UA

Медіа

Про ключові новації та правничі інструменти які стануть у нагоді задля узгодження діяльності бізнесу нормами Регламенту GDPR

Про ключові новації та правничі інструменти які стануть у нагоді задля узгодження діяльності бізнесу нормами Регламенту GDPR

10.10.2018

Джерело: Український Юрист

Із наближенням травня 2018 року захист персональних даних став однією з найбільш хвилюючих, обговорюваних та дещо болючих тем у межах бізнесового середовища. Причина дискусій — введення в дію General Data Protection Regulation (Загального регламенту із захисту персональних даних), відомого як GDPR. Відповідна подія спровокувала перехід на суттєво вагоміше та детальніше регулювання механізмів роботи із персональними даними: Регламент передбачає якісно інший рівень захисту персональних даних (як з юридичної, так і з технічної та організаційної точок зору), а також підхід до ролі суб’єкта даних (погляд на бізнес­процеси через призму захисту й поваги до волевиявлення користувача).

Розуміння значимості захисту персональних даних в умовах все більшої інформатизації суспільства і стало мотивацією таких змін: опрацювання персональних даних — основа функціонування абсолютної більшості систем сьогодення, а власне персональні дані вже давно стали об’єктом прибутку. Усі структури — як комерційні, так і некомерційні: чи то лікарня, аеропорт, чи то соціальна мережа, онлайн­платформа/ сервіс: від офіційних державних до ігрових — так чи інакше (під впливом конкуренції, задля поліпшення функціонуваннясервісу, полегшення користування конкретною умовною платформою самим же споживачем тощо) — мають  потребу,  зокрема, в аналізі поведінки користувачів, послуговуючись у своїй діяльності великою кількістю персональних даних. Раніше така діяльність не мала чіткого регулювання, відтак великі обсяги персональних даних опрацьовувалися без повідомлення та належного дозволу користувача, який опинявся в ситуації відсутності реального вибору: відмова від опрацювання власних персональних даних на умовах конкретного сервісу фактично означала неможливість користування певною послугою, задля якої останній і вступав у відповідні правовідносини. Таким чином, прийняття Регламенту є своєрідною відповіддю на ті тенденції та процеси, що знаменують собою результат розвитку суспільства та інформаційних технологій, більше того — на ту закономірну складову відповідного розвитку, яка відображається й у масштабному негативному досвіді глобальних втрат, зламів, витоку даних користувачів тощо.

Таким чином, враховуючи, що GDPR, відтак і всебічний захист персональних даних, стали нашим сьогоденням, а також суми штрафів, застосовні у разі його недотримання, які, як зазначається у тексті документа, за сукупності певних чинни ків та порушень можуть становити близько 4 % річного обороту компанії, необхідно якнайшвидше зрозуміти, який стосунок до Регламенту має конкретний бізнес та які дії необхідно здійснити задля відповідного узгодження.

Спробуймо дати стислі відповіді на низку актуальних питань. У першу чергу: яких бізнесів стосується Регламент № 2016/679 Європейського парламенту та Ради Європейського Союзу від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних?

Текст документа свідчить про те, що для керівника компанії, що має бізнес, пов’язаний, так чи інакше,  з ЄС, може бути корисним проаналізувати здійснюване опрацювання персональних даних на предмет відповідності таким критеріям: чи опрацьовуються його або її бізнесом персональні дані суб’єктів даних (фізичних осіб, яких, прямо чи опосередковано, можна ідентифікувати), які перебувають на території ЄС? Якщо відповідь «так», то надалі треба ідентифікувати, чи опрацювання таких даних пов’язане із постачанням товарів, наданням послуг вищевказаним суб’єктам даних, незалежно від оплатності, або моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах європростору.

У разі якщо на всі питання ви відповіли «так», то ваша бізнесструктура є об’єктом моніторингу GDPR­compliance. Відтак, вищезазначене свідчить про передбачений Регламентом принцип екстериторіальності. Відповідно, дія положень GDPR поширюється не тільки на розташовані на території ЄС компанії або представництва, а й також на ті компанії або їхні структурні підрозділи, що знаходяться поза межами ЄС, незалежно від того, чи вони виступають у ролі контролерів (визначають цілі та засоби опрацювання персональних даних), чи операторів (здійснюють опрацювання від імені контролера). До предмета ж дії та регулювання GDPR, як свідчать положення Регламенту, належать, передусім, персональні дані про фізичних осіб, що включені та задіяні (у контексті будь­якої операції з такими даними: збирання, доступу, зберігання, структурування, аналізу, модифікації тощо) у структурі компанії та/або її представництва.

Персональними  даними Регламентом визначено будь­яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати (зокрема, за допомогою таких ідентифікаторів, як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн­ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи).

Таким чином, до персональних даних також належать дані про сімейних стан, стан здоров’я людини, орієнтацію, генетичні, біометричні дані, інформація, що стосується судимостей і кримінальних злочинів, а також дані про політичні погляди — себто інформація, за яку партію та/ або політичного діяча зазвичай голосує людина.

Проте наведені вище категорії даних, згідно з положеннями Регламенту, може опрацьовувати лише відповідним чином кваліфікований фахівець, згідно з зазначеним у Регламенті переліком цілей збору інформації, із призначенням співробітника з питань захисту даних. Як бачимо, перелік критеріїв та глибина обробки персональної інформації достатньо великі і можуть стосуватись доволі чутливих тем та складових бізнесу. У такому світлі актуальним може бути відповідь на питання: «а як же зробити так, щоб надання суб’єктом даних своєї персональної інформації було чітко регламентованим і, говорячи тривіальною мовою, не стало проблемою, пов’язаною з незаконним використанням таких даних»?

З огляду на наявність обмежень щодо опрацювання спеціальних категорій даних, обов’язків здійснювати технічні (використання псевдонімів, шифрування тощо) та організаційні (влаштування навчальних семінарів для працівників тощо) заходи захисту персональних даних, а також складність уніфікування міріади бізнес­процесів у певний загальний алгоритм, єдиного універсального інструмента захисту компаній від невідповідності/порушення Регламенту на цей момент немає. Відповідно, жодна стаття GDPR не дасть на наведене вище запитання точної та вичерпної відповіді із чітким планом дій. Утім, є певні ключові новели та правничі інструменти, на які потрібно звернути увагу задля узгодження діяльності бізнесу із нормами Регламенту, зокрема: перегляд формату отримання згоди (особливо щодо дитини) та політики приватності (конфіденційності) у бік зрозумілого, простого, чіткого, диференційованого від інших питань, доступного користувачеві зазначення щодо переліку, обсягу персональних даних (не більш ніж потрібно з огляду на мету), кола прав суб’єкта даних, цілей, періоду опрацювання, джерела походження, одержувачів таких даних (третіх осіб), порядку комунікації (відповіді на запити, повідомлення суб’єкта даних про порушення захисту персональних даних) та вирішення спорів, особи контролера; аналіз здійснюваних технічних та організаційних заходів безпеки, співпраця із наглядовими органами (нотифікація про порушення захисту персональних даних, належне реагування на запити тощо).

Регламентом суттєво розширена правова основа щодо механізмів контролю суб’єктами даних надання доступу до своїх персональних даних.

Серед нововведень — право запитувати інформацію про категорії даних, що обробляються, місце збереження, а також третіх осіб, яким надається доступ до персональних даних. З моменту введення у дію Регламенту, особи мають право робити запити щодо періоду обробки персональних даних, джерела отримання їх персональних даних, а також права на підтвердження факту їх обробки. окрім цього, GDPR встановлює чіткі критерії до форми отримання згоди особи на опрацювання відповідної персональної інформації. Згідно з його положеннями, така згода має бути матеріалізована у вигляді ствердження, підтвердження або у формі «чітких  активних  дій  надавача інформації», стосуватися кожної конкретної мети опрацювання.

Заслуговує на увагу і положення про те, що згода на обробку персональних даних має бути добровільною: буде недійсною у разі, якщо   у суб’єкта даних не було вибору,можливості відізвати надання  згоди «без заподіяння шкоди самому собі» (безпосередній послузі тощо, задля якої останній вступив у відповідні правовідносини). Варто згадати і про той факт, що згода на опрацю­ вання персональних даних не може бути наданою у результаті дії/дій, що ґрунтуються на принципі «мовчазної згоди» — так званих конклюдентних дій.

У Регламенті за суб’єктами даних закріплене так зване право бути забутим (right to be forgotten). Так, суб’єкти даних мають право на видалення персональної інформації, себто персональних даних особи, яке безпосередньо співвідноситься з обов’язком контролера здійснити видалення таких даних. Відповідно до положень Регламенту, будь­яка компанія, яка здійснює опрацювання персональних даних, зобов’язана у разі надходження відповідного запиту клієнта видалити із бази даних таку інформацію, якщо, як стверджується у Регламенті, її видалення не суперечить загальносуспільним інтересам або не становить шкоди фундаментальним правам людини і громадянина.

Зручною правовою новелою Регламенту може вважатись right to data

portability — право наA мобільність даних. Сутність цієї норми полягає у тому, що бізнес, який здійснює опрацювання персональних даних, зобов’язаний у відповідь на запит суб’єкта даних на безоплатній основі надати копію персональних даних у такому електронному форматі, що дає змогу здійснювати використання відповідних персональних даних на інших платформах/ресурсах/сервісах, тобто передати іншому контролеру.

Згідно  з  GDPR,  у  разі розповсюдження на організаційну структуру бізнесу відповідних положень Регламенту, при тому, що головний офіс розташований не в європейському економічному просторі, необхідною складовою успішної роботи вашої компанії є наявність представника такого бізнесу на території  ЄС  та  країн економічного простору Європи. Такою контактною особою з питань комплаєнсу може бути як фізична, так і юридична особа.

Ключовими вимогами до відповідного представника є: постійне перебування в одній із країн, де перебувають особи, персональні дані яких піддаються опрацюванню та отриманню «мандату» від контролера або оператора. Ситуація у такому світлі спрощується тим, що Регламент не містить чітких приписів щодо того, чи відповідна авторизована особа повинна мати диплом правника із відповідним кваліфікаційним стажем. Таким чином, якщо ви керуєте певною компанією, що на постійній основі здійснює бізнес­ діяльність із ЄС (у розумінні принципу екстериторіальності зокрема), вам, високовірогідно, було б зручно укласти договір з юридичною чи фізичною особою, що здійснюватиме постійне представництво та захист інтересів в одній із країн, де знаходяться суб’єкти, персональні дані яких опрацьовуются.

Поділитися:

Вам буде цікаво:

Форензік-аудит є умовою правильної оцінки ризиків за операціями з пов’язаними особами

12.12.2018

Олена Линник

Джерело: Укаїнський Юрист Керуючий партнер GRYPHON GROUP Олена Линник Форензік офіцер  GRYPHON GROUP Евгеній Столярчук Правильне управління фінансами компанії та економічно обґрунтоване корпоративне структурування є запорукою ефективного функціонування компанії...
Банківський комплаєнс фінансового стану боржника/контрагента

12.11.2018

Інесса Михальенко

За офіційними даними Фонду гарантування вкладів фізичних осіб, протягом 2012 – 2017 років, в управління Фонду передано 96 банків, серед яких: 85 банків вже стані ліквідації, 7 банків у...
European Regulatory Vector

11.10.2018

Helen Lynnyk and Igor Lynnyk

When Ukraine signed the Association Agreement with the European Union in 2014, we officially chose the European vector of development. However, it is not plain sailing and requires systematic...
Про ключові новації та правничі інструменти які стануть у нагоді задля узгодження діяльності бізнесу нормами Регламенту GDPR

10.10.2018

Олена Линник

Джерело: Український Юрист Із наближенням травня 2018 року захист персональних даних став однією з найбільш хвилюючих, обговорюваних та дещо болючих тем у межах бізнесового середовища. Причина дискусій — введення...
Керівні можливості

13.09.2018

Ігор Линник

Знання у сфері професіоналізм Компетенції партнерів у бізнесі є ключовими чинниками, що впливають на стратегію бізнесу, шлях його розвитку та успіх. Знання у сфері є, безумовно, важливими, але вони...
Новації в комплаєнс – процедурах та імплементацію європейського законодавства в українські реалії.

30.06.2018

Олена Линник

Запровадження нових та посилення діючих комплаєнс – процедур в Україні є одним із ключових етапів імплементації європейського законодавства та актів міжурядових організацій. За результатами співпраці з Міжнародним валютним фондом,...
Оптимізація бізнес-процесів

30.02.2018

Олена Линник

Ефективність управління людьми та бізнес-процесами прямо залежить від особистої ефективності керівника-лідера. Безумовно, в нашій професії у разі розвитку системного бізнесу роль управління та делегування є не менш важливою, ніж...
Де судитися з Фондом? Підсудність спорів, стороною яких є ФГВФО

06.03.2018

Ігор Линник

Внаслідок посилення Національним банком України контролю над банками та реалізацією кардинальних кроків щодо їх «укріплення», відбулося очищення банківської системи України, в результаті якого починаючи з 2014 р. неплатоспроможними було...

Останні новини

Gryphon Group партнер Міжнародної науково-практичної конференціії «Малозначні спори: європейський та український досвід вирішення»

19.11.2018

Gryphon Group має честь виступити партнером Міжнародної науково-практичної конференціії «Малозначні спори: європейський та український досвід вирішення», яка відбудеться 23 листопада в НаУКМА. Конференцію організовують представники Національного університету «Києво-Могилянська академія»...
Які правові зміни чекають аудиторів в Укураїні?

19.11.2018

Які правові зміни чекають аудиторів в Укураїні? – з таким питання виступила на семінарі «Етапи запровадження реформи аудиторської діяльності в Україні» CEO Gryphon Audit Олена Линник. ЗУ Про аудит...
Семінар для ПАТ «Укрзалізниця» : Три революційні стандарти МСФЗ

05.11.2018

31 жовтня був проведений  практичний семінар для ПАТ «Укрзалізниця» : Три революційні стандарти МСФЗ Керівник практики аудиту Gryphon Group Лілія Гарачковська  детально розповіла про тонкощі технічних і методичних вимог...
Helen Lynnyk is recognised counselor in the field of Banking&Finance 2018

05.11.2018

Gryphon Group is delighted to inform that Ms. Helen Lynnyk, the Gryphon Group’s managing partner is ranked among top 20 banking and finance legal counselors by the Yuridicheskaya Gazeta....