logo-image
Бізнес та персональні дані. GDPR для українських компаній
Автор: Олена Кожокар
Джерело: Юрист і Закон, 18 жовтня 2018 року
Завантажити

GDPR - нормативний акт Європейського союзу, що регламентує захист персональних даних громадян та резидентів ЄС. GDPR визначає персональні дані як інформацію за допомогою якої особу можна ідентифікувати прямо через її ім’я, фото або опосередковано через координати місцезнаходження, ІР-адресу, МАС-адресу, файли-cookies або іншу комбінацію даних.

Будь-яка компанія підпадає під дію Регламенту, якщо вона здійснює опрацювання персональних даних в зв’язку з (а) постачанням товарів чи наданням послуг громадянам ЄС або (б) займається моніторингом їх поведінки. Це означає, що GDPR може застосовуватися до компаній, які розташовані та здійснюють свою діяльність не тільки на території ЄС, а й поза його межами, зокрема в Україні.

Принципи обробки

GDPR вимагає від компаній:

-          збирати персональні дані лише для визначених, чітких і законних цілей і в подальшому не обробляти їх, якщо ціль обробки змінилася;

-          застосовувати принцип мінімізації даних, тобто збирати дані у кількості, достатній для виконання цілі;

-          забезпечувати точність та актуальність даних, а також вживати заходів для того, щоб неточні персональні дані, зважаючи на цілі опрацювання, були стерті чи виправлені без затримки;

-          зберігати дані не довше, ніж це є необхідним для цілей їх обробки;

-          обробляти дані в спосіб, що забезпечує належну безпеку персональних даних, у тому числі, захист проти несанкціонованого чи незаконного опрацювання та проти ненавмисної втрати, знищення чи завдання шкоди.

Законність обробки

Обов’язковою передумовою для роботи із даними є згода особи. Згода повинна надаватися шляхом чіткого ствердження та погодження на обробку персональної інформації, у формі письмової або усної заяви. Часто компанії, які мають намір обробляти персональні дані осіб, вдаються до хитрощів та автоматично проставляють позначки «Погоджуюсь на обробку персональних даних» -  GDPR забороняє будь-яке мовчазне або автоматичне надання згоди. Визнається лише самостійне заповнення особою клітинки позначкою під час відвідування веб-сайту в мережі Інтернет або інша поведінка, що чітко вказує на погодження особи із запропонованою обробкою персональних даних. 

Безпека обробки

Компанії повинні вживати необхідних технічних та організаційних заходів для забезпечення належного рівня безпеки даних, зокрема:

-          використовувати псевдоніми, знеособлення та шифрування персональних даних,

-          забезпечувати безперервну конфіденційність, цілісність та стійкість систем та послуг обробки, включаючи встановлення та підтримку резервних систем для забезпечення постійної та своєчасної доступності персональних даних,

-          бути здатними вчасно відновити доступ до персональних даних на випадок технічної аварії,

-          здійснювати перевірку існуючих згод на обробку персональних даних на відповідність вимогам GDPR та, за необхідності, поновлювати та повторно отримувати такі згоди,

-          надавати особам копії їх персональних даних на вимогу,

-          надавати дозвіл особам стежити за обробкою їх персональних даних,

-          регулярно проводити оцінку та аналіз результативності таких заходів безпеки.

Офіцер із захисту даних

Необхідність призначення офіцера із захисту даних пов’язана зі специфікою та обсягом даних, що збираються та обробляються. Якщо ціль вимагає «регулярного, систематичного і широкомасштабного моніторингу персональних даних», то вам потрібен такий офіцер.

Цікавим є те, що група компаній може призначити єдиного офіцера з захисту даних, за умови що він є завжди безперешкодно доступним для кожної компанії.

Завданнями офіцера є інформувати та надавати рекомендації компанії щодо їх обов’язків відповідно до Регламенту, на запит надавати рекомендації щодо оцінювання впливу на захист даних і здійснювати моніторинг його проведення, а також бути ключовим контактом для співпраці із наглядовим органом.

Штраф

У разі встановлення порушення обробки персональних даних, до компанії застосовуватиметься штраф у розмірі до 4% загального річного обороту або що дорівнюватиме 20 млн. євро (застосовується більша сума штрафу). Штраф повинен бути «пропорційним» , а це означає, що якщо ви зможете довести, що політики та заходи безпеки розроблені таким чином, щоб відповідати правилам GDPR, але ви все ще їх порушуєте, покарання навряд чи буде занадто суворим.