GDPR і персональні дані за General Data Protection Regulation

In: ІТ-право, Адвокатске бюро Яновський і партнери, Статті правова тематика 20 Apr 2018

GDPR  і персональні дані за General Data Protection Regulation

про що подбати і  як підготуватися українським компаніям

 

Загальний регламент захисту даних або General Data Protection Regulation (GDPR) (EU) 2016/679 (далі – Регламент) – обов’язкові для застосування всіма країнами-членами ЄС правила, згідно яких встановлюються вимоги щодо посилення та уніфікації захисту персональних даних всіх осіб на території ЄС.

Хоч GDPR вступає в силу 25 травня 2018 року, не помітити ажіотаж та завчасну активізацію як правників, так і бізнесу в цілому, було неможливо. Регламент не має прямого відношення до українського законодавства, але безпосередньо може стосуватись діяльності вітчизняних компаній, не тільки ІТ, але будь-якого сектору економіки.

Це пов’язано з тим, що згідно ст. 3 регламент має екстериторіальну дію, тобто обов’язково поширюється також на компанії поза ЄС, які отримують інформацію з джерела походження країн-учасниць ЄС. Крім цього, захист персональних даних не пов’язаний із громадянством ЄС, тому стосується будь-яких суб’єктів, які на момент обробки даних знаходяться на території Євросоюзу. Нововведення особливо торкнуться українських компаній, які мають постійні представництва в Європі, при передачі даних клієнтів, співробітників або партнерів до материнської компанії та подальшої їх обробки. Також це стосується вітчизняних компаній, контрагентами яких є компанії –резиденти в ЄС або фізичні особи, якщо їм реалізуються товари/надаються послуги в мережі Інтернет (якщо передбачена оплата в євро, опис товарів на європейських мовах).

 

Компаніями, які мають пряме чи опосередковане відношення до інформації з країн Співтовариства, для продовження співпраці на момент набуття регламентом чинності мають бути здійснені заходи щодо посилення охорони персональних даних. Тому причина, чому перевірка відповідності вимогам GDPR необхідна уже зараз, проста – жодна європейська компанія не захоче вести з вами справи під загрозою значних штрафів за співпрацю з «non-compliance company».

 

Під персональними даними у Регламенті розуміються будь-які відомості, які є власністю фізичних осіб, що прямо чи опосередковано дозволяють ідентифікувати цю особу (суб’єкта даних), у тому числі ім’я, паспортні дані, дані банківських рахунків, електрона пошта, ІР- ідентифікатор, місце знаходження та інші ідентифікуючі фізіологічні, генетичні, розумові, економічні та соціально-культурні показники.

Згідно GDPR обробка персональних даних означає будь-яку операцію, здійснювану з персональними даними, автоматично або будь-якими іншими способами, в тому числі збір, запис, сортування, зберігання, адаптація чи зміна, отримання, звірка, використання, розкриття, поширення або будь-який вид публікації, угруповання, блокування, видалення або знищення

 

У чому полягає пряме чи опосередковане відношення компаній до даних?

 

Простими словами, регламент оперує поняттями контролер та процесор. Їх розмежування легко зрозуміти за критерієм мети обробки персональних даних: так контролер є особою, яка визначає мету, для чого збираються дані, визначає способи обробки та збереження інформації, відповідно вимоги до таких осіб є жорсткішими; зазвичай українські компанії виступають процесорами, оскільки мають доступ до даних за дорученням контролера, самостійно не встановлюючи мету їх обробки. Наприклад, ми неодноразово здійснювали юридичний супровід проектів, за якими європейські компанії замовляють розробку програмного забезпечення у наших айтішників. Для правильного налаштування роботи програми, вони неодмінно отримують доступ до зібраних замовником даних. Так, компанія-замовник є контролером, відповідно українська – процесором. До речі, враховуючи, що документ все-таки має іноземне походження, і його положення (можливо принаймні поки що) не є містять аналогів у законодавстві України, ми вважаємо вживання понять-перекладів «оператор» та «обробник» некоректними в аспекті роботи з GDPR та рекомендуємо використовувати оригінальну термінологію.

 

Згідно Регламенту контролер та процесор можуть призначити відповідальних за обробку даних осіб – офіцерів. Роль офіцера в цілому зводиться до того, що його обов’язком є інформування та консультування контролера/оператора щодо вимог, які ставляться до них, та перевірки стану виконання цих вимог. Не досить обізнані в нових вимогах медіа-ресурси часто більше спекулюють даною нормою, ніж розуміють реальний обсяг її використання, оскільки обов’язок щодо такого призначення встановлено лише що даних, якщо:

а) обробка здійснюється публічним органом або організацією, за винятком судів;

б) основні види діяльності оператора чи процесора складаються з операцій з опрацювання, які вимагають постійного, систематичного і широкомасштабного моніторингу суб’єктів даних;

в) основні види діяльності контролера або оператора складаються з широкомасштабного опрацювання чутливих категорій даних (наприклад, конфіденційних даних про стан здоров’я, етнічне походження, рівень особистих доходів) відповідно до ст. 9 Регламенту та персональних даних про судимості та кримінальні злочини, зазначені в ст. 10 Регламенту.

Крім того, якщо українська компанія виступає контролером, тобто здійснює обробку даних європейських клієнтів, компанія зобов’язана призначити свого представника в ЄС, який виступатиме посередником між контролюючими органами ЄС та контролером у питаннях дотримання правил GDPR. Зазвичай таке призначення відбувається шляхом підписання договору із компанією-резидентом країн Союзу.

Що стосується обробки персональних даних, Регламентом встановлено багато нюансів. Наприклад, інформація про цілі, способи та обсяги обробки даних має бути відкритою; обсяг зібраної інформації не може перевищувати необхідну для досягнення мети її обробки; дані повинні використовувати виключно у тих цілях, для яких були зібрані; особисті дані повинні зберігатися не довше, ніж термін необхідний для досягнення цілей обробки тощо.

Регламентом встановлюються правила передачі персональних даних за межі ЄС, в інші країни. Правомірна передача можлива у двох варіантах:

  • Існує рішення Єврокомісії про належне забезпечення конкретною країною необхідного рівня захисту експортних даних. Наразі прийняті рішення щодо Андорри, Аргентини, Гернсі, Ізраїлю, Канади, Нової Зеландії, Острову Мен, Уругваю, Швейцарії та Фарерських островів.
  • Оброблювач даних може підтвердити наявність гарантій захисту експортних персональних даних. Найчастіше це стандартні договори на обробку даних (Data Processing Agreement) між процесором та контролером, які містять вимоги щодо здійснення необхідних технічних та організаційних заходів. Також відповідність рівня захисту може підтверджуватись Сертифікатом відповідності (має добровільний характер), проте процедура сертифікації за GDPR ще не розроблена, тому на практиці не реалізується. У разі необхідності залучення до обробки незалежних субпроцесорів (говорячи простіше підрядників для виконання проекту), процесор повинен отримати письмовий дозвіл контролера, крім того потім із ним має бути підписаний ідентичний до основного DPA.

Регламентом встановлюються права суб’єктів даних звертатися до суду із вимогами про стягнення грошової компенсації з осіб, які порушують їхні права, здійснюючи обробку даних неналежним чином, або виходячи за законні межі. Також з’явилось «право на забуття» – кожен суб’єкт даних може вимагати розкрити йому інформацію, наявну в компанії про нього, видалити таку інформацію або перенести її (data portability).

За невиконання вимог Регламенту ЄС встановлена відповідальність, проте якщо з контролюючим органом на території ЄС все більш-менш зрозуміло, залишається відкритим питання як буде здійснюватись стягнення з української компанії через представника в ЄС, яка, наприклад, є контролером. Але така неврегульованість все одно не має давати підстав «розслабитись», адже європейська компанія сама відмовиться від співпраці. За GDPR, розміри санкцій мають бути «ефективними, пропорційними й стримувальними»: максимальний розмір штрафу встановлено у 4% річного світового обороту підприємства або 20 мільйонів євро, в залежності від більшого з них; мінімальний – 2% річного світового обороту підприємства або 10 мільйонів євро, також в залежності від більшого з них.

 

Тож як підготуватись до роботи з GDPR?

 

  1. Провести аналіз діяльності компанії з персональними даними. Необхідно здійснити GDPR-check (аудит) – до яких персональних даних має доступ компанія, де вони зберігаються, які наявні процеси обробки даних. Регламент встановлює вимогу здійснити оцінку рівня впливу здійснюваних збору/обробки інформації на права та свободи суб’єктів даних (Data Privacy Impact Assessment – DPIA).
  2. Розробити політику поводження з персональними даними. Процес використання даних має включати збір, обробку, зберігання, захист та знищення даних. Необхідно прийняти умови концепції проектованої конфіденційності та конфіденційності за замовчуванням, так звані privacy by design і privacy by default. Згідно з концепцією privacy by design організація повинна враховувати ризики, пов’язані з персональними даними, на всіх етапах процесу обробки даних (при проектуванні дизайну процесу обробки, формуванні функціональних вимог до ІТ-систем, налаштування механізмів безпеки в ІТ-системах і засобах захисту, при передачі даних в архівне зберігання і при їх знищенні). Концепція privacy by default має на увазі, що компанія в рамках чітко сформульованих цілей повинна обробляти мінімально необхідний склад даних.
  3. Навести лад у юридичних документах. Необхідно розробити положення щодо політики інформаційної безпеки, договори із пунктами про обробку даних, способи надання згоди на обробку даних, а також пояснення щодо політики обробки даних компанією на власних веб-сторінках.
  4. Навести лад у програмному забезпеченні. Для підвищення рівня автоматизації при приведенні ІТ-процесів у відповідність до вимог GDPR слід звернути увагу на рішення класу Data Governance. Наявність повної та актуальної інформації про дані, місця їх розміщення, методи обробки і права доступу допоможе в практичній реалізації вимог закону.

Поки не сформувалася чітка практика приведення процесів обробки даних в компаніях у відповідність вимогам GDPR, окремо слід наголосити на вимогах зі збору погоджень на обробку, налагодження каналів взаємодії з суб’єктами персональних даних Відповідно до вимог GDPR простий клік у віконці «Ознайомлений, продовжити» та десятисторінкові правила уже не підходять – сповіщення має бути здійснене так, що, по-перше, дійсно кожен відвідувач його помітив, та, по-друге, воно було максимально простим, коротким та зрозумілим. Уже зараз майже на кожному зарубіжному ресурсі при першому ж візиті на веб-сторінку у вас з’явиться спливаюче вікно примірно такого змісту: «Шановний користувач. Із метою коректної роботи сайт збирає ваші метадані (cookie, дані про IP-адресу та місцезнаходження). Продовжуючи перегляд сайту ви погоджуєтесь з використанням ваших даних».

  1. Провести роботу з працівниками. Варто переконатись, що кожен ознайомлений із існуванням GDPR та його вимогами, аби запобігти випадковій втраті флешки з архіважливими даними (наші вітання працівникам аеропорту Хітроу).

 

Невиконання нових законодавчих положень Європейського співтовариства загрожує не тільки санкціями, але і дійсно значною втратою потенціальних та уже існуючих клієнтів та партнерів. Більш того, існує позиція, згідно якої зовсім скоро вимоги Регламенту стануть новим глобальним світовим стандартом. Тому ми наполегливо рекомендуємо звернутись до юристів для проведення GDPR-check.

Корисні посилання за темою:

  1. GDPR-portal: https://www.eugdpr.org/
  2. Роз’яснення Єврокомісії щодо застосування Регламенту: https://ec.europa.eu/commission/sites/beta-political/files/data-protection-communication-com.2018.43.3_en.pdf
  3. Інструкція https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf

 

Автор – юрист Марія Шуляківська

Підписатись на наші новини


X