General Data Protection Regulation (GDPR) – це європейський регламент, який встановлює вимоги до захисту персональних даних резидентів ЄС.
Даний Регламент встановлює норми, пов'язані із захистом фізичних осіб щодо обробки персональних даних і норми, що стосуються вільного переміщення персональних даних. Також Регламент захищає основні права і свободи фізичних осіб, і, зокрема, їх право на захист персональних даних.
Положення Регламенту встановлюють його екстериторіальну дію, у зв’язку з цим правила GDPR будуть поширюватись і на компанії, що знаходяться за межами ЄС. Варто зауважити, що дія Регламенту не поширюється на компанії, які здійснюють збір та/або обробку персональних даних резидентів, а діє лише у випадку, якщо вони в процесі своєї діяльності збирають та/або проводять обробку даних громадян ЄС.
Цей Регламент застосовується до обробки персональних даних оброблених повністю або частково автоматизованими засобами, а також до обробки персональних даних, оброблених іншими неавтоматизованими засобами, які є частиною системи обліку або невід'ємною частиною системи обліку.
Правила GDPR не застосовується при обробці персональних даних:
- щодо діяльності, яка виходить за рамки сфери дії права Євросоюзу;
- при здійсненні діяльності держав-членів, яка підпадає під дію Глави 2 Розділу V Договору про Європейський Союз;
- фізичною особою при здійсненні суто особистої або побутової діяльності;
- компетентними органами з метою запобігання, розслідування, виявлення кримінальних злочинів або виконання кримінальних покарань, включаючи захист від загроз суспільній безпеці і запобігання їм.
Регламентом також описано та розширено перелік прав суб’єктів персональних даних:
- право на інформацію про обробку;
- право на доступ до даних;
- право на виправлення даних;
- право на видалення даних;
- право на обмеження обробки;
- право переносу даних;
- право на заперечення;
- права щодо автоматизованого прийняття рішень, включаючи складання профілю;
- право знати про витоки даних.
Деталізовано та оновлено перелік інформації, яка буде віднесена до персональних даних. Згідно GDPR, персональні дані - це будь-яка інформація, що відноситься до суб’єкта даних, по якій прямо або опосередковано можна провести ідентифікацію особи. До такої інформації належить: ім'я, дані про місце розташування, онлайн ідентифікатор, один або декілька факторів характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи. Наведене в Регламенті визначення є об'ємним та дає розуміння того, що навіть IP адреси також можуть бути персональними даними.
Варто зазначити, що існують окремі типи персональних даних, які відносяться до конфіденційних або особистих даних. Це інформація, яка розкриває: расове або етнічне походження, політичні погляди, релігійні або філософські переконання і членство в профспілках. Крім того, до цієї групи належать генетичні, біометричні дані, які використовуються для ідентифікації фізичної особи, дані про стан здоров'я, відомості, що стосуються сексуального життя або сексуальної орієнтації.
Регламентом встановлено перелік вимог щодо проведення збору та/або обробки персональних даних. Такими зокрема є встановлення обов’язків щодо:
- повідомлення про випадки порушення GDPR (обов’язок повідомляти регулюючі органи (а в деяких випадках і суб'єктів даних) про будь-які порушення, пов'язаних з персональними даними протягом 72 годин після виявлення такого порушення);
- забезпечення прав суб’єктів персональних даних (в тому числі права на видалення інформації, забезпечення її переміщення або зупинки обробки персональних даних);
- призначення працівника відповідального за захист персональних даних.
Сума штрафу встановлюватиметься залежно від обставин кожного конкретного випадку та має відповідати нанесеній шкоді.
Максимальна сума штрафу за порушення GDPR встановлена на рівні не більше 20 000 000 Євро або в розмірі до 4% від обороту за весь попередній фінансовий рік, в залежності від того, яка сума більше.
Варто також звернути увагу на складність імплементації правил GDPR в Україні та можливість її застосування в цілому, оскільки на сьогодні відсутнє повне розуміння системи функціонування GDPR та встановлено високі критерії для відповідності цим правилам.
У разі виникнення питань або пропозицій просимо звертатись до юрисконсульта ПАРД Єгора Савченко за будь-якими телефонами ПАРД.