«Захист персональних даних: зміни в Україні після ухвалення GDPR (General data protection regulation – Загальний регламент по захисту даних)»
GDPR – нові правила обробки персональных даних у Європі, що стосуються України.
Комітет з інформаційно-комп‘ютерних технологій СУП організував семінар про нововведення які пропонує GDPR (Загальний регламент із захисту даних) і як його імплементація відбуватиметься в Україні за участі Першого заступника Голови Союзу юристів України К.Коваль. У заході прийняв участь Олексій Мервінський, екс-голова Державної служби із захисту персональних даних.
У травні 2018 Європа перейшла на оновлені правила обробки персональних даних, встановлені Загальним регламентом по захисту даних (Регламент ЕС 2016/679 від 27 квітня 2016 р. чи GDPR — General Data Protection Regulation).
Нові правила вступають в силу 25 травня. Цей регламент чинний в усіх 28 країнах ЄС. Він змінить Директиву про захист персональних даних 95/46/ЕС від 24 жовтня 1995 року. Важливим нюансом GDPR є естериторіальний принцип: тобто в Україні вони також будуть діяти. Новий регламент дає резидентам ЄС інструменти для повного контролю над своїми персональними даними. З травня 2018 року відповідальність за порушення правил обробки персональних даних буде більш суворою: штрафи сягатимуть 20 мільйонів євро.
У зоні дії GDPR усі компанії, що мають справу з обробкою персональних даних, незалежно від локалізації. У нових правилах використовується поняття моніторингу поведінки суб’єктів даних. Завдяки цьому під дією GDPR опиняються також організації, створені за межами ЄС, якщо вони контролюють поведінку жителів ЄС (тією мірою, у якій така поведінка має місце в ЄС).
Що є персональними даними в GDPR?
Персональні дані – це будь-яка інформація, що має стосунок до того, хто ідентифікує, чи до ідентифікованого cуб’єкта даних; за такою інформацією прямо чи опосередковано можна визначити даного суб’єкта. До такої інформації, у тому числі, належать дані про місцезнаходження, онлайн ідентифікатор чи кілька факторів, характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної ідентичності цієї фізичної особи. Тобто, навіть IP-адреси також можуть бути персональными даними.
Особлива категорія даних – конфіденційні. Це інформація, що стосується расового чи етнічного походження, політичних поглядів, релігійних чи філософських переконань та членство у профспілках. Крім того, до цієї групи належать генетичні, біометричні дані, інформація про стан здоров’я, сексуальне життя та орієнтацію.
6 принципів обробки даних по GDPR
1) Законність, справедливість та прозорість. Будь-яку інформацію про цілі, методи та об’єми обробки персональних даних належить пояснювати максимально доступно.
2) Обмежені цілі. Дані мають бути зібрати виключно в межах тих цілей, про які заявлено компанією.
3) Мінімізації даних. Неможна збирати дані більше, ніж необхідно для цілей обробки.
4) Точність. Особисті дані, які є неточними, мають бути видалені чи виправлені (за потребою користувача).
5) Обмеження зберігання. Особисті дані мають зберігатися у формі, яка дозволяє ідентифікувати суб’єкти даних на строк не більше, ніж це необхідно для цілей обробки.
6) Цілісність та конфіденційність. При обробці даних користувачів компанії мають забезпечити захист даних від незаконної аб несанкціонованої обробки, знищення або пошкодження.
Основні вимоги по GDPR
1. Сповіщення про випадки порушення GDPR. Компанії зобов’язані повідомити регулятивні органи про будь-які порушення, пов’язані з персональними даними протягом 72 годин після ідентифікацї порушення.
2. Права суб’єкта даних (фізичної особи). Європейські користувачі тепер матимуть значно більше прав щодо запитів про обробку своїх даних. Більше того, користувач має право вимагати припинення обработки своих данных, а також право на забуття (right to erasure, right to be forgotten), що вже існує у Директиві.
3. Право на перенесення данних (right to data portability). Це право полягає у тому, що компанії зовоб’язані надавати безкоштовну електронну копію персональних даних іншої компанії за вимогою самого суб’єкта персональних даних.
4. Згода на обробку. GDPR встановлює нові високі вимоги до форми отримання згоди на обробку даних. Інформація про порядок відгуку згоди на обробку має бути розміщена так, щоб користувач легко міг її знайти.
5. Особливий захист дітей. Дитячі дані будуть особливо захищені: віковий поріг для батьківської авторизаціїї встановлюється державами-членами ЄС (від 13 до 16 років).
6. Призначення відповідального за захист персональних даних. Ця вимога для компаній, що здійснюють регулярні і систематичні масштабні спостереження, моніторинг, тощо.
Що робити?
GDPR – один із наважливіших законодавчих документів, що якісно підвищує рівень захисту персональних даних у ЄС та за його межами. Реформа прояснює та систематизує правила для захисту даних. Це дозволить бізнесу встановити новий рівень довіри на єдиному цифровому ринку.
Якщо Україна прагне бути у спільності ЄС, то має вступити до зони дії нового європейського регламенту про захист даних і привести їх у відповідність до нових правил GDPR. Важливо переглянути політику конфіденційності і положення про обробку персональних даних (Terms of use) своїх сайтів та онлайн-сервісів, орієнтованих на європейських користувачів. Це вимагає зміни внутрішніх політик захисту даних, навчання персоналу, нових підходів до документацій.
Новий підхід до безпеки дає змогу вийти на єдине поле жорстких правил обробки даних. Крім того, реформа спрямована на стимулювання економічного зростання шляхом зменшення витрат і скорочення бюрократичних процесів для компаній, що працюють в ЄС: одне правило замість 28 – завжди зручніше.
