+380 44 3777361

+380 44 3777362

вул. Іллінська, 8,
м. Київ, Україна, 04070

Новий Регламент Європейського Союзу про персональні дані (GDPR - General Data Protection Regulation)


З 25 травня 2018 року набуває чинності новий Загальний Регламент ЄС про персональні дані (GDPR). Новий Регламент радикально оновлює всі норми про захист персональних даних. Окрім того, сам захист персональних даних буде посилено.

Кого торкнеться?

 

Особливість нового Регламенту полягає у тому, що його поширення здійснюється на всі організації, діяльність яких стосується персональних даних громадян ЄС.

Компанії-резиденти ЄС мають партнерів майже у всіх країнах світу, тому новий Регламент зачепить так само й українські компанії.

Переважно це може торкнутися тих українських компаній, які займаються продажем товарів, наданням послуг для громадян ЄС як на території ЕС, так й на терені України, а також компанії, які у своїй роботі використовують персональні дані громадян країн ЄС.

 

Покажемо на прикладах:

 

  • Громадянин країни-члена ЄС купив квиток на автобус у компанії-перевізника з України, то така компанія-перевізник автоматично підпадає під дію GDPR і зобов'язана дотримуватися нових правил обробки персональних даних.
  • Зайшов іноземець до крамниці в Києві та розрахувався банківською картою, так само така крамниця вже автоматично потрапляє під дію GDPR. 
  • Ви направляєте мейл до ноземної компанії з країни-члена ЄС, готуйтеся до виконання умов GDPR.
  • Компанія знаходиться на території України, але продає товари і послуги громадянам з країн ЄС за допомогою мережі Інтернет, вона підпадає під дію GDPR.

 

Безпосередньо цей Регламент стосується тих українських компаній, які вже мають свої філіали/представництва/представників у ЄС, котрі так само повинні відповідати новим вимогам.

 

Українські користувачі відтепер зможуть якісніше контролювати процеси пов’язані з їх даними. Загалом, більшість експертів сходяться на думці, що новий Регламент має позитивно вплинути на розвиток українських компаній та на захист персональних даних громадян України.

 

Про що ж йдеться у цьому Регламенті?

 

Новим Регламентом передбачено значне розширення права громадян і резидентів ЄС з контролю над їх персональними даними.

 

Відтепер користувачі з країн-членів ЄС зможуть робити запити щодо підтвердження факту обробки їх даних, місце і мету обробки, категорії оброблюваних персональних даних, яким третім особам дані розкриваються, період, протягом якого вони будуть оброблятися, а також уточнювати джерело отримання організацією персональних даних та вимагати їх виправлення. Також користувачі зможуть вимагати припинення обробки своїх даних.

 

Цікаво, що в Регламенті передбачене таке право фізичної особи як бути забутим або видаленим. Це право  громадянам країн-членів ЄС можливість видаляти свої особисті дані за запитом з метою уникнення їх розповсюдження або передачі третім особам.

 

Що є персональними даними?

 

Персональні дані - це будь-яка інформація про фізичну особу, яка допомагає у її визначенні або може бути конкретно ідентифікувати.

 

До персональних даних відносяться: ПІБ, номер телефону, адреса електронної пошти та проживання, реєстраційний номер і марка автомобіля, відомості про національність, політичних або релігійних поглядах, сексуальної орієнтації, номері банківського рахунку, номер банківської карти і строк її дії, історії хвороб, дані про групу крові, інформація про членів сім'ї, фото, біометричні дані, паспортні дані, ідентифікаційний код, підпис, інформація про рівень особистих доходів. Також відносять інформацію про місцезнаходження, IP-адресу.

 

Згода та заборона на обробку

 

Дані відносини закріплюються у договорі, в якому повинна бути чітко виражена мета такої обробки, а сам договір повинен бути простим і зрозумілим.

 

Компанія зобов’язана отримати чітку відповідь у користувача щодо надання їй права на обробку персональних даних. Мовчання чи бездіяльність знаком згоди не вважаються.

 

Користувач у будь-який момент може пред’явити вимогу компанії, за якою вона зобов’язана відмовитися від обробки персональних даних.

 

Демонстрація (доведення) відповідності вимогам GDPR

 

Зауважимо, що новий Регламент впроваджує правило, за яким компанія зобов’язана довести, що її діяльність відповідає новим вимогам. Щоб довести, що діяльність компанії відповідає новим вимогам Регламенту особи, які здійснюють обробку інформації, зобов’язані зберігати всю інформацію. Однак, на сьогоднішній день процедура доведення відсутня. Хоча, згідно з Регламентом, очікується створення певного механізму щодо підтвердження в майбутньому.

 

Призначення відповідального за захист персональних даних

 

Компанії, які у своїй діяльності торкаються персональних даних чи спеціальних категорій даних, зобов’язані призначити працівника для захисту таких даних (Data Protection Officer).

 

Обов’язковою вимогою для такого працівника є наявність знань у сфері захисту персональних даних. Компанії, що складають певну групу, можуть мати одного Data Protection Officer. Допомога у виконанні всіх вимог Регламенту є головним завданням такого працівника.

 

Однак, призначати такого працівника не потрібно, якщо обробка даних здійснюється епізодично, в маленьких обсягах і не стосується спеціальних категорій персональних даних.

 

Обмеження можливості використання хмарних сховищ для розміщення персональних даних

 

Варто зазначити, що розміщення персональних даних на хмарних сховищах, згідно положень нового Регламенту вважається передачею своїх даних третім особам. Більш того, не слід розміщувати свої дані, на різних сховищах, тому що ви не можете бути впевненні на всі 100%, що рівень захисту буде високий. Крім того, здійснення передачі даних за межі ЄС за допомогою сховища є порушенням норм законодавства ЄС.

 

Штрафи

 

Наполегливо радимо якнайшвидше ознайомитися з положеннями Регламенту, тому що за порушення нових вимог у сфері захисту персональних даних будуть застосовуватися жорсткі санкції. Штрафи сягають 20 млн. євро або 4% річного доходу компанії в залежності від того, що більше. 

 

Визначення та застосування нового Регламенту до бізнесу потребує обґрунтованого врахування специфіки нових правил, зокрема, які персональні дані будуть збирати та обробляти компанії, місце їх знаходження, куди далі дані будуть передаватися та хто до них матиме доступ тощо.