Захист персональних даних в Європі та Україні. Законодавство та практика: адвокат Ганна Урусова

Під час вебінару у Вищій школі адвокатури на тему “Захист персональних даних в Європі та Україні: законодавство та практика”, Урусова Ганна, партнер, керівник загально-юридичного департаменту компанії, адвокат, розповіла про Європейське законодавство з захисту персональних даних: основні терміни та засади.

З 25 травня 2018 року в Європі діють правила обробки персональних даних, встановлені Регламентом Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних (Загальний регламент про захист даних) або GDPR (General Data Protection Regulation).

Дія GDPR не лімітована рамками Євросоюзу, а поширюється на всі компанії, які обробляють персональні дані резидентів ЄС, незалежно від місцезнаходження такої компанії.

Суб’єктом GDPR є:

  • Організації, засновані в ЄС.
  • Інші організації, що здійснюють обробку даних європейських резидентів в зв’язку з реалізацією товарів або послуг.
  • Інші організації, що здійснюють моніторинг поведінки європейських резидентів.

В GDPR немає необхідності для того, щоб на організацію розповсюджувалися вимоги щодо здійснення продажу товарів та послуг.

Для вимог GDPR достатньо, щоб організація пропонувала товари та послуги на територію Європейського Союзу.

GDPR встановлює чи взагалі існує пропозиція товарів та послуг на території Європейського Союзу.

Вважається, що при пропозиції товарів та послуг на території Європейського Союзу використовується валюта будь – яких країн ЄС. Але стосовно мови, то при пропозиції товарів та послуг застосовується мова певної країни ЄС.

Основні терміни GDPR:

  • «Персональні дані» (personal data) – це будь-яка інформація, що відноситься до ідентифікованої або ідентифікуємої фізичній особі (суб’єкт даних), за якою прямо або побічно можна її визначити. До такої інформації належить в тому числі ім’я, дані про місце знаходження, онлайн ідентифікатор або один або кілька факторів характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи.
  • «Обробка» (processing) – означає будь-яку операцію або набір операцій, які здійснюються з персональними даними або набором персональних даних, з використанням автоматизованих засобів або без таких, серед яких збір, запис, організація, структурування, зберігання, переробка або зміна, пошук і вибірка, експертиза, використання, розкриття за допомогою передачі, розсилка чи інший спосіб надання для доступу, групування або комбінування, відбір, стирання або знищення.
  • «Контролер» (controller) – це фізична або юридична особа, державний орган, агентство або інший орган, який самостійно або спільно з іншими, визначає цілі і засоби обробки персональних даних.
  • «Процесор» (processor) – це фізична або юридична особа, державний орган, агентство або інший орган, який обробляє персональні дані від імені та за дорученням контролера.

Існує декілька ключових вимог, які стосуються обробки персональних даних та суб’єктів даних:

  • 1. Право бути проінформованими – суб’єкт персональних даних має бути проінформований про те, як збираються і використовуються дані про нього.
  • 2. Право доступу до своїх даних – компанія несе зобов’язання надавати доступ до персональних даних суб’єкту персональних даних.
  • 3. Право на виправлення – право на виправлення або доповнення даних якщо вони не відповідають дійсності або не повні.
  • 4. Право на “забуття” – право суб’єкта даних вимагати видалення персональної інформації про себе, якщо більше немає підстав для обробки цих даних, або якщо обробка неправомірна.
  • 5. Право обмежити обробку – право обмежити обробку персональних даних у разі оспорювання обробки, при цьому прямо дозволяє зберігання даних.
  • 6. Право на перенесення даних – компанії зобов’язані надавати безкоштовно електронну копію персональних даних іншій компанії на вимогу самого суб’єкта персональних даних (за наявності технічної можливості).
  • 7. Право заперечення – право на заперечення проти використання персональних даних в наукових / історичних дослідженнях, у прямому маркетингу, при соціально-демографічному профілюванні та інших подібних діях.
  • 8. Права захисту від «автоматизованих» рішень – компанія повинна забезпечити за вимогою суб’єкта даних втручання людського фактору у процес прийняття рішення