FOLLOW US ON SOCIAL

Posted On

15
Липень
2021

GDPR. Захист персональних даних на практиці

Захист персональних даних сьогодні – надзвичайно актуальна тема. На рівні Європейського Союзу на варті безпеки таких даних стоїть General Data Protection Regulation (GDPR).

Що таке GDPR?

GDPR або Загальний регламент про захист даних – це регламент, який встановлює правила щодо обробки персональних даних фізичних осіб на території ЄС. GDPR вступив у силу в 2018 році, і з цього часу особи, які у своїй діяльності мають справу з обробкою персональних даних людей, які знаходяться на території ЄС, повинні бути GDPR-compliant, тобто їх діяльність у цій сфері має відповідати вимогам Регламенту.

Кого стосується GDPR?

Регламент стосується обробки даних осіб на території ЄС, незалежно від того, чи знаходиться особа, яка здійснює обробку, безпосередньо на території ЄС, чи ні. Таким чином, якщо певна компанія розташована, наприклад, в Україні, але вона у своїй діяльності обробляє дані резидентів ЄС, то їй необхідно бути GDPR-compliant.

За порушення або невиконання вимог Регламенту існує можливість штрафу у розмірі до 20 млн євро або 4% від загального річного обороту компанії.

Що означає GDPR на практиці? Кейси.

Основні принципи Регламенту, на яких повинен будуватися процес обробки даних, закріплені в статті 5 та є наступними:

  • законність, справедливість та прозорість обробки даних;
  • обмеження цілей обробки даних;
  • мінімізація обсягу даних, що обробляються;
  • точність і актуальність даних, що обробляються;
  • обмеження терміну зберігання даних, тобто не довше, ніж це необхідно для цілей обробки;
  • цілісність і конфіденційність даних, тобто забезпечення належної безпеки персональних даних.

Розглянемо детальніше, що означає дотримання вимог Регламенту на практиці, на прикладі конкретних кейсів.

  1. Правова основа для обробки даних (legal basis)

Важливим елементом законності обробки даних є визначення належної правової основи для здійснення таких дій. Загалом стаття 6(1) GDPR визначає шість підстав для законної обробки персональних даних:

  • згода суб’єкта персональних даних;
  • виконання контракту;
  • виконання юридичного обов’язку контролера (особа, яка визначає цілі та засоби обробки);
  • захист життєво важливих інтересів суб’єкта даних або іншої фізичної особи;
  • виконання завдання, яке виконується в інтересах суспільства;
  • для цілей законних інтересів, що переслідуються контролером або третьою стороною.

Ось, наприклад, нещодавно шведський наглядовий орган (Data Protection Authority, DPA) оштрафував транспортну компанію на 1,6 млн євро на підставі відсутності достатньої правової основи для обробки даних. Так, компанія проводила цілодобовий відео- та аудіозапис пасажирів у громадському транспорті з метою відслідковування порушень. DPA встановив, що такий довготривалий нагляд не відповідає цілям обробки, а крім того, пасажири не були достатнім чином повідомлені про таке спостереження, адже окрім відеонагляду, здійснювався й аудіозапис.

Джерело: https://www.enforcementtracker.com/ETid-733.

  1. Безпека даних (data protection by design and by default)

GDPR містить принцип data protection by design and by default. Відповідно до нього, контролер повинен реалізовувати відповідні технічні та організаційні заходи для втілення принципів захисту даних та забезпечення того, що за замовчуванням обробляються лише ті персональні дані, які необхідні для кожної конкретної мети обробки. До технічних і організаційних заходів, зокрема, можна віднести псевдонімізацію, шифрування, мінімізацію обробки даних та прозорість їх обробки, що дозволяє суб’єкту даних контролювати обробку його даних.

Так, наприклад, іспанський DPA наклав на Vodafone España штраф у розмірі 100 000 євро за недостатність технічних і організаційних заходів. Суб’єкт даних подав скаргу до DPA на телекомунікаційну компанію через те, що він отримав рекламний дзвінок від компанії, хоча особа попередньо відмовилася від отримання маркетингових повідомлень. DPA виявив, що компанія не встановила жодних заходів, щоб уникнути надходження рекламних дзвінків на номери зі списку осіб, що відмовилися від таких повідомлень.

Джерело: https://www.enforcementtracker.com/ETid-694.

  1. Права суб’єктів даних

Регламент в окремій главі 3 містить ряд прав суб’єктів даних, які повинні бути забезпечені:

  • право на доступ та інформацію щодо своїх персональних даних;
  • право на виправлення неточних даних;
  • право “бути забутим”, тобто на видалення своїх персональних даних;
  • право обмежити обробку своїх даних;
  • право на передачу своїх даних іншому контролеру;
  • право заперечувати обробку даних;
  • право не бути підданим рішенню, що грунтується виключно на автоматизованій обробці даних (таких як профайлинг).

Наприклад, грецький DPA наклав штраф на компанію у зв’язку з тим, що нею було порушено право суб’єкта даних на видалення його персональних даних. Суб’єкт подав запит на видалення своїх даних, і компанія підтвердила таке видалення, проте продовжила надсилати йому маркетингові повідомлення.

Джерело: https://www.enforcementtracker.com/ETid-703.

  1. Призначення Data Protection Officer

У деяких випадках GDPR передбачає необхідність призначення Data Protection Officer (DPO) у компанії. DPO – це співробітник або підрядник компанії, що допомагає їй здійснювати свою діяльність у відповідності до вимог Регламенту. Призначення DPO вимагається в таких випадках:

  • обробка здійснюється органом публічної влади;
  • основна діяльність контролера або процесора складається з обробки, яка вимагає регулярного та систематичного моніторингу суб’єктів даних у великих масштабах;
  • основна діяльність контролера або процесора полягає в обробці великих обсягів чутливих даних (дані про здоров’я, релігійні, політичні вподобання тощо) або персональних даних, що стосуються судимості.

Наприклад, DPA у Люксембурзі притягнув до відповідальності та наклав на компанію штраф у розмірі 18 тисяч євро за невиконання обов’язку щодо залучення DPO до всіх операцій з питань, що стосуються захисту персональних даних, а також за ненадання відповідних ресурсів для виконання DPO своїх обов’язків.

Джерело: https://www.enforcementtracker.com/ETid-726.

  1. Проведення DPIA

Для того, аби продемонструвати відповідність своєї діяльності вимогам GDPR, найкращим способом буде проведення Data Protection Impact Assessment (DPIA), тобто оцінки впливу на захист даних. Окрім цього, проведення такої оцінки допоможе компанії визначити можливі ризики для суб’єктів даних, що пов’язані з обробкою їх даних, а також визначити заходи безпеки та механізми для забезпечення захисту персональних даних, що обробляються компанією, та демонстрації відповідності Регламенту.

Висновки

Загалом необхідно розуміти, що GDPR-compliance – це не одноразове виконання певних дій, а постійний процес, який повинен стати невід’ємною частиною діяльності компанії, що здійснює обробку даних осіб із ЄС, та супроводжувати її на всіх етапах.