14.03.2019

Відповідність вимогам GDPR: що робити українським компаніям

ЮРИСТ & ЗАКОН
№10, 14 березня 2019
адвокат
Ксенія Желізняк

General Data Protection Regulation  набрали чинності 25 травня 2018 р. Правила є обов’язковими для тих, хто збирає персональні дані фізичних осіб – резидентів Європейського Союзу.

Простіше кажучи, Правила поширюються на осіб, що працюють у сфері робіт чи послуг, де бере участь суб’єкт (фізична особа), яка проживає в ЄС.

 

 

Основні кроки для підготовки своєї компанії до GDPR

 

Спершу необхідно впровадити захист даних на самому початку роботи з ними. Основним елементом у цьому процесі завжди буде мета такого збору.

Важливо повністю адаптувати систему захисту обробки персональних даних до вимог самих Правил. Компанії з України, які працювали на теренах Європейського Союзу, повинні повністю змінити підхід до роботи з обробки персональних даних. Важливим кроком у цьому напрямку стане глибокий аналіз уже зібраних даних.

Компанії мусять упровадити доступний і зрозумілий порядок отримання згоди від фізичної особи – резидента ЄС на обробку її даних. Зокрема, відповідно до ст. 7 Правил, якщо персональні дані обробляють на основі згоди суб’єкта даних, контролер повинен мати можливість її продемонструвати. Тобто систему збору даних має бути налаштовано так, щоб користувач спочатку погодився з політикою конфіденційності, яка містить перелік даних і мету обробки, а вже після цього міг залишити персональні дані. Згоду користувача на обробку даних має бути проявлено активною дією. Збирати дані за замовчуванням заборонено. Текст політики конфіденційності повинен мати просту форму й інформувати про те, хто збирає дані, які саме дані, на який строк тощо.

Ураховуючи право користувача на перенесення й видалення його даних, обов’язковою умовою Правил є порядок зберігання та використання даних за допомогою інноваційних ключів захисту із застосуванням адаптованих програм.

Компанія зобов’язана забезпечити можливість уносити зміни до таких даних за вимогою фізичної особи або навіть видаляти їх за необхідності. Що ж до використання даних, особливу увагу варто приділити взаємодії суб’єктів даних і державних органів.

Наступним кроком адаптації є приведення внутрішньої документації компанії у відповідність до GDPR. На цьому етапі необхідно переглянути Privacy Policy, правила користування сайтом, додатки, сервіси. Зазначені документи мають бути в злагодженій взаємодії між собою й Правилами.

Ураховуючи зазначені положення, компанія повинна розробити внутрішні правила обробки персональних даних. Для осіб, які працюють з великим об’ємом персональних даних, це можуть бути інструкції, де чітко прописано правила роботи з персональними даними, порядок передання інформації третім особам та інші положення. Важливим кроком є конструктивне й комплексне навчання тих працівників, хто займається випуском готового продукту, а також програмістів.

Окрім цього, важливим є підписання зі співробітниками договорів про нерозголошення (інший варіант – унесення розділів про конфіденційність до контрактів). При цьому рекомендовано встановлювати відповідальність у вигляді штрафів за розголошення, співмірних із санкціями за порушення GDPR.

Звичайно, не буде зайвою й розробка проектів документів (примірників, шаблонів та ін.) для дотримання принципу прозорості. Згідно з Правилами користувачі мають право звертатися до контролера з різними запитаннями, проханнями та вимогами, а компанія своєю чергою зобов’язана відповідати на них. Досить простим і швидким засобом реагування буде використання заздалегідь підготовлених проектів документів. Наприклад, це можуть бути зразки відповіді фізичній особі на запит про переведення чи повідомлення про видалення персональних даних тощо.

У Privacy Policy компаніям варто зазначати таке: чи є саме ця компанія контролером інформації; координати звернення (зворотній зв’язок), контактні дані компанії / особи, що обробляє персональні дані (у випадку, коли компанія-контролер не є обробником персональних даних); предмет, характер, строк і мету обробки персональних даних. Необхідно навести обов’язки й дані Data Protection Officer, якщо таку посаду запроваджено (вона не обов’язкова), права користувача, згоду на обробку, правила зберігання, перенесення та видалення даних.

Згідно з GDPR Data Protection Officer має бути призначено лише тоді, коли обробку здійснює:

1) орган державної влади;

2) компанія, яка проводить регулярний і систематичний моніторинг фізичних осіб, використовуючи значні масиви персональних даних;

3) компанія, яка здійснює обробку “sensitive data” (дані про стан здоров’я, расове чи етнічне походження, біометричні дані, відомості про судимість тощо).

У будь-якому випадку компанія може добровільно призначити співробітника із захисту персональних даних для управління процесами обробки даних користувачів і контролю за дотриманням вимог GDPR. У такому разі компанія публікує інформацію про цього співробітника й повідомляє національному регулятору із захисту персональних даних відповідної держави – члена ЄС.

Компанія, що здійснює діяльність, пов’язану з персональними даними, обов’язково повинна дотримуватися основних елементів контролю таких даних, їх безпеки (шифрування або псевдонімізації), перевірки ризиків, організації повідомлення про витік даних. Лише за таких умов компанія зможе убезпечити свою діяльність, не натрапивши на штрафні санкції.

Повідомлений – значить озброєний.

Поделиться:
Заказзать обратный звонок