АДВОКАТУРА, НОВИНИ

Відбувся захід для адвокатів Рівненської області – Захист персональних даних та GDPR

Про захист персональних даних та GDPR розповів адвокат, член Ради комітету з питань ІТ-права НААУ, експерт у галузях супроводу ЗЕД, судової практики, кримінального, корпоративного, договірного та ІТ-права Дмитро Зеленко під час заходу з підвищення професійного рівня адвокатів Рівненської області, що відбувся у Вищій школі адвокатури НААУ.

Лектор докладно проаналізував разом з учасниками захист персональних даних та GDPR, а саме:

  • 1. Чи потрібен бізнесу захист персональних даних та GDPR?
  • 2. Що таке персональні дані?
  • 3. Законодавство про персональні дані, ЗУ про ЗПД, GDPR
  • 4. Застосовність GDPR до Українських компаній
  • 5. Ролі в обробці персональних даних
  • 6. Основні категорії у сфері зпд (обробка, мета, підстава)
  • 7. Принципи обробки
  • 8. Правові підстави

У рамках характеристики захисту персональних даних та GDPR акцентовано на наступному:

1. Чи потрібен бізнесу захист персональних даних та GDPR?

Організації повинні починати замислюватися над питаннями захисту персональних даних вже зараз. Це пов’язано з розвитком міжнародного законодавства у сфері приватності та захисту інформації.

Еволюція регулювання захисту персональних даних включає:

  1. Hessisches Datenschutzgesetz (1970) – перший закон про захист даних у Німеччині.
  2. Datalag (1973) – законодавство Швеції щодо обробки персональних даних.
  3. Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (1981) – міжнародна конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних.
  4. Directive 2002/58/EC (2002) – директива Європейського парламенту щодо електронних комунікацій та приватності.
  5. General Data Protection Regulation (GDPR) (2016) – сучасний регламент ЄС, який встановлює єдині правила обробки персональних даних.

Таким чином, розвиток технологій та цифрових сервісів зумовив необхідність для бізнесу забезпечувати належний рівень захисту персональних даних.

2. Що таке персональні дані?

Персональні дані — це: будь-яка інформація, що стосується ідентифікованої живої людини або людини, яка може бути ідентифікована за набором ідентифікаторів.

Такі дані можуть мати різну природу:

1. За характером інформації:

  • об’єктивна інформація;
  • суб’єктивна інформація.

2. За змістом будь-яка інформація про особу.

3. За формою:

  • паперова;
  • електронна;
  • інша форма.

Приклади персональних даних:

Базові дані:

  • ПІБ;
  • дата народження;
  • місце проживання;
  • сімейний статус;
  • місце роботи.

Контактні дані:

  • номер телефону;
  • електронна пошта;
  • профілі в соціальних мережах.

Онлайн-дані:

  • IP-адреса;
  • Cookies;
  • інформація про пристрій;
  • кліки на сайті;
  • лайки у соцмережах.

Зовнішні характеристики:

  • зріст:
  • вага;
  • колір очей;
  • колір волосся.

Унікальний ідентифікатор:

Ідентифікатор може бути персональними даними залежно від обставин. Наприклад, якщо у колективі є лише один іноземець, його громадянство може виступати унікальним ідентифікатором.

3. Законодавство про персональні дані (ЗУ «Про захист персональних даних», GDPR)

1. Законодавство України:

Основні нормативно-правові акти:

  • Конституція України;
  • Закон України «Про захист персональних даних»;
  • Закон України «Про інформацію»;
  • Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»;
  • Закон України «Про доступ до публічної інформації».

2. Підзаконні акти:

  • Типовий порядок обробки персональних даних (наказ Уповноваженого ВРУ з прав людини від 08.01.2014 №1/02-14)
  • Роз’яснення Уповноваженого до цього порядку.

3. Міжнародні стандарти:

Зокрема:

  • ISO/IEC 27000
  • ISO/IEC 27001
  • ISO/IEC 27002
  • ISO/IEC 27003
  • ISO/IEC 27004
  • ISO/IEC 27005
  • ISO/IEC 27701
  • ISO/IEC 29100

4. Міжнародні правові акти

  • Загальна декларація прав людини;
  • Конвенція про захист прав людини і основоположних свобод;
  • Конвенція 108 про захист осіб при автоматизованій обробці даних;
  • GDPR (Regulation EU 2016/679);
  • Угода про асоціацію України з ЄС.

4. Застосовність GDPR до українських компаній

GDPR має екстериторіальний характер, тобто може застосовуватися до компаній поза Європейським Союзом.

Він застосовується, якщо:

  1. Компанія пропонує товари або послуги особам у ЄС або ЄЕЗ;
  2. Компанія здійснює моніторинг поведінки осіб на території ЄС або ЄЕЗ;
  3. Компанія має establishment (діяльність або представництво) у ЄС.

Важливо, що громадянство особи не має значення.

Поширеною помилкою є твердження, що GDPR застосовується лише до громадян ЄС.

5. Ролі в обробці персональних даних

У процесі обробки персональних даних виділяють такі ролі.

1. Суб’єкт персональних даних.

Це жива людина, яка ідентифікована або може бути ідентифікована.

Суб’єкт є найважливішою фігурою регламенту, оскільки:

  • надає свої персональні дані;
  • має права щодо цих даних;
  • може звертатися до регулятора або до суду.

2. Контролер.

Це особа, яка:

  • визначає мету обробки персональних даних;
  • визначає способи обробки;
  • несе первинну відповідальність за обробку даних.

3. Процесор.

Особа, яка обробляє персональні дані за дорученням контролера.

4. Співконтролери.

Дві або більше осіб, які спільно визначають мету і способи обробки персональних даних.

5. Субпроцесор.

Особа, яку процесор залучає до обробки даних за письмовою згодою контролера.

6. Треті особи.

Особи, яким можуть передаватися персональні дані.

7. Регулятор.

Орган, який здійснює контроль за дотриманням законодавства у сфері захисту персональних даних.

6. Основні категорії у сфері захисту персональних даних

1. Обробка персональних даних:

Обробка — це будь-які дії з персональними даними, зокрема:

  • збирання;
  • реєстрація;
  • накопичення;
  • зберігання;
  • адаптація;
  • зміна;
  • використання;
  • передача;
  • поширення;
  • комбінування;
  • обмеження;
  • знищення;
  • стирання;
  • знеособлення.

2. Мета обробки:

  • визначається контролером;
  • повинна бути чіткою і законною;
  • визначається до початку збору даних;
  • не може бути змінена без належної правової підстави.

3. Строк обробки:

Строк обробки — це період, протягом якого обробляються персональні дані. Він повинен бути обмеженим у часі.

7. Принципи обробки персональних даних

  1. Lawfulness, fairness and transparency – законність, справедливість і прозорість.
  2. Purpose limitation – обмеження метою.
  3. Data minimization – мінімізація даних.
  4. Accuracy – точність даних.
  5. Storage limitation – обмеження строків зберігання.
  6. Integrity and confidentiality – цілісність і конфіденційність даних.
  7. Accountability – підзвітність.

8. Правові підстави обробки персональних даних

Згідно зі статтею 11 Закону України «Про захист персональних даних» та статтею 6 GDPR, існують такі правові підстави обробки персональних даних.

  1. Згода суб’єкта персональних даних на обробку його даних.
  2. Дозвіл на обробку персональних даних, наданий володільцю відповідно до закону для здійснення його повноважень.
  3. Укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на його користь.
  4. Захист життєво важливих інтересів суб’єкта персональних даних.
  5. Виконання обов’язку володільця, передбаченого законом.
  6. Захист законних інтересів володільця або третьої особи, якщо такі інтереси не переважають права і свободи суб’єкта персональних даних.

би першими отримувати новини, підпишіться на телеграм-канал ADVOKAT POST.

Related Posts: