В 2018 році набрав чинності прийнятий Європейською Комісією та Європарламентом Регламент (ЄС) 2016/679, більш відомий як GDPR. Він покликаний створити єдиний правовий режим персональних даних та забезпечити їх обробку системою базових принципів.
Персональні дані згідно з GDPR — це будь-яка інформація, що відноситься до ідентифікованої або такої, що може бути ідентифікована, фізичної особи (суб’єкта даних)
Фізична особа, що може бути ідентифікована, — це особа, яку можна ідентифікувати прямо або опосередковано, зокрема за допомогою посилання на ім’я, прізвище, ідентифікаційний номер, дані про місце розташування, онлайн-ідентифікатор, на один чи декілька характерних для вказаної особи фізичних, фізіологічних, генетичних, духовних, економічних, культурних чинників або на фактори соціальної ідентичності.
Категорії особливо чутливих даних, обробка яких заборонена:
- інформація про расове і етнічне походження, політичні погляди, релігійні та філософські переконання, членство в профспілках;
- генетичні та біометричні дані для унікальної ідентифікації фізичної особи,
- дані про здоров’я, статеве життя або сексуальну орієнтацію фізичної особи.
GDPR розділяє два типи суб’єктів, що обробляють персональні дані: контролера даних і процесора даних.
Контролер — це фізична або юридична особа, публічна установа, агентство чи інша структура, яка самостійно або спільно з іншими (співконтролери) визначає цілі та способи обробки персональних даних. Саме на контролера покладена більша частина відповідальності за обробку персональних даних.
Процесор, або обробник — це підрядник контролера, фізична або юридична особа, державний орган, агентство чи інший орган, який обробляє особисті дані від імені та за дорученням контролера.
Регламент закріпив принцип екстериторіальності обробки персональних даних: він застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від юрисдикції таких компаній. Наприклад, якщо українська компанія надає товари і послуги в Інтернеті громадянам ЄС, вона одразу потрапляє в сферу дії GDPR як контролер персональних даних.
Отримати консультацію
На початкових етапах розвитку бізнесу більшість проєктів лише імітують відповідність GDPR. Це може призвести до великих неприємностей і втрат
Якщо IT-проєкт став частиною ланцюга процесорів персональних даних (підключені API соціальних мереж, прийняті на аутсорс зобов’язання третіх осіб та ін.) і якась з ланок ланцюга зіткнулася з витоком інформації, то перевірці підлягають всі учасники ланцюга передачі персональних даних. За порушення прямо або регресом накладаються штрафи до 20 млн євро.
Для відповідності Регламенту і уникнення проблем і штрафів в IT-проєкту має бути щонайменше така документація:
- публічна політика приватності, що відповідає вимогам GDPR;
- внутрішня політика захисту персональних даних;
- перелік дій з персональними даними;
- політика реагування на недоліки безпеки;
- форма повідомлення наглядового органу про витік персональних даних;
- форма повідомлення суб’єкта про витік персональних даних;
- політика зберігання даних.
На жаль, універсального шаблону для створення цих документів не існує. Ступінь деталізації залежить від регулярності обробки персональних даних, їхнього обсягу і характеру.
Проєктам, де дані обробляються постійно, необхідний штатний відповідальний за персональні дані (DPO) і постійний представник в ЄС (DPR), який буде здійснювати зв’язок з наглядовими органами і нести відповідальність в разі порушення законодавства ЄС.
Розробка документації, а також внутрішніх практик і політик у відповідності до вимог Регламенту вимагають глибокого юридичного аналізу, а їх виконання — технічного аудиту. Також в процесі обробки персональних даних необхідно дотримуватися принципів законності, прозорості та мінімізації даних, що також вимагає юридичної допомоги.
Щоб уникнути проблем з персональними даними, рекомендуємо з першого дня виходу IT- проєкту на європейський ринок звернутися до команди юристів ВігоЛекс. Вирішувати проблеми після їх виникнення буде набагато складніше і дорожче.
Чому Vigolex
Професійні
Фахівці команди VigoLex мають багаторічний досвід та унікальні знання у сфері ІТ-права, онлайн- та офлайн-казино, а також в інших сферах високоризикованого бізнесу та електронної комерції.
Креативні
Для нас не існує стандартних рішень і традиційних підходів: кожне завдання унікальне та потребує врахування всіх особливостей та підводних каменів.
Гнучкі
Ми не боїмося нових викликів та готові удосконалюватися відповідно до вимог часу та потреб Клієнта.
Відповідальні
Ми розуміємо, що клієнта цікавить не процес, а результат. Результат клієнта – наша репутація.
Наша команда
Отримати консультацію
GDPR – це регламент Європейського Союзу (нормативно-правовий акт, який є обов’язковим для всіх країн-учасниць ЄС незалежно від їх національного законодавства), в якому встановлюються вимоги щодо збору, обробки, передачі, зберігання і захисту персональних даних.
Норми GDPR обов’язкові для компаній, які зареєстровані в ЄС або обробляють персональні дані резидентів ЄС.
Таким чином, якщо український проект зареєстрований в одній з країн ЄС (наприклад, на Кіпрі), або знаходитися в Україні, але працює на ринок ЄС – вимоги GDPR є обов’язковими для такого проекту.
GDPR встановлює 7 основних принципів обробки персональних даних:
- законність, справедливість і прозорість обробки персональних даних;
- обмеження цілей обробки;
- мінімізація даних;
- точність даних, що обробляються;
- обмеження строку зберігання даних;
- цілісність і конфіденційність даних, які обробляються;
- підзвітність компанії.
Всі принципи детально роз’яснюються в інших нормах GDPR, а також гайдлайнах і роз’ясненнях контролюючого органу.