В 2018 році набрав чинності прийнятий Європейською Комісією та Європарламентом Регламент (ЄС) 2016/679, більш відомий як GDPR. Він покликаний створити єдиний правовий режим персональних даних та забезпечити їх обробку системою базових принципів.
Персональні дані згідно з GDPR — це будь-яка інформація, що відноситься до ідентифікованої або такої, що може бути ідентифікована, фізичної особи (суб’єкта даних)
Фізична особа, що може бути ідентифікована, — це особа, яку можна ідентифікувати прямо або опосередковано, зокрема за допомогою посилання на ім’я, прізвище, ідентифікаційний номер, дані про місце розташування, онлайн-ідентифікатор, на один чи декілька характерних для вказаної особи фізичних, фізіологічних, генетичних, духовних, економічних, культурних чинників або на фактори соціальної ідентичності.
Категорії особливо чутливих даних, обробка яких заборонена:
- інформація про расове і етнічне походження, політичні погляди, релігійні та філософські переконання, членство в профспілках;
- генетичні та біометричні дані для унікальної ідентифікації фізичної особи,
- дані про здоров’я, статеве життя або сексуальну орієнтацію фізичної особи.
GDPR розділяє два типи суб’єктів, що обробляють персональні дані: контролера даних і процесора даних.
Контролер — це фізична або юридична особа, публічна установа, агентство чи інша структура, яка самостійно або спільно з іншими (співконтролери) визначає цілі та способи обробки персональних даних. Саме на контролера покладена більша частина відповідальності за обробку персональних даних.
Процесор, або обробник — це підрядник контролера, фізична або юридична особа, державний орган, агентство чи інший орган, який обробляє особисті дані від імені та за дорученням контролера.
Регламент закріпив принцип екстериторіальності обробки персональних даних: він застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від юрисдикції таких компаній. Наприклад, якщо українська компанія надає товари і послуги в Інтернеті громадянам ЄС, вона одразу потрапляє в сферу дії GDPR як контролер персональних даних.
На початкових етапах розвитку бізнесу більшість проєктів лише імітують відповідність GDPR. Це може призвести до великих неприємностей і втрат
Якщо IT-проєкт став частиною ланцюга процесорів персональних даних (підключені API соціальних мереж, прийняті на аутсорс зобов’язання третіх осіб та ін.) і якась з ланок ланцюга зіткнулася з витоком інформації, то перевірці підлягають всі учасники ланцюга передачі персональних даних. За порушення прямо або регресом накладаються штрафи до 20 млн євро.
Для відповідності Регламенту і уникнення проблем і штрафів в IT-проєкту має бути щонайменше така документація:
- публічна політика приватності, що відповідає вимогам GDPR;
- внутрішня політика захисту персональних даних;
- перелік дій з персональними даними;
- політика реагування на недоліки безпеки;
- форма повідомлення наглядового органу про витік персональних даних;
- форма повідомлення суб’єкта про витік персональних даних;
- політика зберігання даних.
На жаль, універсального шаблону для створення цих документів не існує. Ступінь деталізації залежить від регулярності обробки персональних даних, їхнього обсягу і характеру.
Проєктам, де дані обробляються постійно, необхідний штатний відповідальний за персональні дані (DPO) і постійний представник в ЄС (DPR), який буде здійснювати зв’язок з наглядовими органами і нести відповідальність в разі порушення законодавства ЄС.
Розробка документації, а також внутрішніх практик і політик у відповідності до вимог Регламенту вимагають глибокого юридичного аналізу, а їх виконання — технічного аудиту. Також в процесі обробки персональних даних необхідно дотримуватися принципів законності, прозорості та мінімізації даних, що також вимагає юридичної допомоги.
Щоб уникнути проблем з персональними даними, рекомендуємо з першого дня виходу IT- проєкту на європейський ринок звернутися до команди юристів ВігоЛекс. Вирішувати проблеми після їх виникнення буде набагато складніше і дорожче.