ЗАГАЛЬНИЙ РЕГЛАМЕНТ ЄС ЩОДО ЗАХИСТУ ДАНИХ: НАСТУПНІ КРОКИ ОРГАНІЗАЦІЙ ДЛЯ ЗАБЕЗПЕЧЕННЯ ВІДПОВІДНОСТІ

Прийнятий в результаті багаторічних дискусій Загальний Регламент про Захист Даних (далі – Регламент) набере чинності 25 травня 2018 року, замінивши собою діючу Директиву ЄС щодо захисту даних 95/46 / ЄС.

Мета Регламенту

На фоні бурхливого розвитку науково-технічного прогресу і стрімкого зростання цифрової економіки, європейські законодавці рішуче створюють нову віху в регулюванні захисту персональних даних: Регламент, який покликаний уніфікувати всі існуючі в європейських країнах норми щодо захисту персональних даних громадян ЄС і забезпечити їх надійний захист.

На кого поширюється дія Регламенту

Три категорії суб’єктів, на які поширюється Регламент:

  • Організації, засновані в ЄС. Регламент застосовується до організацій, заснованим в ЄС, які самостійно або спільно з іншими визначають цілі і засоби обробки персональних даних (контролер даних), або ж здійснюють обробку персональних даних від імені контролера (обробник)
  • Інші організації, які здійснюють обробку ПДн європейських громадян у зв’язку з реалізацією товарів або послуг. У коментарях до Регламенту роз’яснено, що пасивного доступу до сайту або контактних даних організації недостатньо. Необхідно, щоб організація прямо «передбачала» можливість реалізації товарів або послуг європейським громадянам. Наприклад, це може бути використання мови країни ЄС, в якій знаходиться цільова аудиторія організації, або шляхом прийняття платежів у відповідній валюті.
  • Інші організації, які здійснюють моніторинг поведінки європейських громадян. Під таким моніторингом пропонується розуміти «відстеження» поведінки суб’єктів персональних даних в мережі Інтернет, включаючи подальшу обробку даних для складання профілів, особливо для цілей прийняття рішень щодо таких суб’єктів, аналізу / прогнозування їхніх особистих уподобань, поведінки і відносини.

Глобальний характер Регламенту

Як вбачається в попередньому пункті, Регламент поширюється на компанії далеко за межами ЄС, діяльність з обробки персональних даних яких пов’язана з пропозицією товарів і послуг суб’єктам в ЄС або з моніторингом їх поведінки на території ЄС.

Крім того, Регламент може, в кінцевому підсумку, вплинути на закони про захист даних і в інших країнах, з огляду на багатоюрисдикційність більшості великих компаній.

Роль обробників даних

З вступом Регламенту в силу вперше з’являться прямі обов’язки і у обробників даних. Серед них такі:

– у разі необхідності призначити відповідального за захист даних “DPO” (обробка здійснюється держорганом; основна діяльність полягає в обробці, яка відповідно до цілей вимагає великомасштабного та систематичного моніторингу суб’єктів даних; здійснюється великомасштабна обробка спеціальних  категорій даних);

– призначити представника в ЄС (у разі, якщо компанія, що територіально не знаходиться в ЄС, здійснює обробку даних суб’єктів, які перебувають в ЄС);

– вести письмовий реєстр операцій з обробки ПДн, виконаних від імені та за дорученням кожного контролера.

Таким чином, в контексті Регламенту, на обробників даних поширюються такі ж самі правила і положення, що і на контролерів даних.

Персональні дані в контексті Регламенту

В контексті Регламенту, «персональні дані» (далі – ПДн) означають будь-яку інформацію щодо громадян ЄС, яка дозволяє ідентифікувати особу прямо або побічно, зокрема, за допомогою посилання на ідентифікатор, такий як ім’я, ідентифікаційний номер, дані про місце розташування, онлайн ідентифікатор, один або кілька факторів, специфічних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності даної фізичної особи. Таким чином, це можуть бути біометричні дані, медичні картки, а також реквізити карток соціального страхування та кредитних карт.

У преамбулі до Регламенту підкреслюється, що певні категорії онлайн даних можуть бути віднесені до персональних – онлайн ідентифікатори, ідентифікатори пристроїв, ідентифікатори файлів cookie та IP-адреси.

Санкції за недотримання положень Регламенту

Передбачається дві категорії штрафів в залежності від складу порушення:

Порушення наступних положень може спричинити накладення адміністративного штрафу у розмірі до 20 мільйонів євро, або до 4% від глобального обороту за попередній фінансовий рік, в залежності від того, що більше:

– основні принципи обробки ПДн, обробку спеціальних категорій ПДн, умови для згоди (статті 5, 6, 7 і 9 Регламенту);

– основні права суб’єктів даних, передбачені в статтях 12-22 Регламенту (право на виправлення, “право бути забутим”, повідомлення суб’єкта даних про виправлення або стирання ПДн, або обмеження обробки та ін.);

– транскордонна передача даних в «треті країни» (тобто за межі ЄС) і в міжнародні організації (правила встановлені в статтях 44-49 Регламенту);

– зобов’язання за законами держав-членів, прийняті відповідно до Глави IX Регламенту; недотримання порядку, встановленого наглядовими органами або недотримання в рамках розслідування наглядового органу відповідно до статті 58 (1) Регламенту.

Недотримання розпорядження контролюючого органу, згаданого в статті 58 (2), відповідно до пункту 2 цієї статті, призведе до призначення адміністративного штрафу до 20 мільйонів євро, або до 4% від глобального обороту за попередній фінансовий рік, в залежності від того, що більше.

Решта порушень тягнуть до накладення адміністративних штрафів до 10 мільйонів євро, або у разі, якщо це підприємство, до 2% від глобального обороту за попередній фінансовий рік, в залежності від того, що більше.

У коментарях до Регламенту зазначено, що замість штрафу може бути винесена догана у випадках, коли вчинене правопорушення є незначним, або накладений штраф буде надмірний (непорівнянний з порушенням). Повноваження щодо визначення конкретних сум штрафів надані національним органам влади держав-членів ЄС.

Отже, незважаючи на те, що з точки зору окремого користувача впровадження подібного акту значно розширює повноваження для контролю використання та поширення особистих даних, а також є новим рівнем гарантії їх захищеності, для організацій, що працюють з даними громадян ЄС Регламент посилює вимоги і підвищує відповідальність при роботі з ПДн.

Що слід робити, щоб відповідати вимогам Регламенту

В першу чергу, назвемо це  початковим етапом, необхідно проаналізувати поточний стан справ в компанії, щодо дотримання заходів із захисту ПДн. Наприклад відтворити детальну картину існуючої структури захисту даних (як захищаються права суб’єктів даних зараз; які особи та / або відділи обробляють дані, що за характер даних, для чого збираються і т.д.). Далі слід провести детальний аналіз “порожніх місць” між поточним статусом законних засобів захисту і положеннями, які диктує Регламент. Важливо також звернути увагу і усунути недотримання вимог попередньої Директиви ЄС щодо захисту даних 95/46 / ЄС, оскільки, якщо ви підкоряєтеся вимогам діючої Директиви, цілком ймовірно, що положення Регламенту для вас будуть також обов’язковими.

На наступному етапі необхідно визначити і дати оцінку вимогам Регламенту, які відносяться саме до вашої компанії. Оскільки умов, які диктує Регламент по відношенню до компаній дуже багато, не всі вимоги можуть бути реалізовані належним чином одразу. Правильним кроком буде оцінити, які види обробки даних мають високий рівень ризику і використовувати більшу частину ресурсів для забезпечення захисту в таких ситуаціях. Оцінити потенційні ризики, ось що головне на даному етапі.

Особливу увагу також варто приділити корпоративним групам (групам компаній). Оскільки вимоги Регламенту поширюються на всі представництва такої компанії, навіть за межами ЄС, це спричинить за собою реорганізаційні процедури всередині таких структур.

Також, одним з основних етапів ретельного дотримання вимог Регламенту є правильна побудова процесів всередині компанії. Потрібно ретельно спланувати свої ресурси і бюджет процедури, організувати механізм управління процесом (призначити відповідальних і, у разі необхідності, залучити зовнішніх консультантів). Процес впровадження Регламенту вимагає згуртованої співпраці на рівні управління всередині компанії, особливо це стосується організацій, які мають декілька офісів у різних країнах.

При правильному підході до процесу імплементації , залученні ключових експертів на основних етапах і відповідальному ставленні до процедури, є великі шанси не тільки на успішне впровадження Регламенту, а й на досягнення рівня, гідного наслідування.

 

Молодший юрист MORIS GROUP

Олександр Горбенко

o.gorbenko@moris.com.ua