Про новації Регламенту 2016/679 (General Data Protection Regulation – GDPR) та правове регулювання захисту персональних даних розповіла юрисконсульт Оксана Польова.
Мабуть, значна кількість українських компаній вже чули про Регламент 2016/679 Європейського Парламенту та Ради Європейського Союзу від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних, а також про скасування Директиви 95/46/ЄС (General Data Protection Regulation – GDPR). Регламент вже набув чинності (на 20-й день після опублікування в «Офіційному віснику Європейського Союзу»), однак кінцевою датою, з якої документ почне застосовуватися, згідно статті 99, є 25 травня 2018 року.
Регламент складається з Преамбули та 11 розділів. Преамбула включає 173 пункти, а розділи – 99 статей.
Положення Регламенту мають пряму дію та обов’язкові до застосування в усіх державах-членах ЄС в незмінному вигляді. Україна не належить до ЄС і на перший погляд, може здатись, що Регламент на компанії-нерезиденти ЄС не розповсюджується. Проте в статті 3 Регламенту йдеться про екстериторіальну дію документу, де зазначається, що він поширюється не лише на резидентів ЄС. Звідси випливає, що вимоги Регламенту розповсюджуються і на українські компанії, в таких випадках:
- компанії реалізують товари для фізичних осіб, які знаходяться на території ЄС, незалежно від того, чи є вони громадянами ЄС чи ні, а також незалежно від того на платній чи безоплатній основі такі дії здійснюються, пункт 23 Преамбули;
- компанії, що здійснюють відслідковування та моніторинг поведінки фізичних осіб, які перебувають в межах ЄС, пункт 24 Преамбули.
Окрім цього, GDPR містить нові поняття «controller», «processor» і «Data Protection Officer». Проаналізуємо, що саме слід розуміти під цими поняттями.
Стаття 4 Регламенту визначає, що контролер ( controller) – фізична або юридична особа, орган державної влади, агенція чи інший орган, що самостійно або з іншими особами визначає, як і чому мають оброблятися дані; процесор (processor) – фізична або юридична особа, орган державної влади, агенція чи інший орган, що обробляє персональні дані від імені контролера. Контролери і процесори в рамках своїх програм звітності зобов’язані призначити інспектора із захисту даних (Data Protection Officer). Чіткого визначення даного поняття в тексті GDPR немає, але зі змісту Регламенту випливає, що інспектор із захисту даних – це особа, яку призначає контролер та/або процесор з метою забезпечення відповідності їхньої діяльності положенням Регламенту.
Інспектор із захисту даних обов’язково призначається в таких випадках:
– обробка даних здійснюється державним органом;
– основна діяльність контролера або процесора пов’язана з обробкою даних, яка за своїм охопленням, цілям і суттю, вимагає великомасштабного, регулярного і систематичного моніторингу суб’єктів даних;
– обробка спеціальної категорії даних, а також персональних даних, які стосуються засуджених в кримінальному процесі.
В інших випадках контролер або процесор, можуть, або якщо цього вимагає право ЄС або право держави-члена, призначити інспектора із захисту персональних даних.
Таким чином обов’язок щодо призначення інспектора зі захисту даних не стосується всіх суб’єктів, які здійснюють обробку персональних даних в межах ЄС.
Група компаній може призначити єдиного інспектора із захисту персональних даних, за умови забезпечення безперешкодного доступу до діяльності кожного члена групи.
Інспектор із захисту персональних даних повинен виконувати наступні завдання:
- інформувати і надавати поради контролеру або процесору, а також співробітникам, які здійснюють обробку даних, щодо їх обов’язків згідно Регламенту;
- здійснювати моніторинг дотримання положень Регламенту та інших положень ЄС або держави-члена про захист даних, і політики контролера або процесора щодо захисту персональних даних, в тому числі розподілу обов’язків, навчання персоналу, а також щодо аудиту;
- за необхідності надавати поради, щодо оцінки впливу на захист даних, а також здійснювати моніторинг їх виконання;
- співпрацювати з наглядовим органом;
- діяти в якості контактного центру для наглядового органу з питань, що належать до обробки даних.
Порушення вимог Регламенту може тягнути за собою відповідальність у вигляді штрафу до 10 млн євро або 2 % від річного світового обігу компанії.
Для того, щоб уникнути можливих ризиків і наслідків порушення норм Регламенту, компаніям потрібно своєчасно здійснити низку заходів. Необхідно проаналізувати операції з обробки даних на предмет добросовісності їх здійснення, а також переглянути існуючі форми повідомлення суб’єкта даних. Це пов’язано з тим що Регламент зобов’язує надавати суб’єкту даних детальну інформацію: про обробку даних в момент їх збору; мету обробки; права суб’єкта даних; термін зберігання даних, тощо. Потрібно розробити внутрішні регламенти, що визначатимуть політику компанії в сфері обробки персональних даних, включаючи призначення інспектора із захисту даних. Окрім цього, потрібно здійснити аудит, якщо в наявності є діючі договори з компаніями з ЄС на предмет правових підстав обробки, використання, зберігання персональних даних, так як контрагенти з ЄС можуть вимагати внести зміни до існуючих договорів з метою дотримання вимог GDPR. У зв’язку з цим слід вирішити питання: коли і як змінити (доповнити, скасувати) умови діючих договорів.
Наостанок, слід зазначити, що Регламент має на меті підвищити захист прав і свобод фізичних осіб, щодо діяльності компаній з обробки персональних даних. Положення Регламенту спрямовані забезпечувати дотримання правил захисту персональних даних та застосування санкцій за їх порушення в державах-членах. Правове регулювання захисту персональних даних отримало новий імпульс розвитку.