Під час вебінару у Вищій школі адвокатури на тему “Захист персональних даних в Європі та Україні”, Урусова Ганна, партнер, керівник загально-юридичного департаменту компанії, адвокат, розповіла про GDPR (Загальний регламент про захист даних), про права суб’єктів даних, принципи обробки даних та підстави для їх обробки
Починаючи з 25 травня 2018 року в Європі діють правила обробки персональних даних, встановлені Регламентом Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних (Загальний регламент про захист даних) або GDPR (General Data Protection Regulation).
Дія GDPR не лімітована рамками Євросоюзу, а поширюється на всі компанії, які обробляють персональні дані резидентів ЄС, незалежно від місця знаходження такої компанії.
Взагалі цей регламент є безпрецедентний у світі, оскільки встановлює дуже посилені вимоги щодо захисту персональних даних та дуже сувору відповідальність за порушення цього регламенту.
Цей регламент стосується і України, так як Україна взяла на себе зобов’язання адаптувати своє законодавство за напрямами, що визначені угодою про асоціацію з Європейським союзом.
Суб’єктом GDPR є:
- • Організації, засновані в ЄС.
- • Інші організації, що здійснюють обробку даних європейських резидентів в зв’язку з реалізацією товарів або послуг.
- • Інші організації, що здійснюють моніторинг поведінки європейських резидентів.
Основні терміни GDPR:
- «Персональні дані» (personal data) – це будь-яка інформація, що відноситься до ідентифікованої або ідентифікуємої фізичній особі (суб’єкт даних), за якою прямо або побічно можна її визначити. До такої інформації належить в тому числі ім’я, дані про місце знаходження, онлайн ідентифікатор або один або кілька факторів характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи.
- «Обробка» (processing) – означає будь-яку операцію або набір операцій, які здійснюються з персональними даними або набором персональних даних, з використанням автоматизованих засобів або без таких, серед яких збір, запис, організація, структурування, зберігання, переробка або зміна, пошук і вибірка, експертиза, використання, розкриття за допомогою передачі, розсилка чи інший спосіб надання для доступу, групування або комбінування, відбір, стирання або знищення.
- «Контролер» (controller) – це фізична або юридична особа, державний орган, або інший орган, який самостійно або спільно з іншими, визначає цілі і засоби обробки персональних даних.(Ключова особа, яка несе найбільш сувору відповідальність за дотримання норм GDPR)
- «Процесор» (processor) – це фізична або юридична особа, державний орган, агентство або інший орган, який обробляє персональні дані від імені та за дорученням контролера.
Потрібно акцентувати увагу на дотримання положень про права суб’єктів персональних даних, принципи обробки персональних даних та підстави для обробки персональних даних. Саме за порушення цих положень наступає найбільш істотна відповідальність згідно GDPR. За дотримання цих положень відповідальність несе контролер, але процесор повинен сприяти контролеру у дотриманні цих положень при обробці персональних даних.
Права суб’єктів даних:
- 1. Право бути проінформованими – суб’єкт персональних даних має бути проінформований про те, як збираються і використовуються дані про нього.
- 2. Право доступу до своїх даних – компанія несе зобов’язання надавати доступ до персональних даних суб’єкту персональних даних.
- 3. Право на виправлення – право на виправлення або доповнення даних якщо вони не відповідають дійсності або не повні.
- 4. Право на “забуття” – право суб’єкта даних вимагати видалення персональної інформації про себе, якщо більше немає підстав для обробки цих даних, або якщо обробка неправомірна.
- 5. Право обмежити обробку – право обмежити обробку персональних даних у разі оспорювання обробки, при цьому прямо дозволяє зберігання даних.
- 6. Право на перенесення даних – компанії зобов’язані надавати безкоштовно електронну копію персональних даних іншій компанії на вимогу самого суб’єкта персональних даних (за наявності технічної можливості).
- 7. Право заперечення – право на заперечення проти використання персональних даних в наукових / історичних дослідженнях, у прямому маркетингу, при соціально-демографічному профілюванні та інших подібних діях.
- 8. Права захисту від «автоматизованих» рішень – компанія повинна забезпечити за вимогою суб’єкта даних втручання людського фактору у процес прийняття рішення.
Принципи обробки даних:
- 1) Законність, добросовісність та прозорість. Персональні дані повинні оброблятись на підставах, передбачених GDPR. Персональні дані повинні оброблятися у спосіб, що передбачає належну поінформованість суб’єкта персональних даних про обробку їхніх персональних даних.
- 2) Обмеження мети. Персональні дані повинні збиратися для точно визначених, явних і легітимних цілей та не оброблятись у спосіб, що є несумісним з цими цілями.
- 3) Мінімізація персональних даних. Склад та зміст персональних даних, що обробляються, повинен бути достатнім, адекватним, відповідним і ненадмірним відповідно до визначеної мети їх обробки.
- 4) Точність персональних даних. Дані повинні бути точними та, в разі потреби, оновлюватись відповідно до цілі їх обробки.
- 5) Обмеження зберігання. Дані повинні зберігатись у формі, що дозволяє ідентифікацію суб’єкта персональних даних не довше, ніж це необхідно для цілей, в яких вони обробляються, крім випадків, встановлених законом.
- 6) Цілісність і конфіденційність. Дані повинні оброблятися із вжиттям належних технічних та організаційних заходів в такий спосіб, що гарантує їх належну безпеку, включаючи захист від несанкціонованої або неправомірної обробки, випадкової втрати, знищення або пошкодження.
Підстави для обробки даних:
- суб’єкт даних дав згоду на обробку його персональних даних для однієї або декількох конкретних цілей;
- обробка необхідна для виконання договору, в якому суб’єкт даних є однією зі сторін, або для вжиття заходів на вимогу суб’єкта даних для укладення договору;
- обробка необхідна для дотримання правових зобов’язань, суб’єктом яких є контролер;
- обробка необхідна для захисту життєво важливих інтересів суб’єкта даних або іншої фізичної особи;
- обробка необхідна для виконання завдання, що здійснюється в інтересах суспільства або при здійсненні офіційних повноважень, покладених на контролера;
- обробка необхідна для цілей забезпечення законних інтересів контролера або третьої особи, крім випадків, коли такі інтереси не переважають інтереси або основоположні права та свободи суб’єкта персональних даних, які вимагають захисту персональних даних, особливо якщо суб’єктом персональних даних є дитина.
Стосовно згоди суб’єкта даних, то це означає будь-яку:
- вільно виражену;
- у формі активних дій;
- спеціальну;
- інформовану;
- недвозначну вказівку бажань суб’єкта даних на обробку його персональних даних.
Згода на обробку персональних даних буде недійсна, якщо у користувача не було вибору або не було можливості відкликати свою згоду без шкоди для самого себе. Якщо користувач дав згоду на обробку своїх персональних даних, контролер повинен мати можливість продемонструвати це.
Згода на обробку даних дитини має бути авторизовано батьками (або законними представниками дитини).