• Главная
  • Карта сайта
Не найдено

Обробка персональних даних за європейськими правилами (аналіз General Data Protection Regulation)

General Data Protection Regulation   1   є новим Регламентом Європейського союзу в області обробки персональних даних, який буде застосовуватися вже зовсім скоро, з 25 General Data Protection Regulation 1 є новим Регламентом Європейського союзу в області обробки персональних даних, який буде застосовуватися вже зовсім скоро, з 25.05.2018 р На перший погляд, виникає питання яким чином нормативно-правовий акт або Європейське Співтовариство бути настільки цікавим для українських компаній? Однак, незважаючи на те, що територіальна сфера дії Регламенту GDPR обмежується межами країн - учасниць Європейського Союзу, в певних випадках дію Регламенту GDPR поширюється і на суб'єктів за межами Європейського Союзу.

В першу чергу, Регламент GDPR торкнеться українських компаній, які мають постійну присутність в ЄС, наприклад, через засновані філії та представництва. Будь-яка передача персональних даних резидентів ЄС відокремленим підрозділом в материнську українську компанію і подальша обробка останньої отриманих персональних даних повинна буде здійснюватися в порядку, передбаченому Регламентом GDPR.

Обробка персональних даних фізичних осіб - резидентів ЄС в ході виконання договорів про співпрацю, господарських договорів та інших угод, укладених українською компанією з контрагентами з ЄС, в більшості випадках також підпадає під дію Регламенту GDPR.

Вимоги Регламенту GDPR поширюються також на українських суб'єктів господарювання, як на компанії, які не засновані в Євросоюзі, але обробні персональні дані знаходяться в Євросоюзі суб'єктів даних, якщо їх діяльність з обробки даних пов'язана з пропозицією товарів і послуг таким суб'єктам даних в Євросоюзі, незалежно від того, потрібно чи оплата від суб'єкта даних, або пов'язана з моніторингом діяльності суб'єктів даних остільки, оскільки вона здійснюється в Євросоюзі.

При цьому Регламент GDPR встановлює, що ознаками, які з очевидністю свідчать про намір пропонувати товари або послуги суб'єктам даних в Євросоюзі, є: використання мови або валюти, що зазвичай використовуються в одному або декількох державах-членах, з можливістю замовляти товари та послуги на цій мові ; згадка споживачів або користувачів, які знаходяться в Євросоюзі.

Під вищевказаний критерій підпадають українські компанії, які здійснюють обробку персональних даних громадян ЄС в ході пропозиції і / або надання їм послуг (платних або безкоштовних), реалізації товарів в мережі Інтернет, в разі якщо, наприклад, веб-сайт доступний на мові держави-члена ЄС і якщо передбачена можливість оплати в Євро.

Для того, щоб визначити, чи підпадає діяльність з обробки даних для цілей моніторингу дій суб'єкта даних, встановлюється факт того, чи здійснюють фізичні особи діяльність в інтернеті, в тому числі потенційну можливість послідовного використання технології обробки персональних даних, за допомогою яких здійснюється складання профілю фізичної особи , зокрема, для прийняття рішень щодо аналізу або прогнозування її / його особистих переваг, особливостей поведінки, а також личност их характеристик.

Таким чином, якщо ваша компанія відстежує за допомогою файлів cookie поведінку користувачів - резидентів ЄС на сайтах, для подальшої передачі інформації рекламним агентствам, аналітичним компаніям, дана діяльність повинна здійснюватися відповідно до вимог Регламенту GDPR.

Далі, враховуючи, що в Регламенті GDPR використовується інша термінологія, до якої не звикли українські компанії, важливо роз'яснити основні поняття:

Контролер (controller) - це фізична або юридична особа, державний орган, агентство або інший орган, який самостійно або спільно з іншими, визначає цілі і засоби обробки персональних даних.

Оброблювач (processor) - це фізична або юридична особа, державний орган, агентство або інший орган, який обробляє персональні дані від імені та за дорученням контролера.

Якщо проводити аналогію з Законом України «Про захист персональних даних», то контролер є власником персональних даних, а обробник - розпорядником персональних даних.

Персональні дані (personal data) - означають будь-яку інформацію, що стосується ідентифікованого або ідентифікованому фізичній особі (суб'єкт даних); яке дозволяє ідентифікувати вас фізична особа є особою, яка може бути ідентифікована прямо або побічно, зокрема, на основі ідентифікаційної інформації, такої як ім'я, ідентифікаційний номер, дані про місце розташування, ідентифікатор в інтернеті (онлайн - ідентифікатор) або за допомогою одного або декількох показників, характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності даного фізичної особи.

Як ми бачимо, Регламент GDPR вносить широке тлумачення персональних даних, до яких відносяться в тому числі IP-адреса і ідентифікатори пристроїв. Дані, які стосуються юридичних осіб, які не належать до персональних даних, однак, якщо назва компанії вказує на ім'я фізичної особи, яка ідентифікується, контактну адресу електронної пошти містить назву фізичної особи, то вищевказані дані відносяться до персональних даних, і підлягають обробці відповідно до вимог Регламенту GDPR.

З метою максимального захисту персональних даних, Регламент GDPR регулює транскордонну передачу даних за межі Євросоюзу, так як вона може піддати підвищеного ризику здатність фізичних осіб здійснювати права на захист своїх персональних даних. З метою максимального захисту прав суб'єктів персональних даних, Регламент GDPR покладає на контролерів і обробників, що не засновані в Євросоюзі, певні додаткові обов'язки.

Розглянемо деякі з них, а саме призначення представника в державі члені ЄС і призначення інспектора із захисту персональних даних.

Представник (representative) згідно з Регламентом GDPR - фізична або юридична особа, засноване в Союзі, яке в письмовій формі призначається контролером або обробником і являє контролера або обробника.

Представник повинен бути заснований в одній з держав-членів ЄС, в якому перебувають суб'єкти даних, персональні дані яких обробляються щодо пропонованих їм товарів і послуг або поведінкова активність яких знаходиться під наглядом.

Представник може не призначатися, зокрема, коли обробка носить випадковий характер, не включає в себе масштабну обробку конкретних категорій персональних даних, або обробка персональних даних, пов'язана з кримінальними вироками і правопорушеннями, або якщо контролер або обробник є органами або установами державної влади.

Представник повинен діяти від імені контролера або обробника і бути для будь-якого наглядового органу і суб'єкта даних контактним центром на території Європейського Союзу.

Якщо основна діяльність компанії полягає в обробці персональних даних, яка вимагає масштабного, регулярного і систематичного моніторингу суб'єктів даних, Регламент GDPR вимагає призначення інспектора із захисту персональних даних. Він може бути співробітником компанії або може працювати на базі договору про надання послуг. Інспектор повинен брати участь як у вирішенні компанією всіх питань, пов'язаних із захистом персональних даних, так і може консультувати суб'єктів персональних даних з питань здійснення їх прав відповідно до Регламенту GDPR. Високі знання законодавства і практики в галузі захисту персональних даних є основними вимогами до претендента на дану позицію.

Регламент GDPR чітко регламентує питання передачі персональних даних за межі ЄС, тобто в третю країну. Є кілька варіантів для законної передачі персональних даних, припустимо в Україні.

Варіант 1: Чинне рішення Європейської комісії про те, що третя країна забезпечує належний рівень захисту персональних даних.

Варіант 2: Одержувач персональних даних може підтвердити існування певних гарантій захисту персональних даних, а саме: документ між органами державної влади або урядовими установами; обов'язкові корпоративні правила, затверджені компетентним наглядовим органом; стандартні умови про захист даних, що прийняті Європейською Комісією; стандартні умови про захист даних, прийняті наглядовим органом і схвалені Європейською комісією; затверджений кодекс поведінки разом з обов'язковими і підлягають виконанню зобов'язань контролера або обробника в третій країні застосовувати відповідні гарантії, в тому числі щодо прав суб'єктів даних; затверджений механізм сертифікації разом з обов'язковими і підлягають виконанню зобов'язань контролера або обробника в третій країні застосовувати відповідні гарантії, в тому числі щодо прав суб'єктів даних.

Варіант 3: Якщо відсутня вказане у варіанті 1 і 2, передача повинна здійснювати тільки при дотриманні однієї з наступних умов:

  1. суб'єкт даних прямо погодився з пропонованою передачею після того, як був проінформований про можливі ризики таких передач для суб'єкта даних через відсутність рішення про достатність і відповідних гарантій;

  2. передача необхідна для виконання договору між суб'єктом даних і контролером або здійснення переддоговірних заходів, прийнятих за запитом суб'єкта даних;

  3. передача необхідна для укладення або для виконання договору, укладеного в інтересах суб'єкта даних між контролером і іншим фізичним або юридичною особою;

  4. передача необхідна з важливих причин в громадських інтересах;

  5. передача необхідна для встановлення, здійснення або захисту позовних вимог;

  6. передача необхідна для захисту життєво важливих інтересів суб'єкта даних або інших осіб, якщо суб'єкт даних фізично або юридично нездатний дати згоду.

І наостанок, ми не пропустимо найважливіше - відповідальність за недотримання положень Регламенту GDPR.

Наприклад, порушення обов'язку контролерів і обробників, що не заснованих в ЄС, за призначенням представника в Євросоюзі, а також обов'язки контролерів і обробників, а також їх представників, співпрацювати з наглядовими органами може мати наслідок в накладенні адміністративного штрафу в розмірі до 10 000 000 Євро або не більше 2% від загального річного обороту за попередній фінансовий рік, в залежності від того, яка сума більше.

За порушення основоположних принципів обробки персональних даних, порядку передачі персональних даних в третю країну - штраф у розмірі до 20 000 000 Євро або не більше 4% від загального річного обороту за попередній фінансовий рік, в залежності від того, яка сума більше.

Ухвалення вищевказаних заходів юридичного характеру покладено на компетентні наглядові органи Євросоюзу і держав-членів. Кожна держава-член ЄС зобов'язана призначити один або кілька незалежних державних органів відповідальним (і) за контроль за дотриманням Регламенту GDPR з метою захисту основних прав і свобод фізичних осіб щодо обробки та полегшення вільного обігу персональних даних в рамках ЄС ( «наглядовий орган») і повідомити про це Комісію до 25 травня 2018 р

Наглядовий орган здійснює повноваження на території його власної держави-члена, але у випадку з транскордонної передачі ПД, можуть між собою дуже тісно співпрацювати, в т.ч. і передавати розгляд справ.

На даному етапі можна припустити, що саме представник, призначений контролером або обробником, у відповідному державі- члені Євросоюзу, зобов'язаний буде взаємодіяти з національними наглядовими органами, в тому числі, і з питань розгляду скарги суб'єкта ПД. За ухилення від взаємодії, Регламентом передбачена відповідальність. При цьому, якщо компетентний орган держави-члена ЄС винесе рішення за результатом розгляду скарги суб'єкта персональних даних, питання його виконання на території України буде залежати від ряду правових механізмів.

Якщо ваша компанія працює на європейському ринку або обробляє персональні дані громадян ЄС, наша компанія допоможе Вам привести обробку персональних даних у відповідність до вимог Регламенту GDPR.

Актуальні послуги: актуальні замітки:

На перший погляд, виникає питання яким чином нормативно-правовий акт або Європейське Співтовариство бути настільки цікавим для українських компаній?
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью