В умовах цифровізації супільних відносин, Україна посідає провідне місце з огляду не лише на потужний розвиток ІТ-технологій, а й впровадження передових технологій у сфері надання послуг на рівні держави. Нові технології породжують нові виклики, тому захист персональних даних відіграє важливе значення, адже порушення порядку їх обробки може призвести не лише до порушення прав окремих осіб, дані яких обробляються, а й до фінансових та репутаційних втрат. Відтак, з необхідністю захисту персональних даних стикається фактично кожен власник бізнесу.
На території Європейського Союзу GDPR не є новинкою, однак Україна станом на сьогодні перебуває на проміжному етапі впровадження GDPR в повній мірі, оскільки останній ще не імплементований в українське законодавство, а використанню
Що таке персональні дані за GDPR.
General Data Protection Regulation – це положення щодо обробки персональних даних, прийняті у 2016 році, що набули чинності у 2018 році. Як вищевказано, територіально вказаний регламент поширюється на територію Європейського Союзу, однак за певних який більшою мірою стосується ЄС, однак, в певних випадках також поширює свою дію поза межі ЄС. За GDPR персональними даними є будь яка інформація, яка стосується фізичної особи, за допомогою якої або ж ідентифіковано чи можна ідентифікувати (“суб’єкт даних”). У розумінні GDPR дентифікаторами вважаються ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.
Вимоги GDPR встановлює нові та жорсткіші вимоги щодо обробки персональних даних та базується на таких принципах: законність, справедливість і прозорість обробки персональних даних; обмеженість мети обробки з огляду на можливість обробки з огляду на наявність визначених, чітких і законних цілей та у спосіб, який є сумісний з такими цілями; мінімізація даних, які підлягають обробці, з врахуванням цілі такої обробки; точність персональних даних та лімітація зберігання. У суб’єкта персональних даних визначено доволі широкі права, по пов’язані з обробкою персональних даних, зокрема щодо отримання інформації щодо використання своїх даних та доступу до них; виправлення; видалення таких даних та ін. Вказані положення повинні враховуватися компаніями в процесі обробки персональних даних, адже порушення вимог, визначених GDPR можуть стати підставою для притягнення їх до відповідальності. Штраф за порушення може сягати 10 мільйонів або ж 2% річного обороту компанії (за попередній фінансовий рік з огляду на те, яка сума більша).
За грубі порушення, пов’язані, зокрема, з недотриманням основних принципів захисту персональних даних, – 20 мільйонів євро чи 4% від річного обороту компанії.Однак, слід звернути увагу, що не вся інформація є персональними даними (відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована), крім цього, персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою.
Коли застосовується GDPR?
GDPR розмежовує сфери дії на матеріальну і територіальну.
Матеріальна сфера застосування наявна у випадку обробки персональних даних (як повністю чи частково) із застосуванням автоматизованих засобів та до опрацювання персональних даних із застосуванням неавтоматизованих засобів, які формують частину картотеки або призначені для внесення до картотеки.
Територіально, як вже згадувалося у цій статті, GDPR застосовується з огляду на місцезнаходження контролера чи оператора на території ЄС, а також, якщо відбувається обробка даних суб’єктів, які перебувають в ЄС за умови, якщо така обробка пов’язана з постачанням товарів чи наданням послуг вказаним суб’єктам даних у ЄС, незалежно від того, чи вимагають оплату від таких суб’єктів даних або ж моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах ЄС.
Що можна віднести до ключових принципів GDPR?
GDPRом встановлено основоположні принципи обробки персональних даних, а саме: законність, правомірність, прозорість, цільове обмеження, мінімізація даних, точність, обмеження зберігання, цілісність і конфіденційність та підзвітність.
Які умови обробки персональних даних за GDPR?
GDPR визначає, що за умови, якщо обробка персональних даних засновується на згоді суб’єкта персональних даних, то в такому випадку доведення факту отримання такої згоди покладається на контролера (тому алежне отримання згоди відбувається за допомогою поєднання технічних і юридчних засобів). Особливі вимоги висуваються до отримання окремих категорій даних (наприклад, щодо судимостей, даних дитини тощо).
Захист персональних даних в Україні.
Станом на сьогодні в Україні ратифіковано такі міжнародно-правові акти, пов’язані з захистом персональних даних, такі як: Загальна декларація прав людини, Міжнародний пакт про громадянські та політичні права, Європейська конвенція з прав людини, Конвенція Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та ін. Окрім цього, у національному законодавстві право на приватність закріплено на конституційному рівні, а процес обробки персональних даних регулюється спеціальним законодавством.
У 2014 році Україною та ЄС було підписано Угоду про асоціацію, що поклало на неї також обов’язок щодо проведення у відповідність європейським стандартам процедуру захисту персональних даних.
За порушення порядку обробки персональних даних в Україні передбачена відповідальність. Статтею 188-39 Кодексу України про адміністративні правопорушення за порушення законодавства про захист персональних даних передбачений штраф в діапазоні від 100 до 2000 неоподаткованих мінімумів доходів громадян. За порушення недоторканості приватного життя – від штрафу аж до позбавлення волі, залежно від діяння, яке вчинила особа.
В цілому, Закон України «Про захист персональних даних» віддзеркалює основоположні засади, які закріплені в GDPR та містить положення, які забезпечують захист персональних даних на законодавчому рівні, проте його дія обмежується територією України. Хоча, Україною й не було ратифіковано GDPR, це не означає, що він не може застосовуватися до українських компаній. Дія GDPR поширюватиметься на українські компанії, якщо обробка персональних здійснюється контролером або оператором, які зареєстровані поза територією ЄС, які обробляють персональні дані суб’єктів, що перебувають в ЄС. Відтак, рекомендовано проводити GDPR-комплаєнс компаній не лише з метою підвищення статусу ділової репутації, а й мінімізації ризиків в процесі їх діяльності.
Як ми працюємо?
Спочатку ми надсилаємо опитувальник для клієнта, заповнення якого спрямоване на отримання необхідної інформації для розробки документації згідно з вимогами GDPR. Одночасно з заповненням опитувальника, юристами команди INFERNO DIGITAL здійснюється опрацювання наповнення веб-сайту, чи додатку для адаптації відповідної документації до технічних характеристик конкретного сервісу. Після проведення збору інформації, ми оформлюємо документи, що надсилаються клієнту на погодження та подальшого розміщення на веб-сайті та/або додатку. Також, ми можемо надати рекомендації за запитом щодо покращення, зміни окремих функцій веб-сайту з огляду на необхідність дотримання положень GDPR в частині дотримання порядку отримання згоди від власника персональних даних.
Часті питання?
- Які послуги, повязані з GDPR ви надаєте? Компанія INFERNO DLC надає широкий спектр послуг, повязаний з GDPR, серед яких: консультування, розробка політики конфіденційності, повідомлення про куксі та іншої документації на веб-сайт/додаток у відповідності до вимог GDPR; аудит наявої документації на відповідність GDPR; аналіз веб-сайту/додатку на предмет дотримання юридичних вимог положень GDPR; складення юридичних висновків щодо GDPR та ін.
- Яка вартість GDPR-комплаєнсу? Вартість залежить від переліку послуг з огляду на запит клієнта (аудит наявної документації, розробка політики конфіденційності, повідомлення про кукі тощо) та становить від 3000 грн. Після аналізу запиту клієнта формується кінцева фіксована вартість про яку ми завчасно повідомляємо та після погодження з клієнтом розпочинаємо роботу.
- Чи потрібно враховувати положення GDPR українським компаніям? У випадку, якщо за допомогою вашого продукту оброляються дані громадян ЄС – в такому випадку, – потрібно.
Показати на карті