GDPR для громадських організацій України

General Data Protection Regulation (GDPR), або Загальний регламент про захист даних – це обов’язковий для застосування в усіх країнах-членах ЄС документ, що визначає вимоги до захисту персональних ...

john-schnobrich-520019-unsplash
GDPR для громадських організацій України

General Data Protection Regulation (GDPR), або Загальний регламент про захист даних – це обов’язковий для застосування в усіх країнах-членах ЄС документ, що визначає вимоги до захисту персональних даних громадян країн ЄС. Регламент надає кожному громадянину ЄС більший контроль над своїми особистими даними і визначає обов’язки та відповідальність компаній та організацій, що їх збирають, використовують чи іншим чином обробляють. Регламент був ухвалений ще у 2016 році і вступив у силу 26 травня 2018 року

Ключовою особливістю GDPR є впровадження принципу приватність «by design» і «by default». GDPR вимагає, щоб стандарти захисту персональних даних були вбудовані в технології і пропонувалися користувачам «за замовчуванням». 

Яка інформація відноситься до персональних даних?

Персональним даними, які підлягають захисту є будь-яка інформація, що  стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»). Відповідно до GDPR, ідентифікувати особу можна прямо чи опосередковано, зокрема, за такими ідентифікаторами –  як:

  •  ім’я
  •  ідентифікаційний номер
  • дані про місцеперебування
  • онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.

Класичним прикладом бази персональних даних для громадських організацій може бути, наприклад, база розсилки, яка включає імена та електронні адреси «підписників» чи іншу інформацію (мобільний телефон, дата народження, профіль у Фейсбук тощо). 

Водночас, навіть збирання лише е-мейл адрес (без ПІБ особи), якщо вони надалі використовуються для здійснення розсилок чи іншим чином в діяльності організації може потребувати дотримання окремих вимог регламенту (наприклад, отримання згоди). 

Чи поширюється дія GDPR на українські громадські організації?

За загальним правилом вимоги GDPR безпосередньо стосуються, в першу чергу, компаній, що зареєстровані в ЄС. Водночас, його дія також поширюється на компанії за межами ЄС, якщо вони здійснюють обробку персональних даних, у зв’язку з постачанням товарів чи наданням послуг на території ЄС або з моніторингом поведінки суб’єктів персональних даних на території ЄС (тобто, систематично збирають дані користувачів ЄС). 

В такому випадку компанія повинна визначити своїм представником, так по суті «контактною особою», компанію на території ЄС. 

Оскільки під «послугами» GDPR розуміється як оплатні, так і безкоштовні послуги – дія цього регламенту може поширюватись не лише на бізнес, але і на громадські організації, які не ведуть підприємницької діяльності.

Більше в детальному огляді Віти Володовської, юристка ГО «Лабораторія цифрової безпеки», на Європейському Просторі

 

 


Тематика публікації:            

Останні публікації цього розділу:

«Сексуальність: асексуальність, моногамія, поліаморія»: новий випуск просвітницького подкасту від «Феміністичної майстерні»

Медіаграмотність — це свобода: в Україні запустили комунікаційну кампанію з протидії дезінформації

Свобода слова і відповідальність: чи потрібні правила соцмережам?

Родичі бранців Кремля розповіли експертам Crimea Global про злочини РФ проти цивільних українців

«Як трагедія Голодомору резонує в сучасній війні»: науковці обговорили історію, пам’ять та виклики сьогодення

В Україні триває Європейський тиждень тестування на ВІЛ та вірусні гепатити: як потурбуватися про своє здоров’я