Захист персональних даних відповідно до GDPR

В 2018 році набрав чинності прийнятий Європейською Комісією та Європарламентом Регламент (ЄС) 2016/679, більш відомий як GDPR. Він покликаний створити єдиний правовий режим персональних даних та забезпечити їх обробку системою базових принципів.

Персональні дані згідно з GDPR — це будь-яка інформація, що відноситься до ідентифікованої або такої, що може бути ідентифікована, фізичної особи (суб’єкта даних)

Фізична особа, що може бути ідентифікована, — це особа, яку можна ідентифікувати прямо або опосередковано, зокрема за допомогою посилання на ім’я, прізвище, ідентифікаційний номер, дані про місце розташування, онлайн-ідентифікатор, на один чи декілька характерних для вказаної особи фізичних, фізіологічних, генетичних, духовних, економічних, культурних чинників або на фактори соціальної ідентичності.

Категорії особливо чутливих даних, обробка яких заборонена:

  • інформація про расове і етнічне походження, політичні погляди, релігійні та філософські переконання, членство в профспілках;
  • генетичні та біометричні дані для унікальної ідентифікації фізичної особи,
  • дані про здоров’я, статеве життя або сексуальну орієнтацію фізичної особи.

GDPR розділяє два типи суб’єктів, що обробляють персональні дані: контролера даних і процесора даних.

Контролер — це фізична або юридична особа, публічна установа, агентство чи інша структура, яка самостійно або спільно з іншими (співконтролери) визначає цілі та способи обробки персональних даних. Саме на контролера покладена більша частина відповідальності за обробку персональних даних.

Процесор, або обробник — це підрядник контролера, фізична або юридична особа, державний орган, агентство чи інший орган, який обробляє особисті дані від імені та за дорученням контролера.

Регламент закріпив принцип екстериторіальності обробки персональних даних: він застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від юрисдикції таких компаній. Наприклад, якщо українська компанія надає товари і послуги в Інтернеті громадянам ЄС, вона одразу потрапляє в сферу дії GDPR як контролер персональних даних.

На початкових етапах розвитку бізнесу більшість  проєктів лише імітують відповідність GDPR. Це може призвести до великих неприємностей і втрат

Якщо IT-проєкт став частиною ланцюга процесорів персональних даних (підключені API соціальних мереж, прийняті на аутсорс зобов’язання третіх осіб та ін.) і якась з ланок ланцюга зіткнулася з витоком інформації, то перевірці підлягають всі учасники ланцюга передачі персональних даних. За порушення прямо або регресом накладаються штрафи до 20 млн євро.

Для відповідності Регламенту і уникнення проблем і штрафів в IT-проєкту має бути щонайменше така документація:

  • публічна політика приватності, що відповідає вимогам GDPR;
  • внутрішня політика захисту персональних даних;
  • перелік дій з персональними даними;
  • політика реагування на недоліки безпеки;
  • форма повідомлення наглядового органу про витік персональних даних;
  • форма повідомлення суб’єкта про витік персональних даних;
  • політика зберігання даних.

На жаль, універсального шаблону для створення цих документів не існує. Ступінь деталізації залежить від регулярності обробки персональних даних, їхнього обсягу і характеру.

Проєктам, де дані обробляються постійно, необхідний штатний відповідальний за персональні дані (DPO) і постійний представник в ЄС (DPR), який буде здійснювати зв’язок з наглядовими органами і нести відповідальність в разі порушення законодавства ЄС.

Розробка документації, а також внутрішніх практик і політик у відповідності до вимог Регламенту вимагають глибокого юридичного аналізу, а їх виконання — технічного аудиту. Також в процесі обробки персональних даних необхідно дотримуватися принципів законності, прозорості та мінімізації даних, що також вимагає юридичної допомоги.

Щоб уникнути проблем з персональними даними, рекомендуємо з першого дня виходу IT- проєкту на європейський ринок звернутися до команди юристів ВігоЛекс. Вирішувати проблеми після їх виникнення буде набагато складніше і дорожче.

Отримати консультацію