GDPR — застосування в Україні та ЄС

Блоги
Дата:
Loyer Hunt
6 хвилин читання

Сергій Барбашин

керуючий партнер Barbashyn Law Firm

Про те, як бізнесу правильно працювати з персональними даними за правилами GDPR: від базових вимог до практичних порад щодо захисту даних клієнтів.

Загальний регламент про захист даних GDPR почав діяти з 2018 року. Однак, навіть на сьогодні, багато хто не поглиблювався в загальні вимоги, правила застосування та інші особливості, що підтверджується загальною сумою штрафів понад 2 млрд євро за 2023 рік.

Фактично ця стаття має за мету пояснити правила застосування GDPR, на що варто звертати увагу власникам бізнесу та відповідальним за збереження персональних даних у компанії.

Критерії застосування GDPR

Сам регламент GDPR застосовується не до організацій, а до процесів всередині. При цьому, він не спрямований автоматично до всіх компаній у світі, а має свої чітко визначені критерії. Основний тригер це приналежність до Європейської економічної зони (ЄЕЗ), наприклад: наявна компанія в ЄС; використання доменів верхнього рівня («.de», «.pl», «.eu»); пропонування послуги та доставки товарів у Європу.

Тобто, якщо у вас відкрита компанія в Україні, то за загальним правилом, якщо у вас хтось випадково купить товар із ЄС, то ви ще не зобов’язані відповідати вимогам GDPR.

Водночас якщо ви цілеспрямовано ведете рекламу на європейців, використовуєте місцеві номери, вказуєте ціни у валюті держав-членів та постійно приймаєте замовлення з Європи, то це може бути чітким показником для регуляторів щодо застосування правил і до вас.

При цьому, не варто забувати за українське законодавство, бо воно може встановлювати схожі вимоги. Та, якщо ви плануєте згодом виходити на ринки ЄС, то радимо одразу опрацювати політики конфіденційності для вашого сайту або мобільного застосунку.

Типи та ролі при обробці персональних даних

Перед тим як переходити до ключових осіб, які приймають рішення в обробці варто зрозуміти що саме регулюється. Перше, вам варто розуміти що таке персональні дані (далі — ПД). Фактично це будь-яка інформація, що дозволяє ідентифікувати користувача.

Наприклад, це можуть бути: базові дані (ПІБ, вік); контактні (номер телефону, e-mail, фізична адреса); онлайн (IP адреса, файли cookies, дані про пристрій); зовнішні (зріст, вага); чутливі (дані про здоров’я) тощо. Та до останніх, чутливих, буде особлива увага з боку регулятора.

Фактично, ви як компанія збираєте ПД про ваших клієнтів, що дозволяють ідентифікувати їх між собою. Ви, як отримувач даних виступаєте як контролер ПД користувачів та маєте визначати мету, способи обробки даних, несете первинну відповідальність за обробку та маєте забезпечити правильне збереження і використання наданої інформації від користувачів.

Для надання послуг ви можете включати й інших людей, ваших працівників, субконтролерів, процесорів тощо. При цьому, користувач (суб’єкт ПД) надає інформацію про себе вам та до ваших обов’язків відноситься налагодити цей процес обробки з усіма ланками. Від чіткого інформування про цілі, які визначені до початку збору даних і до законного способу обробки.

Cookie 🍪

Окрім перерахованих вище типів ПД хотілось би виділити файли Cookie. Це файли, які дозволяються зручно користуватись сайтом, вимірювати скільки людей заходило на інтернет-ресурс, як довго ви знаходились на сторінці, до якого рядка прокрутили сторінку тощо.

Ці файли можуть дійсно покращувати ваш досвід користування та надавати зворотний зв’язок системним адміністраторам. Наприклад ви завдяки файлам cookie можете визначати мову, додавати покупки до кошика, не вводити логін та пароль на кожній сторінці.

А відповідальні за сайт можуть покращувати продуктивність, відстежувати помилки, оптимізувати завантаження сторінок, що може покращувати контент та навігацію.

Перераховані вище типи cookie зазвичай розділяють на чотири категорії: строго обов’язкові, функціональні, статистичні та маркетингові. Та, якщо враховувати НПА, судову практику та рекомендації європейських регуляторів, то користувач має право самостійно визначати який досвід користування він хоче отримати та чи використовувати щось крім обов’язкових файлів cookie.

Що потрібно вказувати в політиках конфіденційності

Насамперед важливо розрізняти поняття «Privacy Policy» та «Privacy Notice». Хоча вони можуть мати ідентичний переклад, але з юридичної сторони вони мають різне призначення, а саме:

  • Privacy Policy має використовуватись, як внутрішній документ підприємства та регулювати порядок обробки персональних даних у рамках організації, здебільшого це стосується співробітників.
  • Privacy Notice це документ, адресований суб’єктам ПД і в якому контролер вказує, яким чином він збирає, обробляє та використовує отримані дані. У порівнянні саме «Privacy Notice» має більше регуляцій, при цьому обидва документи повинні відповідати один одному.

Оскільки ми вже розібрались із визначенням, то можемо перейти до змісту. По перше, Privacy Notice має бути викладено в зрозумілій для вашого користувача формі, простою, тобто не юридичною мовою. І чим у вас менший вік середнього користувача (особливо актуально для розробників дитячих ігор), то тим зрозуміліші мають бути політики.

Враховуючи вимоги GDPR в політиках потрібно обов’язково вказати наступну інформацію: цілі, підстави, терміни обробки із чіткою ідентифікацією персональних даних, що збираються та прав ваших користувачів (суб’єктів ПД), разом з інформацією про вас, як контролера даних.

Гарним прикладом можуть бути політики конфіденційності компанії Google, де в кожному розділі в них окрім тексту є відео в якому пояснюється правові підстави під кожен випадок взаємодії. При цьому, це лише приклад, бо через масштаб компанії та кількість послуг до них більше вимог із боку регуляторів.

GDPR vs ISO

GDPR, як ми і згадували раніше, то це регламент Європейського Союзу, який визначає правила обробки персональних даних. Він має юридичну силу і є обов’язковим для виконання всіма організаціями, які обробляють дані громадян ЄС. Порушення GDPR можуть призвести до значних штрафних санкцій та юридичних наслідків.

ISO це міжнародні стандарти, узгоджені експертами на міжнародному рівні та розроблені для різних галузей промисловості. Вони не є обов’язковими, але можуть бути використані для забезпечення високого рівня якості та безпеки в організаціях. Наприклад, ISO 27001 стосується управління інформаційною безпекою, а ISO 27701 є розширенням для включення критеріїв конфіденційності в системи управління інформаційною безпекою.

Підсумовуючи, GDPR це законодавча вимога, якої мають дотримуватись компанії, перед тим як починати діяльність на території Європи. Вона не немає чіткої сертифікації, бо відсутні механізми акредитації по цьому регламенту.

Фактично компанії можуть проводити певний аудит на відповідність вимоги та видавати статус «GDPR compliant», але зазвичай такі перевірки є поверховими та не враховують повного ланцюга взаємодії з даними.

Натомість ISO не є обов’язковою, при цьому перевірка може бути гарним кроком у налагодженні процесів у середині команди. Загальна перевірка націлена на аналіз наявних політик у компанії, оцінки активів, які потребують захисту (включаючи фізичні, програмні та людські ресурси), виявлення потенційних загроз безпеці, інтерв’ю з ключовими співробітниками тощо.

Сам процес може проходження сертифікації ISO, з практики, може розтягуватись на декілька місяців, залежно від розмірів компанії та попередньої підготовки. За результатом підприємство отримує сертифікат про відповідність вимогам, що може бути вашою конкурентною перевагою та додатковою впевненістю, що процеси в середині команди налагоджені за останніми встановленими світовими стандартами.

Висновок

Дотримання вимог щодо інформаційної безпеки, правильної обробки персональних даних може бути значним викликом для компанії.

Для дотримання відповідності щодо вимог радимо не забувати про ключові принципи, що закріплені в статті 5 GDPR:

  • Обробка персональних даних має бути законною, справедливою та прозорою, де потрібно повідомляти суб’єктам чому їх дані збираються ;
  • Дані повинні збиратися тільки для конкретних, чітких і законних цілей, необхідних для виконання взятих зобов’язань перед клієнтом;
  • Ви маєте обмежуватися тільки тими даними, які є необхідними для досягнення мети, для якої вони обробляються;
  • ПД повинні бути достовірними та не викривлятись;
  • Інформація повинна зберігатися у формі, що дозволяє ідентифікувати суб’єктів даних, не довше, ніж це необхідно для цілей обробки;
  • Забезпечення належної безпеки, включаючи захист від несанкціонованої або незаконної обробки, втрати, знищення пошкодження тощо;
  • Контролер даних несе відповідальність за дотримання цих принципів і повинен бути здатним продемонструвати відповідність до них.

📌 Редакція може не поділяти думки авторів у розділі «Блоги».