Что такое GDPR и как защита личных данных касается украинских компаний и ФЛП

Уже 4 месяца прошло с того момента, как знаменитый регламент ЕС по защите личных данных, GDPR, вступил в силу. Интернет бурно реагировал на переполненные инбоксы с обновленными политиками конфиденциальности различных вебсайтов, Фейсбук едва пережил скандал с Cambridge Analytica (и явно не только из-за нового регламента), а украинские юристы готовились к запросам своих клиентов относительно этой новинки.

Этот регламент на самом деле не является первым юридическим документом, регулирующим подобные правила в ЕС. До этого существовала Директива по защите данных, которая была, как свидетельствует название, всего директивой. И когда директива – это лишь рамковый закон, который служит только основой для стран-членов ЕС принимать свои законы, регламент является обязательным для применения этими странами и другими государствами, в том числе и Украины.

Стоп, стоп. ЕС всегда утверждает различные регуляции, и аббревиатура GDPR звучит круто, но разве оно влияет на Украину и особенно компании, которые ведут здесь бизнес?

Принцип экстерриториальности, или почему это важно для украинских компаний

Обычно, регламенты и директивы ЕС мало касаются Украины. Разве что мы подстраиваем наши законы в рамках гармонизации законодательства. Однако, GDPR этот раз пошел на шаг дальше. Одна из самых интересных «фишек» регламента заключается в том, что принцип его действия может распространяться и на компании, которые не зарегистрированы в ЕС.

Например, украинская компания решила создать определенный интернет сервис. При регистрации такой сервис собирает обычные данные — имя, фамилию, емейл и т.д. – пользователей, которые находятся в ЕС. Таким образом, компания уже стала контроллером данных – и соответственно, подпадает под действие регламента, так как это касается частных данных лиц, находящихся в ЕС. Или украинское ФЛП занимается аутсорсом обработки таких данных — потому, правила будут касаться и его, как процессора данных. И – что важно – не обязательно обрабатывать данные только граждан ЕС; таким субъектам данных достаточно находиться в его пределах.

В общем, GDPR устанавливает несколько случаев, когда такой контроллер или процессор будет вынужден руководствоваться этим регламентом.

Контроллер и процессор — что это за новые модные слова?

На самом деле, они уже не такие новые. Даже украинское законодательство имеет свои аналоги уже кучу лет, а именно владелец и распорядитель персональных данных. Но, понятнее значение этих слов не стали. К тому же, есть еще и субъект персональных данных.

Представим ситуацию, когда компания, зарегистрированная в Украине, разрабатывает крутое мобильное приложение для отслеживания спортивных тренировок. Потенциальный пользователь предоставляет компании определенные данные при регистрации, соглашается с политикой конфиденциальности и выполняет все обычные шаги. Но так как компания обработать очень много данных, она нанимает нескольких ФЛП для аутсорса такой деятельности.

В таком случае, потенциальный пользователь будет субъектом данных, то есть лицом, чьи данные обрабатываются. Компания, разрабатывающая мобильное приложение, является контроллером данных. Такая компания определяет «цель и средства обработки персональных данных», то есть для чего вообще собираются данные различных субъектов и как они в дальнейшем будут использоваться. ФЛП, которых можно нанимать для аутсорса, будут процессорами данных. Основная задача процессора — обрабатывать данные, которые предоставляет ему контроллер, и только так, как этот контроллер и скажет.

Обычно при обработке данных как контроллеру, так и процессору необходимо придерживаться принципов и правил регламента, чтобы никто к ним не пристал. Но бывает так, что компания обрабатывает определенные «чувствительные» данные, и тогда им нужен представитель в ЕС. А еще иногда им нужен офицер по защите данных (data protection officer), которого еще в народе зовут ди-пи-о(у). Но зачем, если компания законопослушная?

Кто такой офицер по защите данных и чем он отличается от представителя в ЕС?

Прежде всего, эти лица необходимые для обеспечения комплаенса с GDPR, то есть, чтобы компании правильно следовали указаниям этого регламента. Основная разница между офицером и представителем заключается в том, что первый является составной компании, а второй — внешним контактным лицом, так сказать.

Офицером по защите данных может быть лицо, которое владеет экспертным знанием и навыками в сфере защиты частных данных. И причем, такое лицо не обязательно должно быть составной штата компании — достаточно его привлечения за, например, договором о предоставлении услуг. Такой офицер, как правило, должен назначаться тогда, когда речь идет о регулярной и систематической обработке личных данных в большом объеме, или же об обработке «чувствительных» данных, таких как национальность, медицинские показатели и тому подобное.

Назначение представителя происходит только тогда, когда компания не находится на территории ЕС, является основной отличительной чертой между обоими. Важно также обратить внимание, что представителя можно не назначать, если компания не обрабатывает большой массив «чувствительных» данных.

Итак, если обязанности офицера носят в основном проактивный характер для предупреждения и устранения нарушений GDPR, представитель является всего лишь контактным лицом компании в ЕС «в случае чего».

И напоследок

Комплаенс с GDPR может не выглядеть таким сложным, если в нем покопаться и разобраться. Вместе с нашей юридической фирмой, вам не будет страшно нырнуть в водоворот защиты частных данных и как это все должно происходить на практике. Наши юристы дадут вам ответы на все удобные и не слишком вопросы и помогут с решением проблем.