м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

GDPR - розбираємо правила обробки персональних даних в Європі та штрафи за їх порушення

GDPR - розбираємо правила обробки персональних даних в Європі та штрафи за їх порушення

Правила GDPR: як слід обробляти персональні дані в ЄС 

Починаючи з 2018 року діє система, згідно з якою встановлено правила збору і обробки особистих даних громадян Європейського союзу. Їх виконання підвищує рівень захисту відомостей, що збираються і обробляються інтернет-ресурсами. Що це за закон, потрібно розуміти не тільки європейським компаніям, а й тим, хто надає різні послуги для резидентів Євросоюзу. Детальніше про правила GDPR розповімо в цьому матеріалі.

 

Основні визначення: персональні дані, контролер, процесор

GDPR (розшифровується як General Data Protection Regulation) — це зведення з 99 статей, їхня мета: гарантувати захист даних громадян Євросоюзу. Правила призначені для організацій, які займаються збором та обробкою персональних даних.

Під терміном персональні дані GDPR має на увазі відомості, які ідентифікують особу. Їх користувачі надають для ресурсу самі (ПІБ, електронна пошта, номер телефону, паспортні дані), також сюди входять відомості, зібрані автоматично (дані про геолокацію користувача, пристрої, ОС, Cookies (метадані)).

До них відносяться і пошукові запити, відомості про сайти, які були відвідані і публікації в соцмережах. Правила GDPR зобов'язують шифрувати інформацію про банківські картки. 

Контролер - це фізична або юридична особа, що визначає цілі та способи обробки персональних даних, які він отримує.

Процесор - це фізична особа або організація (наприклад, програмісти), що виконує обробку персональних даних за дорученням контролера. 

Детальніше з визначеннями можна ознайомитися в статті 4 GDPR.

 

Які компанії повинні впровадити GDPR?

GDPR поширюються на всі компанії, інтернет-сайти, комерційні і некомерційні організації, які обробляють персональні дані резидентів і громадян Євросоюзу, незалежно від місця знаходження і проживання. Навіть якщо у компанії немає представництва або філії в Європі. Детальніше про це - в статті 3 /2018 on the territorial scope of the GDPR

В Україні до таких організацій належать:

  • Софтверні компанії, які продають програмні продукти громадянам Європи.
  • Компанії-субпідрядники в обслуговуванні європейських комп'ютерних систем і баз даних.
  • Комерційні організації, що обслуговують громадян ЄС: готелі, ресторанні комплекси, санаторії, туристичні компанії.
  • Фінансові організації, що обслуговують громадян ЄС: банки, венчурні фонди, валютні біржі.
  • Логістичні та транспортні компанії, які надають послуги резидентам ЄС.

 

В статті 13 Преамбули Регламенту GDPR закріплений пункт, який зобов'язує компанії засновувати спеціальну посаду DPO. Це внутрішній співробітник, який відповідає за збір і зберігання інформації. Для малого та середнього бізнесу є послаблення: компанії, в штаті яких менше 250 чоловік, можуть не засновувати DPO. 

Пунктом 24 Преамбули GDPR визначені ознаки, за якими можна встановити намір надавати послуги громадянам ЄС, серед них:

  1. Використання мови держави-члена ЄС (для замовлення) і грошової одиниці.
  2. Згадка споживачів, які знаходяться в ЄС (стаття 23 Преамбули GDPR). 
  3. Обробка конфіденційної інформації осіб, які перебувають в ЄС, якщо це пов'язано з моніторингом користувачів, які вчиняють дії в ЄС. 

 

Розглянемо приклад:

Українська компанія надає послуги користувачам країн колишнього СНД і Європи - інформація на веб-ресурсі розміщена на 4 мовах, здійснює міжнародну доставку і використовує спосіб оплати карткою, в обраній користувачем валюті. Компанія не проводить операції на території ЄС, але її клієнтом може бути людина з європейським громадянством. Робота такої компанії адаптована не тільки для локальних клієнтів, але і для міжнародних покупців, вона займається збором і обробкою відомостей про споживачів. Отже, підпадає під дію GDPR і зобов'язана дотримуватися правил збору і обробки інформації.

 

Принципи GDPR

Регламент щодо захисту персональних даних GDPR заснований на 6 принципах, які регулюють роботу. Закріплено в статті 5 Регламенту.

1. Законність і прозорість.

Ресурс відповідає європейському законодавству і публічно повідомляє користувача про збір інформації на сайті Політикою конфіденційності (Privacy Policy). Обробка можлива тільки за згодою користувача.

2. Конкретні цілі. 

Організація пояснює, з якою метою збирається інформація, як зібрані відомості будуть використовуватися в подальшому.  

3. Мінімум відомостей. 

Збір та обробка персональних даних здійснюється тільки для комерційної діяльності та заявлених цілей компанії. 

4. Точні і оновлені дані.

Принцип гарантує правдивість даних. Компанія забезпечує видалення і виправлення некоректної інформації. 

5. Обмежені терміни зберігання. 

Тривалість зберігання інформації відповідає часу виконання завдання. Як тільки мета досягнута, інформація видаляється. 

6. Конфіденційність і безпека. 

Компанія захищає дані від незаконної обробки та випадкової втрати. У разі витоку даних, клієнту потрібно повідомити про це про це в 3-денний термін.

 

Відповідальність

GDPR ввів чітке розмежування видів покарань та штрафних санкцій за порушення правил обробки і зберігання персональних даних. Стаття 83 Регламенту GDPR

Сума штрафу залежить від завданих збитків, числа постраждалих, ступеня винуватості компанії. Окремо розглядається питання навмисності або необережності. 

 

В яких випадках застосовується штраф до 2% річного обороту або до 10 млн євро: 

1. Обробка даних дитини, яка не досягла віку 16 років. Така обробка законна, якщо згоду дав батько або особа, яка володіє батьківськими правами, або з його схвалення (стаття 8 GDPR). 

2. Обробка і зберігання відомостей, які не потрібні для ідентифікації користувача (стаття 11 GDPR).

3. Порушення технічного шифрування інформації (стаття 25 Регламенту). 

4. Відсутність угоди між контролерами персональних даних (стаття 26 GDPR). 

5. Відсутність представника DPO в ЄС для компаній, які займаються регулярної обробкою Big Data європейців (стаття 27 GDPR). 

6. При порушенні процедури обробки даних розробниками компанії одержувача конфіденційної інформації (статті 28 та 29 GDPR).

7. Відсутність Політики обробки, яка містить контактну інформацію ресурсу, опис категорій персональних даних, мету обробки, відомості про можливу передачу інформації третім особам, заплановану дату видалення, відомості про організаційні та технічні заходи безпеки (стаття 30 Регламенту).

8. Відмова контролера, процесора або представника від співпраці з наглядовим органом (стаття 31 GDPR). 

9. Порушення організаційних заходів безпеки з обробки та збору інформації (стаття 32 Регламенту):

     а. конфіденційність, цілісність, доступність сервісів, які обробляють дані;

     б. технічне шифрування конфіденційних даних;

     в. доступ до персональної інформації, якщо виникає технічний або фізичний інцидент;

     г. тестування і оцінка заходів, які забезпечують безпеку процесу обробки інформації. 

10. Несповіщення наглядового органу про порушення безпеки персональних відомостей. Контролер повинен довести до відома про це в наглядовий орган не пізніше 3 діб після виявлення порушення (стаття 33 GDPR). 

11. Несповіщення користувача про порушення правил безпеки конфіденційної інформації (стаття 34 GDPR).

12. Відсутність оцінки ризику втрати даних, Gap Assessment (стаття 35 Регламенту). 

13. Контролер повинен повідомити, якщо обробка даних може стати причиною виникнення ризику для порушення прав фізичних осіб. Перед обробкою даних він повинен проконсультуватися з наглядовим органом (стаття 35, стаття 36 GDPR).

14. Контролер і процесор зобов'язані призначити інспектора, відповідального за захист конфіденційної інформації та надавати йому підтримку (статті 37, 38, 39 Регламенту).

15. Відсутність механізмів сертифікації захисту відомостей при обробці, а також печаток і маркувальних знаків (стаття 42 GDPR).

 

В яких випадках застосовується штраф до 4% річного обороту або до 20 млн євро:

1. Порушення принципів, за якими здійснюється збір і обробка конфіденційної інформації (статья 5, стаття 6 Регламенту GDPR). Порушення умов, за якими користувач дав згоду на збір інформації. Контролер повинен надати контролюючим органам підтверджену згоду користувачів в Політиці конфіденційності (стаття 7 GDPR).

2. Обробка конфіденційної інформації про етнічну або расову приналежність, політичні погляди, філософські або релігійні переконання, членство в профспілках, біометричні або генетичні дані, відомості, що стосуються статевого життя або здоров'я (стаття 9 Регламенту).

3. Порушення в Політиці конфіденційності: обробник повинен вказувати контактну інформацію, мету обробки, юридичне обґрунтування, інформацію про передачу даних третім особам (стаття 13 GDPR). 

4. Порушення доступу користувача до даних. Користувач має право знати, яка інформація зібрана, терміни її зберігання, одержувача та обробника, мету збору. Повинні бути забезпечені права: на подачу скарги і отримання копії інформації; на виправлення і видалення; на заперечення проти обробки на підставі особистих причин; на передачу даних іншому контролеру (статті 15-22 Регламенту).

5. Передача конфіденційної інформації в треті країни, які визнані Єврокомісією непридатними до зберігання інформації громадян ЄС (стаття 45 GDPR).

6. Порушення передачі даних третій країні. Договір про зберігання, захист та нерозголошення інформації, сертифікований механізм захисту і обробки даних (стаття 46 GDPR).

Крім економічних факторів буде завдано удар по репутації компанії, діяльність офіційно буде визнана непрозорою і нещирою. Клієнти будуть повідомлені про допущені порушення, що призведе до втрати довіри. 

 

Порядок передачі даних в міжнародні організації або треті країни

Правила GDPR поширюються на території країн, що входять в Європейську економічну зону. В якості третіх країн Регламент визначає держави, які не входять до складу Євросоюзу. Відповідальність при роботі третіх країн з конфіденційною інформацією поширюється на організації незалежно від їх реєстрації та місцезнаходження. 

 

Передача даних за межі ЄС можлива лише за умови дотримання організацією Регламенту GDPR:

1. На підставі рішення Єврокомісії можлива передача даних у разі, якщо третя сторона забезпечує належний рівень захисту відомостей. Показники необхідного рівня захисту: правомірність, дотримання прав і свобод людини, наявність наглядового органу, який контролює захист даних, міжнародні зобов'язання. Після перевірки рівня захисту, що забезпечується третьою країною, Єврокомісія дозволяє передачу і обробку, передбачає механізм перевірки захисту інформації кожні 4 роки (стаття 45 Регламенту GDPR). 

2. При передачі персональних даних в деякі країни не потрібний додаткове дозвіл. Перелік: Швейцарія, Андорра, Нова Зеландія, Аргентина, Ізраїль, Уругвай, Японія, Джерсі, Фарерські острови, Гернсі, Канада, острів Мен, частково Сполучені Штати Америки (рівні захисту відображені на мапі).

3. Передача конфіденційної інформації в міжнародні організації або треті країни на підставі гарантії контролера або процесора. Наприклад: якщо філії однієї компанії розташовані і в країні ЄС, і в третій країні, і дані обробляються в обох країнах (список гарантій і вимог).

Україна немає в списку країн з достатнім рівнем захисту, тому передача даних можлива тільки тим організаціям і компаніям, які пройдуть перевірку Європейської комісії на підставі достатності захисту (вимоги описані в статті 45 Регламенту). Також передача допускається в разі, якщо філія компанії знаходиться в Європі і дає гарантії збереження даних при обробці третьою країною. 

 

Рекомендації IT-юристів

Щоб дотримуватися правил використання персональних даних громадян Євросоюзу, компанія повинна виконати наступні умови: 

1. Відкрито заявляйте про інформацію, яку збираєте при відвідуванні сайту користувачем;

2. Збирайте відомості виключно за особистою згодою користувача. Якщо цілі або способи збору інформації змінюються, повідомляйте користувачів про це;

3. Збирайте дані тільки з метою взаємодії та надання потрібних послуг клієнту;

4. Зберігайте зібрану інформацію в особистому акаунті користувача;

5. Надайте користувачеві доступ до аккаунту, можливість переглядати, вносити зміни або видаляти інформацію;

6. Зберігайте особисту і призначену для користувача інформацію тільки протягом використання сервісу клієнтом;

7. Шифруйте платіжні відомості відповідно до сертифікатів безпеки;

8. Не влаштовуйте «холодних» розсилок і не купуйте бази e-mail адрес;

9. Надавайте можливість відписатися від розсилок і інших типів сповіщення;

10. Гарантуйте збереження інформації; 

11. Не запрошуйте додаткову інформацію, яка не потрібна для ідентифікації;

12. Не передавайте відомості третім особам.

Виконання цих вимог забезпечує дотримання принципів GDPR, законну і чесну роботу, гарантує конфіденційність і безпеку клієнта. 

 

Головна вимога GDPR: Політика конфіденційності

Підводячи підсумки статті, дамо відповідь на основне питання. Для того щоб відповідати правилам GDPR, необхідно розмістити на веб-ресурсі, який збирає інформацію про користувачів, Політику конфіденційності. 

Політика публікується на першій сторінці сайту, так, щоб з умовами ознайомилися ще до реєстрації. На сайті створюється спеціальна форма, заповнивши яку, користувач дає згоду на збір і обробку персональних даних. Інформація про те, на що погоджується користувач, повинна бути доступна і написана без юридичних штампів, щоб кожна людина розуміла умови використання ресурсу і свої права.

Політика конфіденційності - це правила зберігання і використання персональної інформації, яку збирає компанія або організація. Єдиного шаблону написання політики немає, вона пишеться під кожен сайт компанії або додаток, з огляду на особливості та цілі продукту, бізнес-процеси, внутрішні принципи безпеки. 

 

Перелік даних, які необхідно вказати в політиці конфіденційності:

  • підгрунтя і мета збору персональної інформації;
  • список даних, які обробляються та джерела, включаючи Cookies;
  • інформація про компанію або організацію, яка обробляє дані (назва компанії, адреса, контакти);
  • відомості про третіх осіб, яким доступна інформація;
  • терміни зберігання, способи змінити або видалити особисті дані;
  • заходи і способи захисту отриманих відомостей. 

 

Головна вимога GDPR: Політика конфіденційності

Відповідно до вимог правил GDPR ключова роль відводиться Політиці конфіденційності, яка повинна бути розміщена на веб-ресурсах, які збирають дані - на першій сторінці, так, щоб з нею можна було ознайомитися ще до реєстрації. Бажано наявність на сайті спеціальної форми, заповнивши яку, користувач дає згоду на збір особистих даних.

 

Хоча єдиного шаблону не існує, в ній обов'язково повинні бути викладені деякі моменти:

  • перелік даних, які обробляються та їх джерела (включаючи Cookies); 
  • підгрунтя і мета збору персональних даних;
  • назва компанії, адреса, контакти;
  • інформація про те, хто обробляє особисті дані;
  • відомості про третіх осіб, у яких є доступ до інформації;
  • терміни зберігання персональних даних;
  • заходи, що вживаються для захисту отриманих відомостей.  

 

Політики конфіденційності не можна недооцінювати, за збір і тим більше несанкціоновану передачу конфіденційних відомостей третім особам, власники, відповідно до правил GDPR, несуть адміністративну, матеріальну та репутаційну відповідальність. Тому в Політиці конфіденційності необхідно вказати, які заходи вживаються з метою уникнення витоку інформації. 

За наявність і зміст Політики конфіденційності відповідає власник сайту, тому не варто копіювати її з інших ресурсів, а краще скласти в індивідуальному порядку, попередньо проконсультувавшись з юристами.

Останні новини
Договір про надання ІТ-послуг - MSA, NDA, NCA
Нова стаття
14.08.20
Договір про надання ІТ-послуг - MSA, NDA, NCA
Читати статтю
GDPR - розбираємо правила обробки персональних даних в Європі та штрафи за їх порушення
Нова стаття
13.06.20
GDPR - розбираємо правила обробки персональних даних в Європі та штрафи за їх порушення
Читати статтю
IT-контракти. Види та класифікація договорів
Нова стаття
25.11.19
IT-контракти. Види та класифікація договорів
Читати статтю
Слідкуйте за останніми новинами
Передзвоніть мені
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK