Захист персональних даних за правилами GDPR

experthrcenter

Кілька останніх років абревіатура GDPR стала однією з найобговорюваніших, як у країнах Європейського Союзу, так і поза його межами. Мова йде про Загальний регламент захисту даних (далі в тексті — GDPR/Регламент), який був прийнятий у травні 2018 року та став одним із найжорстокіших законів у сфері захисту приватності людини за останні 20 років.

Нещодавно на лекції в мене запитали: що таке персональні дані згідно GDPR, які нові вимоги захисту даних у новому законодавстві ЄС та чи можуть вони застосовуватися до українських володільців даних?

Такі питання лунають усе частіше. І тому я підготувала кілька роз’яснень, які дають змогу побачити персональні дані в більш ширшому контексті та замислитися про можливості захисту.

Для початку — що таке персональні дані згідно GDPR?

GDPR визначає «персональні дані» як будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»). На перший погляд, формулювання видається простим, проте на практиці часто потребує роз’яснення. Для зручності сприйняття розділимо його на змістовні блоки:

I.«Будь-яка інформація». Персональними даними можуть вважатися будь-які відомості про людину, що відображають її фізичну, фізіологічну, генетичну, економічну, соціальну або культурну ідентичність. Вони діляться на дві категорії: загальні та особливі (чутливі).

Персональні дані можуть бути виражені у формі:

цифр (ідентифікаційний код, номер телефону);
фото (зображення людини);
відео;
звуку (голос).

Також до персональних даних належать онлайн ідентифікатори: IP-адреси, коди і т. д.

II.«Що стосується фізичної особи». Будь-яка інформація повинна мати прямий або непрямий зв’язок із конкретною фізичною особою. Наприклад, зображення людини може дати змогу прямо її ідентифікувати. Проте отримання про неї додаткової інформації через зареєстрований номерний знак автомобіля — це вже буде непряма ідентифікація.

Які вимоги GDPR?

GDPR визначає нові європейські стандарти у сфері приватності людини, який замінив рамкову Директиву про захист персональних даних 95/46/ЄС від 1995 року. Він спрямований на те, щоб у людини було більше законодавчих інструментів здійснювати контроль над власними даними.

Наприклад, серед нових вимог:

1.Отримання згоди. Відтепер від компаній вимагається не використовувати довгі незрозумілі тексти з умовами обробки персональних даних. Запит на отримання згоди на передавання персональних даних мусить бути представлений у зрозумілій і доступній формі. Відкликати згоду має бути так само легко, як її надати.

2.Права суб’єктів даних. GDPR значно розширив права осіб, чиї дані обробляються. Вони можуть отримувати інформацію про те, які саме дані збираються, з якою метою, де зберігаються, якими є процедури передавання третім особам. А також, мають право вимагати видалити або припинити поширювати інформацію. Це ще називають «право бути забутим» (стаття 17 Регламенту).

3.Захист даних дитини. У пункті 38 вступної частини Регламенту визначено, що діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Згода надається батьками (або законними представниками). Віковий поріг встановлюється державами-членами ЄС окремо (від 13 до 16 років).

4.Політики конфіденційності. Відтепер існує законодавча вимога розробляти політики конфіденційності даних ще до того, як розпочнеться процес обробки.

5.Відповідальність. Сума штрафу за порушення норм GDPR може становити до 4 % річного обороту або 20 мільйонів євро. Регламент вплинув на процес обробки даних не тільки в державних органах та в бізнес-середовищі, але й у сфері приватних стосунків.

6.Повідомлення про порушення впродовж 72 годин. У разі виникнення інциденту щодо порушення безпеки персональних даних володільці даних зобов’язані повідомити про це контролюючий орган, а також довести до відома суб’єктів, чиї дані обробляються.

7.Оцінка ризиків. Якщо тип опрацювання даних, зокрема, з використанням нових технологій, може призвести до виникнення високого ризику для прав і свобод фізичних осіб, контролер (фізична чи юридична особу, орган публічної влади, що визначає цілі та засоби опрацювання даних) повинен провести оцінювання ризиків до початку обробки персональних даних (стаття 35 Регламенту).

8.Відповідальні особи за обробку даних. Компанії/організації, чия основна діяльність пов’язана з обробкою даних, мусять призначати відповідальну особу (Data protection officer — DPO).

Коли необхідні DPO?
Коли (a) Державні органи, (b) організації здійснюють великомасштабний систематичний моніторинг,
Коли (c) організації працюють над великомасштабною обробкою даних (стаття 37 Регламенту).

Територіальна сфера застосування GDPR

Норми GDPR можуть бути застосовані не тільки до суб’єктів, що перебувають на території ЄС, як це було раніше, відповідно до вимог Директиви 95/46/ЄС, але й до тих суб’єктів, що перебувають в інших країнах світу (стаття 3 Регламенту). Також важливо зазначити, що на території ЄС автоматично кожен має право на захист своїх даних по GDPR незалежно від громадянства.

У яких випадках вимоги GDPR поширюються на українських володільців даних?

Наразі однозначної відповіді на це питання немає, оскільки є низка критеріїв, що визначають його юрисдикцію. Тому в кожному випадку діяльність суб’єкта має бути детально проаналізована.

НАПРИКЛАД, організація/компанія (володілець даних):

зареєстрована на території ЄС і в межах своєї діяльності здійснює обробку персональних даних;
зареєстрована в Україні, але товари/послуги пропонує громадянам, що мешкають у ЄС;
в організації працюють громадяни ЄС;
організація проводить маркетингові та інші дослідження стосовно громадян із ЄС.

Якщо хоча б один із перелічених критеріїв підходить до діяльності, тоді володілець даних у межах міжнародного права зобов’язаний діяти відповідно до норм Регламенту.

Останнім часом в Україні тривають дискусії щодо необхідності реформ у сфері захисту персональних даних. Ще у 2014 році наша держава взяла на себе зобов’язання в рамках Угоди про асоціацію з ЄС забезпечити належний рівень захисту персональних даних відповідно до найвищих міжнародних стандартів, документів Ради Європи (стаття 15 Угоди). Заради цього, крім удосконалення законодавства, потрібно працювати над розбудовою системи контролю та спроможності всіх суб’єктів забезпечувати захист даних.
Наприклад, перед прийняттям GDPR країни ЄС приділили багато зусиль для того, щоб населення, державні органи, муніципалітети та бізнес-спільноти розуміли норми нового законодавства, які регулюють обробку даних, кібербезпеку та електронну комунікацію, знали практичні аспекти впровадження та ризики, пов’язані з невиконанням цих положень.

Авторка: Уляна Шадська, експертка з інформаційного права ГО “Експертний центр з прав людини”

#dataprotection #GDPR