GDPR в Україні: хто підпадає під дію норм нового регламенту?

GDPR в Україні: хто підпадає під дію норм нового регламенту?

4 Лютого 2019
9444
4 Лютого 2019
15:30

GDPR в Україні: хто підпадає під дію норм нового регламенту?

9444
Загальний регламент про захист даних (General Data Protection Regulation, GDPR) набув чинності 25 травня 2018 року й довго залишався незрозумілим — на кого поширюються його положення, як тлумачити поняття, які в ньому напряму не пояснюються? Але до 2019 року EDPB (European Data Protection Board) випустив до нього окремі пояснювальні документи, а регулятори європейських країн наклали перші штрафи за порушення захисту даних користувачів, і з абстрактної загадкової матерії GDPR потроху почав набирати виразніших обрисів.
GDPR в Україні: хто підпадає під дію норм нового регламенту?
GDPR в Україні: хто підпадає під дію норм нового регламенту?

Штрафів буде більше?

Минулого року найгучнішим кейсом був штраф у 50 мільйонів євро, який французький регулятор CNIL наклав на компанію Google. Поки що це найбільший штраф, накладений у рамках нового регламенту про захист даних. CNIL дійшов висновку, що Google не надала користувачам достатньо інформації про те, які дані вона збирає, та не дала їм достатньо контролю над налаштуваннями приватності. Згідно з новими положеннями, згода користувача на збір інформації має бути вільно наданою, конкретною, обґрунтованою та поінформованою.

Серед інших кейсів — штраф на 4000 євро, накладений на компанію в Австрії за здійснення незаконної зйомки перехожих біля входу в офіс (камера спостереження знімала не лише безпосередньо вхід, але й частину тротуару), штраф на 20 тис. євро в Німеччині за відсутність технічних засобів захисту персональних даних користувачів у разі хакерських атак і штраф на 400 тис. євро в Португалії, накладений на медичну клініку, яка не захистила належним чином персональні акаунти пацієнтів від стороннього доступу.

Окрім штрафів, компаніям можуть загрожувати і блокування на території ЄС. Наприклад, як це було з американськими медіахолдингами Tronc, Lee Enterprises та GateHouse Media. Серед видань, які належать їм, — The Los Angeles Times, The Chicago Tribune, The Boston Globe, New York Daily News, Newsday. Сайти холдингів були заблоковані в ЄС через те, що не привели свою роботу у відповідність до вимог GDPR.

Як прогнозують Сергій Богорада та Андрій Корнія з Legal IT Group, це були лише перші кейси застосування регламенту GDPR на практиці й у 2019 році компаній, які притягнуть до відповідальності за порушення, побільшає.

Чи українські компанії мають працювати за GDPR

EDPB (European Data Protection Board) на своєму сайті виклав низку гайдлайнів щодо нового законодавства. В цьому розділі орган також дає пояснення термінів, які залишалися розмитими та незрозумілими. Експерти Сергій Богорада й Андрій Корнія під час вебінару розібрали ті, які важливо розуміти українським компаніям та організаціям для «комплаєнсу» з GDPR.

Наприклад, у положеннях важливим є поняття «осідок». У статті 3 GDPR йдеться про те, що регламент застосовується до обробки даних у контексті діяльності осідку контролера або обробника в ЄС, незалежно від того, відбувається власне обробка в межах ЄС чи ні. Іншими словами: якщо компанія безпосередньо зареєстрована на території ЄС, то норми GDPR на неї точно діють.

Осідок контролера має відповідати кільком основним ознакам: стабільна організація на території ЄС, у неї не обов’язково наявний статус юридичної особи, наявні стабільні домовленості з контролером або обробником. Наприклад, українська компанія, яка має представництво або філію на території ЄС, навіть без статусу юридичної особи, й при цьому здійснює обробку персональних даних, має відповідати вимогам GDPR. Іноді наявність навіть одного представника чи агента на території ЄС може розглядатися як те, що в української компанії є осідок на території ЄС.

EDPB пояснює, що юридичного значення місце обробки персональних даних не має, так само як і місце перебування суб’єктів даних чи їхнє громадянство. Наприклад, якщо турист із Німеччини звернеться по послуги до української компанії, яка працює лише на території України, то ця компанія не буде зобов’язана підпорядковуватися GDPR. Або інший приклад — компанія, яка зареєстрована на території ЄС й здійснює обробку даних українських користувачів у Китаї, має підпорядковуватися GDPR. Це зумовлено тим, що вона зареєстрована в ЄС.

Як пояснили експерти, для України важливою є частина друга статті третьої, яка передбачає екстратериторіальну дію закону. В ній ідеться про те, що регламент застосовується до обробки персональних даних контролером або обробником, який має осідок поза межами ЄС (наприклад, компанія з України), якщо обробка пов’язана з постачанням товарів чи наданням послуг на території ЄС або з моніторингом поведінки суб’єктів даних, якщо така поведінка має місце на території ЄС.

Перший важливий момент — послуги й товари можуть надаватися й безкоштовно. Другий — не обов’язково постачати ці послуги й товари, для застосування норм GDPR достатньо й «комерційного наміру». Що ще тут варто взяти до уваги:

  • мова, якою доступний сайт. Якщо сайт доступний мовою однієї з країн — членів ЄС, це є ознакою того, що компанія постачає товари та послуги на території ЄС;
  • домен, зареєстрований у зоні ЄС;
  • пропозиція поставки товарів чи надання послуг на території ЄС;
  • прийом оплати в євро;
  • чи має місце моніторинг поведінки суб’єктів даних на території ЄС.

Наприклад, якщо є інтернет-магазин, сайт якого працює лише українською мовою, але він приймає оплату в гривнях, доларах та євро, то він оцінюється як такий, що не таргетований на роботу за межами України. А от якщо сайт розроблений не лише українською, але, наприклад, і німецькою, й хоча замовлення може бути зроблене громадянином ЄС у межах України, тут уже йтиметься про відповідність до GDPR. Ще один приклад, який наводять експерти: українська компанія розробляє фітнес-додаток, який моніторить активність користувачів на території ЄС. Це ілюстрація до частини про «моніторинг поведінки суб’єктів даних, якщо така поведінка має місце на території ЄС». Тож на компанію будуть діяти норми GDPR, ба більше: дані про здоров’я вважаються чутливими, тому на неї будуть покладені обов’язки із проведення спеціальної оцінки Data Protection Impact Assessment. Можливо, їй буде призначений і Data Protection Officer.

Загалом, за оцінкою експертів, компанії потрібно близько 40 документів для того, щоби вести свою роботу відповідно до положень GDPR. Більшість із них є внутрішніми документами й лише незначна їх частина повинна розміщуватися на сайті. Ці документи використовуються для того, щоби довести регуляторним органам підзвітність компанії, показати, що вона веде свою роботу згідно із GDPR. При цьому важливо прописати не лише політику приватності, яка викладається в публічний доступ на сайті, але внутрішні документи про ролі та відповідальність при обробці даних всередині компанії.

ePrivacy Regulation

Документ ePrivacy Regulation поки що перебуває на обговоренні в Раді ЄС й натомість у дії залишається Electronic Privacy Directive 2002 року, яка не зовсім відповідає положенням GDPR. Тож, за оцінками експертів із Legal IT Group, це лише питання часу — коли його приймуть.

Зокрема, документ регулює використання файлів cookies, пряме надсилання маркетингових матеріалів, двоетапну підписку Double Opt-In. Згідно з ePrivacy Regulation, низку налаштувань приватності браузера будуть використовувати як згоду або незгоду на надання та обробку персональних даних. Файли cookies, які використовуються для покращення роботи сайту, не потребуватимуть отримання згоди від користувача. А для оформлення підписки користувач має додатково підтвердити свою електронну адресу через лист. Таким чином він дає однозначну згоду на те, що хоче отримувати підписку. Й це лише кілька прикладів. Здебільшого користувачі не читають величезні тексти з умовами та поясненнями того, на що вони погоджуються, використовуючи сайт, й просто натискають «ОК». А такий механізм не забезпечує захисту їхніх прав та свобод, тож в ePrivacy Regulation передбачається отримання конкретної та поінформованої згоди. Загалом, ePrivacy Regulation суттєво може змінити правила регулювання у сфері захисту персональних даних. Але на відміну від GDPR, ePrivacy Regulation передбачає, що в країн буде певна свобода дій для ухвалення остаточних правил, які в них діятимуть.

Фото: smartsupp

Команда «Детектора медіа» понад 20 років виконує роль watchdog'a українських медіа. Ми аналізуємо якість контенту і спонукаємо медіагравців дотримуватися професійних та етичних стандартів. Щоб інформація, яку отримуєте ви, була правдивою та повною.

До 22-річчя з дня народження видання ми відновлюємо нашу Спільноту! Це коло активних людей, які хочуть та можуть фінансово підтримати наше видання, долучитися до генерування спільних ідей та отримувати більше ексклюзивної інформації про стан справ в українських медіа.

Мабуть, ще ніколи якісна журналістика не була такою важливою, як сьогодні.
* Знайшовши помилку, виділіть її та натисніть Ctrl+Enter.
9444
Коментарі
1
оновити
Код:
Ім'я:
Текст:
Сергій Богарада
1802 дн. тому
Дуже цікавий матеріал. Дякую за посилання на мене як одного з експертів в сфері застосування Європейського Регламенту. Наразі Європейські органи щільно займаються питанням визначення кола осіб, які підпадають під вимоги GDPR, а також на повну займаються застосуванням штрафних санкцій до компаній, діяльність яких не відповідає встановленим вимогам. Можна детально ознйомитися з такою інформацією тут https://bsoprivacygroup.com . Автору ще раз, дуже велика подяка за матеріал.
Долучайтеся до Спільноти «Детектора медіа»!
Ми прагнемо об’єднати тих, хто вміє критично мислити та прагне змінювати український медіапростір на краще. Разом ми сильніші!
Спільнота ДМ
Використовуючи наш сайт ви даєте нам згоду на використання файлів cookie на вашому пристрої.
Даю згоду