Країна відходить від свят, і помалу включаються робочі процеси. Новий рік завжди несе законодавчі зміни в різних сферах регулювання. Але не лише в Україні, міняється регулювання і в сусідніх державах.
Бізнесу, чия діяльність пов'язана з персональними даними громадян або жителів країн-членів Європейського союзу, зараз самий час замислитися про те, як адаптувати свою діяльність до нових вимог. Превентивні заходи і приведення усіх бізнес процесів у відповідність з вимогами нових правил є кращою альтернативою непомірним штрафам.
Так, 2018 рік ознаменується набуттям чинності регламенту General Data Protection Regulation від 26 квітня 2016 року. Цей регламент замінить Директиву 95/46/ЄС Європейського парламенту і Поради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення цих даних" і після набуття чинності замінить відповідне місцеве законодавство країн-членів ЄС.
GDPR вважається найбільш прогресивним регуляторним актом у сфері захисту персональних даних і його роль в цій сфері важко переоцінити. У нім уточнено поняття персональних даних, а саме в перелік таких включені IP- адресиcookies, цифрові ідентифікатори пристроїв і місця розташування, по яких може бути ідентифікована конкретна фізична особа.
Окрім визначення саме персональних даних, дано визначення контроллера і процесора. Так, контроллером являється фізична або юридична особа, державний орган, організація або інший орган, які самостійно або спільно з іншими визначає мету і способи обробки персональних даних. А під процесором розуміється фізична або юридична особа, державний орган, організація, які здійснює обробку персональних даних від імені контроллера.
Андрій Илюк |
Регламент застосовуватиметься до обробки персональних цих суб'єктів даних, які знаходяться в ЄСнавіть якщо контроллер або процесор не зареєстровані в Союзі, але їх діяльність по обробці пов'язана з пропозицією товарів або послуг, незалежно від того, чи знадобиться оплата від суб'єкта даних в ЄС, або моніторингом їх поведінки, якщо їх поведінка має місце у межах ЄС.
Отже, якщо компанія потрапляє під дію цього регламенту, слід вже зараз замислитися про наслідки. Розмір штрафів складе до 20 млн євро або 4 % загальні світові річні обороти попереднього фінансового року залежно від того, яка з двох цифр виявиться вище. Такі штрафи змусять кожного контроллера і процесора відповідально відноситися до обробки даних. А значить, можна розраховувати на зважений підхід усіх компаній, які так чи інакше пов'язані з персональними даними, до проведення відповідного комплаенса.
У країнах Європейського союзу вже почалася підготовка до нових правил роботи з персональними даними. Але не варто обмежуватися межами Європейського союзу, готуватися необхідно і компаніям, які, так або інакше працюють з жителями ЄС або їх персональними даними.
Тому українським компаніям необхідно оцінити можливість застосування GDPR до їх діяльності. При цьому слід звернути увагу на наявність в кулі клієнтів європейських громадян. Якщо діяльність компанії підпадає під дію Регламенту, необхідно зробити кроки по обмеженню роботи з європейськими громадянами або привести свою діяльність в повну відповідність з новими правилами.
Андрій Илюкадвокат,
юридична компанія Nobili