Уже 4 місяці пройшло з того моменту, як славнозвісний регламент ЄС щодо захисту приватних даних, GDPR,набрав чинності. Інтернет бурно реагував на переповнені інбокси з оновленнями політиками приватності різних вебсайтів, Фейсбук заледве пережив скандал з Cambridge Analytica (і явно не тільки через новий регламент), а українські юристи готувались до запитів своїх клієнтів стосовно цієї новинки.
Цей регламент, насправді, не є першим юридичним документом, який регулює подібні правила в ЄС. До цього існувала Директива із захисту даних, яка була, як свідчить назва, всього директивою. І коли директива – це лиш рамковий закон, який слугує тільки основою для країн-членів ЄС приймати свої закони, регламент є обов’язковим для застосування цими країнами та іншими державами, у тому числі й Україною.
Стоп, стоп. ЄС завжди затверджує різні регуляції, та й абревіатура GDPR звучить класно, але хіба воно має вплив на Україну та особливо компанії, які ведуть тут бізнес?
Принцип екстериторіальності, або чому це важливо для українських компаній
Зазвичай, регламенти та директиви ЄС мало стосуються України. Хіба що ми підлаштовуємо наші закони до їхніх в рамках гармонізації законодавства. Проте, GDPR цього разу пішов на крок далі. Одна з найцікавіших «фішок» регламенту полягає в тому, що принцип його дії може поширюватись і на компанії, які не зареєстровані в ЄС.
Наприклад, українська компанія вирішила створити певний інтернет сервіс. При реєстрації такий сервіс збирає звичайні дані – ім’я, прізвище, емейл тощо – користувачів, які знаходяться в ЄС. Таким чином, компанія уже стала контролером даних – і відповідно, підпадає під дію регламенту, так як це стосується приватних даних осіб, що знаходяться в ЄС.Або ж український ФОП займається аутсорсом обробки таких даних – тому, правила будуть стосуватись і його, як процесора даних. І – що важливо –це не обов’язково обробляти дані тільки громадяни ЄС; таким особам достатньо перебувати в його межах.
Загалом, GDPR встановлює кілька випадків, коли такий контролер чи процесор буде змушений керуватись цим регламентом.
Контролер і процесор – що це за нові модні слова?
Насправді, вони вже не такі нові. Навіть українське законодавство теж має свої відповідники уже купу років, а саме володілець та розпорядник персональних даних. Але, зрозумілішими значення цих слів не стали. До того ж, ще є й суб’єкт персональних даних.
Уявімо ситуацію, коли компанія, що зареєстрована в Україні, розробляє класний мобільний додаток для відстеження спортивних тренувань. Потенційний користувач надає компанії певні свої дані при реєстрації, погоджується з політикою конфіденційності і виконує всі звичайні кроки. Але так як компанія має обробити дуже багато даних, вона наймає кількох ФОПів для аутсорсу такої діяльності.
В такому випадку, потенційний користувач буде суб’єктом даних, тобто особою, чиї дані обробляються. Компанія, що розробляє мобільний додаток, є контролером даних.Така компанія визначає «мету та засоби обробки персональних даних», тобто для чого взагалі збираються дані різних суб’єктів і як вони у подальшому використовуватимуться. ФОПи, яких можна наймати для аутсорсу, будуть процесорами даних. Основне завдання процесора – обробляти дані, які надає йому контролер, і тільки так, як цей контролер і скаже.
Зазвичай при обробці даних як контролеру, так і процесору необхідно дотримуватись принципів та правил регламенту, щоб ніхто до них не причепився. Але буває так, що компанія обробляє певні «чутливі» дані, і тоді їм потрібен представник в ЄС. А ще деколи їм потрібен офіцер з захисту даних (data protection officer), якого щев народі кличуть ді-пі-о(у). Але для чого, якщо компанія законослухняна?
Хто такий офіцер з захисту даних та чим він відрізняється від представника в ЄС?
Перш за все, ці особи потрібні для забезпечення комплаєнсу з GDPR,тобто, щоб компанії правильно дотримувались вказівок цього регламенту. Основна різниця між офіцером та представником полягає у тому, що перший є складовою компанії, а другий – зовнішньою контактною особою, так би мовити.
Офіцером з захисту даних може бути особа, яка володіє експертним знанням та навичками у сфері захисту приватних даних. І при чому, така особа не обов’язково має бути складовою штату компанії – достатньо її залучення за, наприклад, договором про надання послуг. Такий офіцер, зазвичай, повинен призначатись тоді, коли йде мова про регулярну та систематичну обробку приватних даних у великому об’ємі, або ж про обробку «чутливих» даних, таких як національність, медичні показники тощо.
Призначення представника відбується тільки тоді, коли компанія не перебуває на території ЄС, що є також важливою відмінною рисою між обома. Важливо також звернути увагу, що представника можна не призначати, якщо компанія не обробляє великий масив «чутливих» даних.
Отож, коли обов’язки офіцера мають здебільшого проактивний характер для попередження та усунення порушень GDPR,представник є всього лиш контактною особою компанії в ЄС «у разі чогось».
І наостанок
Комплаєнс з GDPR може не виглядати таким складним, якщо у ньому покопатись та розібратись. Разом з нашою юридичною фірмою, вам буде не страшно пірнути у вир захисту приватних даних та як це все має відбуватись на практиці. Наші юристи дадуть вам відповіді на всі зручні та не дуже питання і допоможуть з вирішенням труднощів.