Захист персональних даних. GDPR

В середині 2010-го був введений в дію Закон, покликаний регулювати сферу захисту персональних даних. Таким чином, Україна наслідувала приклад більшості розвинених країн, перейнявши міжнародний досвід в регулюванні даної сфери.

Бажаючи зміцнити позитивний імідж країни на міжнародній арені, Парламент також закінчив процес ратифікації Конвенції Ради Європи про захист особистих даних.

На що ця Конвенція впливає? В першу чергу, вона захищає особисті дані, що підлягають автоматизованій обробці - тобто тій, в якій людина не бере безпосередньої участі.

Такі зміни сприяли:

• поліпшенню координації України з міжнародною правоохоронною системою;
• введенню заходів посилення контролю при перетині іноземцями її кордону.

До сьогодні, зміни в процес захисту даних фізичних осіб, вносилися тільки 1 раз - в 2013 році. Тоді обов'язок по контролю розпорядників персональних даних був переданий Уповноваженому з прав людини в українському парламенті - Омбудсмену. Наслідуючи досвіду розвинених європейських держав, його наділили правом здійснювати перевірки розпорядників персональних даних.

Ми поговоримо про те, що таке GDPR, як він працює і як може вплинути на Ваш бізнес.

Стаття на тему: GDPR - загальний регламент захисту персональних даних

Що таке GDPR?

Обробка персональних даних відбувається практично у всіх сферах комерційної діяльності. І повинна вона проводитися відповідно до вимог актуальної законодавчої бази, а значить:

• Компанія повинна визначити, чи потрапляє її діяльність, крім української, ще й під європейську юрисдикцію.

Якщо українське підприємство надає послуги або здійснює торгівлю товарами з приватними особами, що мають паспорта держав-членів ЄС - його діяльність підпадає під дію документа, що має назву GDPR (General Data Protection Regulation). Це Загальний регламент захисту даних, який створений для уніфікації захисту даних фізосіб-громадян ЄС.

Мета GDPR: захистити право на приватне життя всіх громадян ЄС, а також допомогти усунути будь-які порушення закону в сфері захисту персональних даних.

Стаття на тему: Захист персональних даних в Інтернеті. Що робити людині, якщо фотографії з її зображенням потрапили в «мережу»?

Як GDPR може впливати на бізнес?

Впровадження принципу екстериторіальності (Розширення територіального охоплення).

Можливо, найзначніша зміна торкнулася розширеної юрисдикції GDPR. Він застосовується до всіх компаній, які обробляють особисті дані відповідних суб'єктів, що проживають на території ЄС, незалежно від місця розташування компаній.

Раніше це питання було врегульоване неоднозначно, що спричинило безліч судових розглядів.

GDPR ж чітко розтлумачує де і як його можна застосовувати:

• при обробці контролерами і процесорами персональних даних в ЄС, незалежно від того, чи відбувається обробка в межах Союзу;
• при обробці персональних даних контролерами або процесорами у випадках, якщо діяльність підприємств пов'язана з пропозицією товарів або послуг громадянам Об'єднаної Європи, незалежно від того, чи потрібно за них оплата.

Важливо! Якщо підприємство перебуває за межами Євросоюзу, але збирається обробляти дані громадян ЄС, воно повинно призначити власного представника в ЄС.

Нові штрафи і санкції.

Організації, які порушують GDPR, можуть бути оштрафовані на суму до 4% від глобального річного обороту або 20 мільйонів євро (в залежності від того, яка сума буде більшою).

Це максимально можливий розмір стягнення за найсерйозніші порушення, такі як:

• надання згоди на обробку даних замість Клієнта;
• порушення загальних принципів передачі даних третім країнам, міжнародним організаціям.

У разі, якщо компанія не веде свої записи в процесі обробки даних в установленому Регламентом порядку, вона може бути оштрафована на 2% від обороту.

Авторизація.

Розширилися умови надання згоди на обробку персональних даних:

• Компанії не мають права використовувати довгі нерозбірливі положення, набиті юридичною термінологією.
• Запит про згоду повинен пропонуватися в зрозумілій формі, що легко сприймається.
• Саме питання про згоду повинно ставитися чітко і виділятися серед інших питань, використовуючи чіткі формулювання.
• Відкликати згоду має бути так само легко, як і дати її спочатку.

Наша послуга: Захист персональних даних на підприємстві відповідно до вимог законодавства

Права суб'єкта персональних даних

Фізособи, дані яких підлягають обробці, мають право:

• Дізнатися, якщо їх права порушуються. Згідно GDPR, розсилка повідомлень про порушення обов'язкова у всіх країнах-членах Євросоюзу, де порушення обробки даних може «стати приводом для утиску прав і свобод людини».

Це повинно бути зроблено протягом 72-х годин після того, як стало відомо про порушення. Обробники даних також зобов'язані повідомляти своїх клієнтів і контролерів, відразу після того, як їм стало відомо про злом бази анкетних даних.

• Право на забуття. Також відоме як "знищення даних", дає фізособі право на те, щоб контролер видалив його / її особисті дані, припинив подальше поширення даних і потенційно міг зупинити обробку даних третіми особами.
• Мати безперешкодний доступ до інформації. Фізособи мають право дізнатися, чи обробляються належні їм персональні дані. Якщо так, то потрібно вказати, де і з якою метою це буде здійснюватися.

Крім того, контролер повинен безкоштовно надати копію особистих даних в електронному форматі за відповідним запитом.

• Право на конфіденційність. GDPR закликає контролерів зберігати і розглядати виключно ті дані, які є необхідними для виконання їх обов'язків (мінімізація даних), а також, виходячи з можливостей, обмежувати доступ до персональних даних для тих, хто займається обробкою.

Про що потрібно пам'ятати в зв'язку з введенням GDPR?

Загальний регламент зобов'язує будь-який бізнес, який буде проводити обробку персональних даних:

• Підготувати специфічне Положення про захист персональних даних, які можуть опинитися у власника бази подібних даних.
• Підготувати форми для повідомлення фізосіб про те, що їх дані будуть оброблені і форми їх згоди.
• Підготувати різного роду договори, які сприятимуть захисту даних і правильному функціонуванню бази даних тощо

Наша компанія може допомогти Вам з розробкою повного комплекту документів, необхідних для дотримання GDPR.

Якщо Ви хочете дізнатися більше про те, що таке GDPR і як убезпечити свій бізнес під час його виконання - зателефонуйте нам!