Перейти до основного вмісту

Регламент GDPR: нові правила гри у сфері персональних даних

GDPR – новий нормативний акт Європейського Союзу, який встановлює правила роботи з персональними даними. Такі правила будуть обов’язковими на території ЄС. У певних випадках їх необхідно буде дотримуватися і за межами ЄС, зазначає  в своїй статті  для Юридичної газети Тарас Кислий - радник, керівник практики інтелектуальної власності/технологій, медіа та телекомунікацій ЮБ «Єгоров, Пугінскій, Афанасьєв і партнери»

«На майдані коло церкви революція іде»

Можливо, це ілюзія, що життя колись було спокійніше, і лише тепер чи не кожного дня суспільство переживає відчутні трансформації у найрізноманітніших сферах. Зовсім скоро, а саме 25.05.2018 р., на нас чекає черговий виток у вдосконаленні регулювання персональних даних – цього дня набуде чинності GDPR. Враховуючи роль ЄС у світовій економіці та політиці, цей документ матиме ефект такого собі каменя, що падає у спокійне європейське плесо, хвилі від якого розійдуться майже усіма країнами світу. І якщо країни ЄС вже декілька років готуються до впровадження GDPR, решта світу, в тому числі Україна, тільки тепер пильніше придивляються до європейської нормативної новинки.

Краще, вище, сильніше

Ось так, трохи перефразувавши олімпійський девіз, можна описати GDPR. ЄС вже достатньо давно має детальне регулювання з питань персональних даних. Однак технології та суспільство не стоять на місці, а нинішня нормативна база вже не завжди відповідає викликам сьогодення. Вагу персональних даних та своєчасність GDPR наочно демонструють вихори, які здійнялись навколо Cambridge Analytics та Facebook.

З одного боку, реальність така, що світова економіка не може ефективно рухатися без роботи з персональними даними. З іншого боку, зловживання такими даними – пряма загроза світовому порядку. Воістину, хто володіє інформацією, той володіє світом. Саме GDPR покликаний зробити обробку персональних даних більш безпечною та, якщо хочете, прогнозованою.

Гарячі новинки

GDPR вводить низку новацій у сфері регулювання персональних даних. Назвемо декілька з них.

Діє за межами ЄС
GDPR є обов’язковим для застосування за межами ЄС, якщо обробка персональних даних відбувається за межами ЄС, тоді як володілець чи розпорядник персональних даних знаходяться в ЄС; обробка персональних даних нерезидентами ЄС, якщо це робиться для пропонування товарів/послуг громадянам ЄС, а також якщо стосується стеження за поведінкою населення ЄС.

Суперштраф
За новими правилами штрафуватимуть по-новому. За порушення GDPR компанія може бути оштрафована у розмірі до 4% від загального річного обігу, але не більше ніж на 20 млн євро. При цьому штраф може бути накладений як на володільця, так і на розпорядника персональних даних, тобто «хмарні» сервіси також потенційно можуть бути під ударом.

Згода людською мовою
Кожен користувач неодноразово ставив галочку під згодою на обробку персональних даних навіть не читаючи, адже прочитати її неможливо – настільки складною мовою та незрозумілими словами викладена така згода. У GDPR передбачено, що тепер згода має бути простою, стислою і доступною для пересічного користувача. Інакше дивися пункт про суперштраф.

Повідомити про порушення
Про витік персональних даних, який може загрожувати правам та свободам громадян, обов’язково необхідно буде повідомляти не пізніше ніж через 72 години з моменту, коли володілець чи розпорядник персональних даних виявили такий витік.

Доступ до своїх персональних даних
Тепер особа може дізнатися від володільця персональних даних, чи обробляються її персональні дані, де та з якою метою. Розпорядник персональних даних на запит особи повинен безкоштовно надавати особі електронну копію таких персональних даних.

Право на забуття
На вимогу особи володілець персональних даних повинен видалити такі дані. Наприклад, якщо особа відкликає свою згоду на обробку персональних даних.

Сторож персональних даних
GDPR вводить нову посаду – відповідальний за захист даних. Така посада буде обов’язкова для компаній, основна діяльність яких стосується, наприклад, систематичного вистежування великих обсягів персональних даних або роботи з персональними даними у сфері кримінальної юстиції.

Україна – наступна

Всім добре відомо, що українське законодавство про персональні дані писалося з європейського. Враховуючи офіційний державний курс на приведення наших законів у відповідність до законів ЄС, цілком очевидно, що рано чи пізно аналог GDPR з’явиться в Україні. Тому саме час подивитися, як це працюватиме у сусідів, і потроху готуватися до неминучого.

Залишити коментар