GDPR - нові правила обробки персональних даних
Чи стосується GDPR українських компаній?
GDPR (General data protection regulation) — це Загальний регламент захисту персональних даних, який буде регулювати збір, уніфікацію та використання персональних даних у країнах ЄС.
“Цей акт був прийнятий трохи більше, ніж два роки тому. GDPR, по великому рахунку, являється новими правилами щодо обробки персональних даних і його новелою є те, що він поширюється не тільки на країни ЄС, а і на компанії, які знаходяться в інших країнах” – зазначає Артем Кобрін.
Отже, на кого, все-таки, буде поширюватись GDPR?
1. Застосовується до обробки персональних даних у контексті діяльності компанії (естаблішменту) контролера або процесора, заснованої в ЄС незалежно від того, чи проводиться така обробка персональних даних в ЄС чи ні.
2. Застосовується до обробки персональних даних суб’єктів даних які перебувають у ЄС контролером або процесором, не зареєстрованим у ЄС, де обробка пов’язана з:
- пропонуванням товарів чи послуг, незалежно від того, чи вимагається оплата таким суб’єктам даних в ЄС або
- моніторингом їх поведінки, коли їхня поведінка відбувається на території ЄС.
3. Застосовується до обробки персональних даних контролером, не заснованим в ЄС, але в місці, де законодавство країн-членів ЄС застосовується на підставі міжнародного публічного права.
Не знаєте чи потрібен Вам GDPR?
Це займе менше 1 хвилини.
Слід зазначити, що, незалежно від того, де проводить свою діяльність компанія, якщо вона заснована в ЄС, то правила GDPR до неї будуть застосовуватись однозначно. Наприклад, компанія заснована в Кіпрі, особи, що заснували компанію провадять свою діяльність в Україні з українськими контрагентами. Але, не зважаючи на те, що обробка персональних даних проводиться в офісах України, враховуючи місце заснування компанії, правила GDPR мають застосовуватись.
Досить цікавим і важливим є розуміння того, хто являється суб’єктом даних, що перебуває у ЄС. Суб’єктами даних, що перебувають в ЄС є не тільки громадяни країн Європейського союзу, а й просто особи, що фізично та на законних підставах перебувають на території ЄС (біженці, особи без громадянства чи громадяни інших країн, які тимчасово перебувають в ЄС).
Моніторинг поведінки – системний моніторинг місця перебування особи. Переважно, моніторинг проводять компанії, пов’язані з маркетингом чи електронною комерцією.
“Конкретного тлумачення даного поняття немає, тому дехто говорить, що під це поняття будуть підпадати всі сайти, але, на мою думку, GDPR не буде застосовуватись до всіх а буде складено якийсь певний список ознак, що характеризують контролера, який підпадає під цей пункт” – зазначає Артем Кобрін.
В більшій мірі, застосування GDPR буде доцільним у тому випадку, якщо компанія системно моніторить місцезнаходження особи, а не у випадках одноразового отримання геолокації користувача.
Третій пункт принципу поширення GDPR стосується виключних суб’єктів, таких як консульства чи посольства і до бізнесу в Україні, по факту, відношення не має.
Пам'ятайте - навіть ті компанії, в яких просто є співробітники в ЄС будуть підпадати під регулювання GDPR.
“Якщо сервер, де зберігаються дані, знаходиться на території ЄС а компанія знаходиться не на території ЄС і обробляє дані осіб, які також не знаходяться на території ЄС і сервер не є «хмарою» то правила GDPR не будуть застосовуватись” – зазначає Валентина Кополович.
Чи можуть бути застосовані санкції до українських компаній, які зареєстровані на території України, але здійснюють обробку персональних даних осіб (українців), які перебувають на території ЄС?
Якщо особа знаходиться на території ЄС, то вона підпадає під дію GDPR і українська компанія буде контролером.
Але, мова йде про одну людину, яка знаходиться на території ЄС – досить мала можливість, що хтось направить скаргу. Наприклад, є особа, яка часто подорожує і користується додатком певної компанії. Це не так критично для компанії, оскільки, досить мала ймовірність того, що хтось це проконтролює. Але, якщо додатком користуються 100 тисяч користувачів з України, які подорожують і «сидять» в ЄС – тоді, однозначно, компанія підпадає під дію GDPR і санкції будуть застосовуватись.
Наскільки великі санкції і чи можна їх застосувати на території України по відношенню до громадян України?
Штрафи – великі. Проте, до уваги беруться досить багато критеріїв, якими визначається сума штрафу. В GDPR є цілий список цих критеріїв, на основі яких визначатиметься сума штрафу. В Україні конкретного механізму застосування штрафів поки немає. Але, якщо громадянин України планує відкрити рахунок для бізнесу в банку ЄС і в базі даних є інформація про порушення ним GDPR, то йому цей рахунок просто не відкриють.
Чи потрібрно взагалі GDPR в Україні?
“Це досить складне питання. В нас вже є Закон України “Про захист персональних даних”, яким теж передбачаються штрафи. Але, в нашому суспільстві часто увагу звертають на збільшення санкцій і саме через величезні штрафи люди і “бояться” GDPR. Але, з іншого боку, якщо задуматись, ми живемо в прогресивному, інформаційному суспільстві де захист наших персональних даних має виконуватись на високому рівні, оскільки наші дані досить часто «продаються». Можливо, краще сконцентруватись на ключових компетенціях. Наприклад, компанія, яка відповідатиме регламенту, буде більш конкурентоспроможна та їй більше довірятимуть користувачі” – зауважує Валентина Кополович.
GDPR – це новий етап в захисті персональних даних. Сучасний погляд на питання, якому приділялося недостатньо уваги, не зважаючи на стрімкий розвиток технологій. Тому, якщо Ви власник компанії, що веде справи в ЄС, чи на Вас поширюються певні ризики, описані в даній статті – слід потурбуватись про свій бізнес вже зараз.
