GDPR - нові правила обробки персональних даних

25 травня 2018 року GDPR вступає в силу, що створює неабияке підґрунтя для роздумів та обговорень. Останнім часом ми часто чуємо ці чотири літери з уст чи не кожного підприємця, який веде бізнес на території ЄС. Ще більше про це говорять, хіба що, юристи, які знаходяться в стані постійних пошуків швидкого та ефективного вирішення даного питання. Про те, що таке GDPR і як уникнути 5-ти годинного допиту в Конгресі США ми поговорили з експертами в питаннях приватності та захисту особистих даних Артемом Кобріним та Валентиною Кополович.

 

Чи стосується GDPR українських компаній?

 

GDPR (General data protection regulation) — це Загальний регламент захисту персональних даних, який буде регулювати збір, уніфікацію та використання персональних даних у країнах ЄС.

“Цей акт був прийнятий трохи більше, ніж два роки тому. GDPR, по великому рахунку, являється новими правилами щодо обробки персональних даних і його новелою є те, що він поширюється не тільки на країни ЄС, а і на компанії, які знаходяться в інших країнах” – зазначає Артем Кобрін.

Отже, на кого, все-таки, буде поширюватись GDPR?

Згідно територіального принципу поширення GDPR:

 

1. Застосовується до обробки персональних даних у контексті діяльності компанії (естаблішменту) контролера або процесора, заснованої в ЄС незалежно від того, чи проводиться така обробка персональних даних в ЄС чи ні. 

2. Застосовується до обробки персональних даних суб’єктів даних які перебувають у ЄС контролером або процесором, не зареєстрованим у ЄС, де обробка пов’язана з: 

  • пропонуванням товарів чи послуг, незалежно від того, чи вимагається оплата таким суб’єктам даних в ЄС або
  • моніторингом їх поведінки, коли їхня поведінка відбувається на території ЄС.

3. Застосовується до обробки персональних даних контролером, не заснованим в ЄС, але в місці, де законодавство країн-членів ЄС застосовується на підставі міжнародного публічного права. 

Не знаєте чи потрібен Вам GDPR?

Дайте відповідь на декілька простих запитань, щоб ми змогли Вам допомогти. 
Це займе менше 1 хвилини.
Хто такий контролер? Як зазначила Валентина Кополович, контролер – це той, хто збирає дані або визначає цілі та мету, для яких ці дані використовуються. Це може бути як компанія так і фізична особа (яка збирає базу даних своїх клієнтів).

 

Слід зазначити, що, незалежно від того, де проводить свою діяльність компанія, якщо вона заснована в ЄС, то правила GDPR до неї будуть застосовуватись однозначно. Наприклад, компанія заснована в Кіпрі, особи, що заснували компанію провадять свою діяльність в Україні з українськими контрагентами. Але, не зважаючи на те, що обробка персональних даних проводиться в офісах України, враховуючи місце заснування компанії, правила GDPR мають застосовуватись.

Досить цікавим і важливим є розуміння того, хто являється суб’єктом даних, що перебуває у ЄС. Суб’єктами даних, що перебувають в ЄС є не тільки громадяни країн Європейського союзу, а й просто особи, що фізично та на законних підставах перебувають на території ЄС (біженці, особи без громадянства чи громадяни інших країн, які тимчасово перебувають в ЄС).

Моніторинг поведінки – системний моніторинг місця перебування особи. Переважно, моніторинг проводять компанії, пов’язані з маркетингом чи електронною комерцією.

“Конкретного тлумачення даного поняття немає, тому дехто говорить, що під це поняття будуть підпадати всі сайти, але, на мою думку, GDPR не буде застосовуватись до всіх а буде складено якийсь певний список ознак, що характеризують контролера, який підпадає під цей пункт” – зазначає Артем Кобрін.

В більшій мірі, застосування GDPR буде доцільним у тому випадку, якщо компанія системно моніторить місцезнаходження особи, а не у випадках одноразового отримання геолокації користувача.

Третій пункт принципу поширення GDPR стосується виключних суб’єктів, таких як консульства чи посольства і до бізнесу в Україні, по факту, відношення не має.

Пам'ятайте - навіть ті компанії, в яких просто є співробітники в ЄС будуть підпадати під регулювання GDPR.

Чи має значення, де знаходиться сервер, на якому зберігаються дані, якщо фактично обробка даних здійснюється за межами ЄС?

 

“Якщо сервер, де зберігаються дані, знаходиться на території ЄС а компанія знаходиться не на території ЄС і обробляє дані осіб, які також не знаходяться на території ЄС і сервер не є «хмарою» то правила GDPR не будуть застосовуватись” – зазначає Валентина Кополович. 

Чи можуть бути застосовані санкції до українських компаній, які зареєстровані на території України, але здійснюють обробку персональних даних осіб (українців), які перебувають на території ЄС? 

Якщо особа знаходиться на території ЄС, то вона підпадає під дію GDPR і українська компанія буде контролером. 

Але, мова йде про одну людину, яка знаходиться на території ЄС – досить мала можливість, що хтось направить скаргу. Наприклад, є особа, яка часто подорожує і користується додатком певної компанії. Це не так критично для компанії, оскільки, досить мала ймовірність того, що хтось це проконтролює. Але, якщо додатком користуються 100 тисяч користувачів з України, які подорожують і «сидять» в ЄС – тоді, однозначно, компанія підпадає під дію GDPR і санкції будуть застосовуватись. 

Наскільки великі санкції і чи можна їх застосувати на території України по відношенню до громадян України? 

Штрафи – великі. Проте, до уваги беруться досить багато критеріїв, якими визначається сума штрафу. В GDPR є цілий список цих критеріїв, на основі яких визначатиметься сума штрафу. В Україні конкретного механізму застосування штрафів поки немає. Але, якщо громадянин України планує відкрити рахунок для бізнесу в банку ЄС і в базі даних є інформація про порушення ним GDPR, то йому цей рахунок просто не відкриють. 

Чи потрібрно взагалі GDPR в Україні? 

“Це досить складне питання. В нас вже є Закон України “Про захист персональних даних”, яким теж передбачаються штрафи. Але, в нашому суспільстві часто увагу звертають на збільшення санкцій і саме через величезні штрафи люди і “бояться” GDPR. Але, з іншого боку, якщо задуматись, ми живемо в прогресивному, інформаційному суспільстві де захист наших персональних даних має виконуватись на високому рівні, оскільки наші дані досить часто «продаються». Можливо, краще сконцентруватись на ключових компетенціях. Наприклад, компанія, яка відповідатиме регламенту, буде більш конкурентоспроможна та їй більше довірятимуть користувачі” – зауважує Валентина Кополович. 

GDPR – це новий етап в захисті персональних даних. Сучасний погляд на питання, якому приділялося недостатньо уваги, не зважаючи на стрімкий розвиток технологій. Тому, якщо Ви власник компанії, що веде справи в ЄС, чи на Вас поширюються певні ризики, описані в даній статті – слід потурбуватись про свій бізнес вже зараз. 

Розкажіть, що потрібно зробити

Передзвонимо протягом 15 хвилин

Опишіть завдання

Немає часу заповнювати форму? Зателефонуйте і розкажіть про завдання: +380 67 467 21 67