Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
GDPR – выполнение регламента украинскими компаниями
Олег Климчук, советник, Sayenko Kharenko

Какие действия должна совершить украинская компания для выполнения этого регламента?

Украинской компании в первую очередь рекомендуется провести GDPR-аудит. Он должен включать проверку того, какие персональные данные собираются и обрабатываются, каким образом они собираются и обрабатываются, а также кем (в рамках компании и на условиях аутсорсинга) и на основании каких документов они обрабатываются. При этом GDPR-аудит ограничивается только теми персональными данными, к которым применяется GDPR (ст. 3 GDPR), т. е. если украинская компания:

А) аутсорсит определенные бизнес-процессы сервис-провайдером из ЕС, которые включают обработку персональных данных (например, облачные сервисы), или клиент из ЕС привлекает украинскую компанию для оказания услуг или выполнения работ, которые также включают обработку персональных данных;

Б) предлагает товары или услуги (даже если бесплатно) субъектам персональных данных, находящимся в ЕС, и/или осуществляет мониторинг за действиями (поведением) субъектов персональных данных, которые последние осуществляют в пределах ЕС.

GDPR-аудит даст понимание объема обрабатываемых персональных данных, бизнес-процессов, в рамках которых обрабатываются персональные данные, а также даст возможность структурировать (инвентаризировать) персональные данные. Без GDPR-аудита будет практически невозможно:

А) определить, на каком правовом основании (указано в ст. 6 GDPR) владелец обрабатывает персональные данные в рамках каждого бизнес-процесса;

Б) подготовить надлежащие документы касательно обработки персональных данных (например, privacy notice, privacy policy) и привести их в соответствие с GDPR;

В) обеспечить соответствие требованиям ст. 30 GDPR по документированию обработки.

Кроме того, в тех случаях, когда вид обработки персональных данных (например, использование новых технологий автоматизированной обработки персональных данных, профайлинг, big data), а также природа, контент и цель обработки, вероятнее всего, приведут к высоким рискам для прав и свобод физических лиц, нужно проводить оценку влияния на защиту персональных данных (Data protection impact assessment), как это требуется в ст. 35 GDPR. Для владельцев и других заинтересованных лиц также доступны рекомендации касательно проведения такой проверки (Guidelines on Data Protection Impact Assessment1).

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

Важно также обеспечить наличие надлежащих организационных и технических средств и мероприятий, которые обеспечили бы достаточный уровень защиты персональных данных. Требование касательно этого, а также неисчерпывающий перечень возможных "средств и мероприятий" (например, шифрование персональных данных, техническая возможность возобновить доступность и доступ к персональным данным) предусмотрены в ст. 32 GDPR.

Какие требования в отношении формы получения согласия на обработку данных?

В первую очередь следует отметить, что одной из важных особенностей GDPR является то, что он четко не указывает, куда кому пойти и что сделать, но предусматривает общие рамочные требования. А уже контролер (в украинском законодательстве – владелец) должен продемонстрировать и доказать, что он осуществил достаточные действия для того, чтобы соответствовать GDPR в его конкретном случае. И требования GDPR касательно согласия – яркое тому подтверждение.

Применительно к форме согласия GDPR не предусматривает, в какой именно форме должно (или может) быть дано согласие на обработку. Часть 1 ст. 7 GDPR только предусматривает, что контролер должен быть в состоянии продемонстрировать, что субъект персональных данных дал согласие на обработку персональных данных, а исходя из определения "согласие" в ст. 4 GDPR, можно утверждать, что согласие должно быть свободным (freely given), конкретным (specific), информативным (informed) и недвусмысленным (unambiguous). Все. Дальше – это уже продукт комплексного понимания GDPR, его принципов (ст. 5 GDPR) и письменных рекомендаций WP29, а также регуляторов в странах ЕС. Ну и, конечно, с учетом специфики обработки и бизнес-процессов конкретной компании.

Из хороших новостей – что на практике уже выработаны определенные подходы, которые помогают бизнесу разобраться с этим вопросом. Основные требования к форме согласия, его наполнению и подаче можно суммировать следующим образом:

А) Согласие на обработку персональных данных может быть дано как в письменной, так и в любой другой (в том числе электронной) форме, при условии, что такая форма дает возможность подтвердить в дальнейшем, что полученное согласие отвечает требованиям GDPR.

Б) В случае получения согласия в электронном виде электронные записи о получении согласия должны давать возможность подтвердить, каким образом было получено согласие, когда согласие было получено и какая именно информация была предоставлена субъекту персональных данных в момент дачи согласия.

В) По содержанию согласие на обработку (независимо от его формы) должно содержать минимум следующую информацию:

– информацию о контролере (п. 42 преамбулы к GDPR). На практике такая информация включает название, адрес, контактные данные контролера;

– цель обработки персональных данных (п. 42 преамбулы к GDPR). При этом нужно учитывать требования п. (а) ч. 1 ст. 6 GDPR, согласно которой согласие должно предоставляться для одной или нескольких конкретных целей обработки;

– объем персональных данных, которые собираются и обрабатываются (исходя из определения " согласие" в ст. 4 GDPR);

– четкое указание на то, что субъект персональных данных может отозвать согласие (ч. 3 ст. 7 GDPR). При этом отозвать согласие должно быть также легко, как и предоставить его;

– если применимо, четкое указание на то, что персональные данные будут использоваться для решений, которые базируются исключительно на автоматизированной обработке, включая профайлинг (ч. 2 ст. 22 GDPR);

– если согласие касается трансграничной передачи, информация о возможных рисках передачи данных в страны, в отношении которых отсутствует решение о надлежащем уровне защиты персональных данных или отсутствуют надлежащие гарантии их защиты (ст. 49 GDPR).

Г) Нажатие электронной кнопки "Я согласен" допускается GDPR, но поставленная автоматически по умолчанию галочка, а также позиция, что бездействие или отсутствие ответа будут считаться согласием, не считаются обеспечивающими соответствие GDPR. Во исполнение требований ч. 2 ст. 7 GDPR требуется, чтобы запрос на согласие был четко отделен от любой другой информации.

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua