У 2018 році набрав чинності прийнятий Європейською Комісією та Європарламентом Регламент (ЄС) 2016/679, більш відомий як GDPR. Він націлений на створення єдиного правового режиму персональних даних та забезпечення їх обробки системою базових принципів.
Персональні дані згідно з GDPR – це будь-яка інформація, що відноситься до ідентифікованої або такої, що може бути ідентифікована, фізичної особи «суб’єкта даних»)
Фізична особа, що може бути ідентифікована – це особа, яка може бути ідентифікована прямо або побічно, зокрема, за допомогою посилання на ім’я, прізвище, ідентифікаційний номер, дані про місце розташування, онлайн-ідентифікатор або один, або кілька характерних для вказаної особи фізичних, фізіологічних, генетичних, духовних, економічних, культурних чинників або посилаючись на фактори соціальної ідентичності.
Категорія особливо чутливих даних, обробка яких заборонена:
GDPR розділяє два типи суб’єктів, що обробляють персональні дані: контролер даних і процесор даних.
Контролер – це фізична або юридична особа, публічна установа, агентство чи інша структура, яка самостійно або спільно з іншими (контролери) визначає цілі та способи обробки персональних даних. Велика частина відповідальності за обробку персональних даних лежить на контролері.
Процесор або обробник – це підрядник контролера, фізична або юридична особа, державний орган, агентство або інший орган, який обробляє особисті дані від імені та за дорученням контролера.
Регламент закріпив принцип екстериторіальності обробки персональних даних, оскільки він застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від юрисдикції таких компаній. Наприклад, якщо українська компанія надає товари і послуги в Інтернеті громадянам ЄС, вона відразу потрапляє під сферу дії GDPR як контролер персональних даних.
На початкових етапах розвитку бізнесу більшість проектів лише імітують відповідність GDPR, що може привести до великих неприємностей в майбутньому
Але якщо IT-проект вбудувався в ланцюжок процесорів персональних даних (підключені API соціальних мереж, прийняті на аутсорс зобов’язання третіх осіб та ін.), і якась з ланок ланцюжка зіткнулася з витоком інформації, то перевірці піддаються всі учасники ланцюга передачі персональних даних. За порушення прямо або регресом накладаються штрафи розміром до 20 млн євро.
Для відповідності з Регламентом і щоб уникнути проблем і штрафів мінімально у IT-проекту повинна бути розроблена така документація:
На жаль, універсального шаблону для створення описаної документації не існує. Ступінь деталізації залежить від регулярності обробки персональних даних, їх обсягу і характеру.
Проектам, в яких дані обробляються постійно, необхідний штатний Відповідальний за Персональні дані (DPO) і постійний представник в ЄС (DPR), який буде здійснювати зв’язок з наглядовими органами і нести відповідальність в разі порушення законодавства ЄС.
Розробка документації, а також внутрішніх практик і політик у відповідносі з вимогами Регламенту вимагають глибокого юридичного аналізу, а їх виконання – технічного аудиту. Також у процесі обробки персональних даних необхідно дотримуватися принципів обробки (законність, прозорість, мінімізації даних), що також вимагає юридичної допомоги.
Щоб уникнути проблем з персональними даними, рекомендуємо з першого ж дня виходу IT-проекту на європейський ринок звернутися до команди юристів ВігоЛекс. Вирішувати проблеми після їх виникнення буде набагато складніше і дорожче.
