єкти, які залучаються в процес переміщення та які використовують персональні дані, дотримувалися положень GDPR.

Розглядаючи переміщення персональних даних між компаніями в середині Європейського Союзу, варто зазначити, що таке переміщення (передача) може здійснювати вільно, без вжиття будь-яких додаткових заходів безпеки, адже по замовчуванню, всі компанії в рамках ЄС, повинні дотримуватися норм європейського законодавства.

  • Коли виникає необхідність у передачі даних за межі ЄС, вимоги до компаній, які знаходяться за межами Європи є набагато суворіші. Коли персональні данні повинні бути переміщені за межі ЄС, повинна застосовуватися одна з таких вимог:
  • Країна, в якій знаходиться компанія, повинна мати належний рівень захисту, що повинно підтверджуватися відповідним імплементаційним актом Європейської Комісії.
  • Компанія, яка передає та компанія, яка отримує персональні дані, повинні гарантувати вжиття відповідних заходів безпеки щодо обробки персональних даних, достатніх для того, щоб захистити права та інтереси фізичних осіб.

У випадку відсутності умов, передбачених в перших двох пунктах, компанія може здійснити передачу персональних даних до третьої країни тільки за умови застосування спеціально обумовлених винятків, які передбачаються в статті 46 Регламенту.

ЩО ЧЕКАТИ ВІД НОВОГО РЕГУЛЮВАННЯ?

Загалом, підсумовуючи все вище зазначене, потрібно зробити висновок, що GDPR є дійсно революційним законом, дія якого розповсюджується не тільки на компанії, які зареєстровані в Європейському Союзі, а також і на інші компанії, що прагнуть здійснювати свою діяльність на території ЄС, зокрема і українські компанії.

Враховуючи всі зміни, які вже прийняті в Європі та ті зміни, які будуть прийматися в майбутньому, компанії, які здійснюють обробку персональних даних, повинні на постійній основі вживати організаційні та технічні заходи для того, щоб відповідати вимогам GDPR, а разом з тим і забезпечити належне функціонування свого бізнесу не території ЄС.

Якщо у вас виникли запитання стосовно впровадження GDPR або ж будь-яке інше питання, що стосується захисту даних, просимо звертатися до наших спеціалістів.