GDPR: захист персональних даних по-європейськи і чому це важливо?

09.05.2023

GDPR – Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних; про відміну Директиви 95/46/ЄС (GDPR набрав чинності 25 травня 2018 року).

  • Предметом регулювання є персональні дані.
  • Акт є екстериторіальним.
  • Не застосовується до обробки персональних даних у таких випадках: фізичною особою при задоволенні особистих чи побутових потреб; компетентними органами з метою запобігання, розслідування, виявлення або переслідування за скоєння кримінальних злочинів або для виконання кримінальних покарань, у тому числі для захисту від загроз громадській безпеці або запобігання таким загрозам.

Коли компанія за межами ЄС повинна дотримуватися вимог GDPR?

На контролерів та процесорів за межами ЄС вимоги GDPR поширюються при обробці персональних даних суб’єктів даних, що перебувають в ЄС (а також в Норвегії, Ісландії, Ліхтенштейні), та якщо:

  • компанія здійснює діяльність на території ЄС або для осіб, які перебувають на території ЄС; або
  • компанія здійснює моніторинг поведінки суб’єктів даних у межах ЄС; або
  • компанія має доступ до персональних даних суб’єктів даних, які знаходяться в ЄС і виконують трудові функції.

Критерії, які допоможуть контролюючим органам визначити, чи пропонуєте ви товари/послуги фізичним особам, які мешкають на території ЄС:

  • Мова, якою доступний Ваш сайт – хоча б одна офіційна мова ЄС.
  • Реєстрація домену сайту компанії в ЄС.
  • Можливість оплати товарів/послуг у валюті євро.
  • Доставка товарів/послуг доступна хоча б в одну з країн ЄС.
  • На сайті розміщені посилання на клієнтів або користувачів, які перебувають у ЄС.

Персональні дані та їх обробка

Персональні дані – це будь-яка інформація, що стосується ідентифікованої фізичної особи (суб’єкта даних) або особи, яку можна ідентифікувати, і за якою таку особу можна визначити прямо чи опосередковано. Персональні дані поділяються на спеціальні (чутливі) та загальні.

Основні вимоги GDPR:

  1. Дотримуватися принципів обробки персональних даних
  2. Персональні дані слід обробляти прозоро, справедливо та законно (Lawfulness, fairness and transparency).
  3. Персональні дані можна обробляти лише для явно вказаних законних цілей (Purpose limitation).
  4. Збирати та зберігати слід лише мінімальну кількість персональних даних, достатніх для зазначеної мети (Data minimisation).
  5. Персональні дані мають обмежений термін зберігання, не більше ніж це необхідно для певної мети (Storage limitation).
  6. Забезпечення точності персональних даних, а також можливості їх редагування та видалення (Accuracy).
  7. Забезпечення безпеки, цілісності та конфіденційності персональних даних (Integrity and confidentiality).
  8. Контролер повинен бути готовим і здатним продемонструвати дотримання вищезазначених  принципів (Accountability).
  9. Реалізовувати права суб’єктів даних

Суб’єкти даних мають такі права:

  • Право бути поінформованим (ст.ст. 13, 14).
  • Право на доступ (ст. 15).
  • Право на виправлення даних (ст. 16).
  • Право на видалення (ст. 17).
  • Право на обмеження обробки (ст. 18).
  • Право на мобільність даних (ст. 20).
  • Право на заперечення (ст. 21).
  • Право не бути об’єктом автоматизованого рішення, у тому числі профайлінгу (ст. 22).
  • Розробити та опублікувати Політику приватності (Privacy Policy), Політику використання файлів cookie (Cookie Policy)

Політики розміщуються в доступних суб’єктам персональних даних місцях, зокрема на веб-сайті компанії. Вони мають бути короткими, написаними зрозумілою та простою мовою. GDPR вимагає, щоб компанії надавали людям інформацію про обробку та захист даних під час отримання від них персональних даних.

  • Створити та оновлювати облікові записи про обробку персональних даних (records of processing activities)

В облікових записах Контролера даних та його представника в ЄС (за потреби) необхідно відобразити:

  • Найменування та контактні дані контролерів, його представників в ЄС та DPO (за потреби).
  • Мета обробки.
  • Опис категорій суб’єктів даних та склад оброблюваних персональних даних.
  • Категорії одержувачів, яким дані передавалися або будуть передаватися (включаючи транскордонну передачу).
  • За потреби передачі персональних даних в треті країни або міжнародні організації, ідентифікацію такої третьої країни або міжнародної організації.
  • Термін зберігання персональних даних.
  • Загальний опис технічних та організаційних заходів захисту персональних даних.

Процесор даних та, за необхідності, представник процесора в ЄС повинні вести облікові записи всіх категорій обробки, які здійснюють від імені контролера, та які містять таку інформацію:

  • Найменування та контактні дані процесора та кожного контролера, від імені якого діє процесор, і, при необхідності, представника контролера або представника процесора в ЄС та DPO (за потреби).
  • Категорії обробки, які здійснюються від імені кожного контролера.
  • За потреби передачі персональних даних в треті країни або міжнародні організації, ідентифікацію такої третьої країни або міжнародної організації.
  • Загальний опис технічних та організаційних заходів захисту персональних даних.
  • Призначити представника з питань захисту персональних даних в ЄС

Відповідно до ст. 27 GDPR компанії, не засновані в ЄС (як контролери, так і процесори), але на які поширюється дія Регламенту, повинні призначити свого представника у випадку:

  • якщо вони обробляють персональні дані спеціальних категорій у великих масштабах;
  • якщо є ймовірність ризику для прав і свобод фізичних осіб, враховуючи специфіку, масштаб та мету опрацювання;
  • якщо вони при цьому не є органами, установами державної влади.

Представника в ЄС необхідно призначати на підставі письмового доручення (мандата) контролера/процесора діяти від його імені у контексті його зобов’язань за Регламентом. Таке доручення може бути частиною договору надання послуг.

  • Призначити особу, відповідальну за обробку та захист даних (Data Protection Officer):

Усі компанії, які обробляють персональні дані осіб та перебувають на території ЄС, повинні мати особу в організації, якій буде доручено слідкувати за дотриманням GDPR.

Найм працівника, який буде займатися захистом даних потрібно лише, якщо компанія відповідає одному з трьох критеріїв:

  • обробка персональних даних здійснюється державним органом, крім судових органів;
  • обробка персональних даних у великих масштабах є основним видом діяльності компанії, яка регулярно і систематично займається моніторингом суб’єктів даних;
  • обробка спеціальних (чутливих) категорій персональних даних у великих масштабах є частиною основної діяльності компанії.

Транскордонна передача або обмежений переклад

Ст. 2 (1) Додаткового протоколу до Конвенції Ради Європи 108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних визначає транскордонний обмін персональними даними як передачу персональних даних одержувачу, який перебуває під іноземною юрисдикцією.

GDPR закріпив обмеження на експорт персональних даних за межі ЄС, але в тексті GDPR не зустрічається такий термін як транскордонна передача персональних даних.

GDPR використовує словосполучення «передача персональних даних у третю країну або міжнародну організацію», маючи на увазі експорт персональних даних за межі ЄС. При цьому така передача можлива за дотримання Глави V GDPR.

Факти про cookie:

Кукі (cookie) – невеликий фрагмент даних, надісланий веб-сервером, який зберігається на комп’ютері користувача. Використовується для збереження даних на стороні користувача.

Зазвичай на практиці використовується для: аутентифікації користувача, визначення і збереження персональних переваг та налаштувань користувача, відстеження стану сеансу доступу, збирання статистики про користувачів.

За рахунок cookies та аналогічних технологій відстеження працює близько 95% веб-аналітики та контекстної реклами.

Cookie легко перехопити та підмінити, якщо користувач використовує нешифроване з’єднання з сервером. У групі ризику знаходяться користувачі, які виходять в Інтернет за допомогою публічних точок доступу Wi-Fi.

Види cookie

Класифікація заснована на керівництві Міжнародної торгової палати щодо файлів cookie:

  • Строго необхідні cookie (Strictly necessary cookies) – файли cookie для правильної роботи сайту.
  • Cookie продуктивності (Performance cookies) – файли cookie для збору даних аналітики по роботі сайту та підвищення його продуктивності (підрахунок відвідувань сторінки, час очікування, швидкість завантаження сторінки).
  • Функціональні cookie (Functionality cookies) – файли cookie для поліпшення користувальницького досвіду відвідувачів сайту (дозволяють веб-сайту запам’ятовувати зроблений користувачем вибір).
  • Маркетингові cookie (Targeted advertising cookies) – файли cookie для персоналізації інформації відповідно до інтересів користувача.

Вимоги до згоди

«Згода» суб’єкта даних означає будь-яку вільно дану, конкретну, поінформовану та недвозначну вказівку на побажання такого суб’єкта, через заяву або чітку позитивну дію, яка і означає згоду на обробку даних (ст. 4 (11) GDPR).

У статті 7 GDPR міститься додаткова інформація про вимоги до згоди:

  • потрібно мати можливість продемонструвати, що у вас наявна дійсна згода;
  • запит на згоду повинен бути «цільовим» і «чітко відрізнятися від інших питань», тобто одна згода не повинна бути об’єднана з умовою надання послуг/сервісу та використовуватись для інших цілей;
  • запити про згоду повинні бути у зрозумілій та легко доступній формі, з використанням ясної та простої мови;
  • механізм згоди повинен дозволяти людині легко відкликати свою згоду будь-коли.

Право суб’єктів даних на захист

Кожен суб’єкт даних має право на подання скарги до контролюючого органу, без обмеження будь-якого іншого адміністративного чи судового засобу правового захисту. Суб’єкт даних має право безпосередньо звернутися до суду для захисту своїх прав та інтересів.

Відповідно до ст. 82 GDPR будь-яка особа, яка зазнала матеріальної чи моральної шкоди внаслідок порушення Регламенту, має право на отримання відшкодування від контролера або процесора за заподіяну шкоду.

Адміністративні штрафи за порушення вимог GDPR:

  • до 10 млн. євро або 2% від світового річного обороту (залежно що більше) за незначні порушення;
  • до 20 млн. євро або 4% від світового річного обороту (залежно що більше) за серйозні порушення, до яких належать порушення контролером та процесором.

Якщо у вас є питання по цій темі, готові надати вам консультацію. За детальною інформацією звертайтесь за контактами зазначеними нижче.

З повагою,

команда Crowe Mikhailenko

+38 063 466 8242

Marketing_crowe_legal@crowe.com.ua

Поділіться посиланням

Share On Facebook
Share On Linkedin
Share On Telegram
Copy URL

ІншіНовини

Зв'яжіться з нами - Contact Us
Графік роботи
Будні дні - 10:00 - 18:00
Субота - Вихідний
Неділя - Вихідний