Які дії повинна здійснити українська компанія для виконання цього регламенту? Які вимоги до форми одержання згоди на обробку даних?
Які дії повинна здійснити українська компанія для виконання цього регламенту?
Українській компанії в першу чергу рекомендується провести GDPR-аудит. Він повинен включати перевірку того, які персональні дані збираються й обробляються, яким чином вони збираються й обробляються, а також ким (у межах компанії та на умовах аутсорсингу) і на підставі яких документів вони обробляються. При цьому GDPR-аудит обмежується лише тими персональними даними, до яких застосовується GDPR (ст. 3 GDPR), тобто якщо українська компанія:
А) аутсорсить певні бізнес-процеси сервіс-провайдером з ЄС, які включають обробку персональних даних (наприклад, хмарні сервіси), або клієнт із ЄС залучає українську компанію для надання послуг чи виконання робіт, які також включають обробку персональних даних;
Б) пропонує товари або послуги (навіть якщо безкоштовно) суб'єктам персональних даних, які знаходяться в ЄС, та/або здійснює моніторинг за діями (поведінкою) суб'єктів персональних даних, які останні здійснюють у межах ЄС.
GDPR-аудит дасть розуміння обсягу оброблюваних персональних даних, бізнес-процесів, у межах яких обробляються персональні дані, а також дасть можливість структурувати (інвентаризувати) персональні дані. Без GDPR-аудиту буде практично неможливо:
А) визначити, на якій правовій підставі (зазначена в ст. 6 GDPR) власник обробляє персональні дані в межах кожного бізнес-процесу;
Б) підготувати належні документи стосовно обробки персональних даних (наприклад, privacy notice, privacy policy) і привести їх у відповідність до GDPR;
В) забезпечити відповідність вимогам ст. 30 GDPR з документування обробки.
Крім того, у тих випадках, коли вид обробки персональних даних (наприклад, використання нових технологій автоматизованої обробки персональних даних, профайлінг, big data), а також природа, контент і мета обробки, найімовірніше, призведуть до високих ризиків для прав і свобод фізичних осіб, потрібно проводити оцінку впливу на захист персональних даних (Data protection impact assessment), як це потребується в ст. 35 GDPR. Для власників та інших зацікавлених осіб також доступні рекомендації стосовно проведення такої перевірки (Guidelines on Data Protection Impact Assessment1).
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236
Важливо також забезпечити наявність належних організаційних та технічних засобів і заходів, які забезпечили б достатній рівень захисту персональних даних. Вимога щодо цього, а також невичерпний перелік можливих "засобів і заходів" (наприклад, шифрування персональних даних, технічна можливість відновити доступність і доступ до персональних даних) передбачені в ст. 32 GDPR.
Які вимоги до форми одержання згоди на обробку даних?
Насамперед слід зазначити, що однією з важливих особливостей GDPR є те, що він чітко не вказує, куди кому піти і що зробити, але передбачає загальні рамкові вимоги. А вже контролер (в українському законодавстві – власник) повинен продемонструвати та довести, що він здійснив достатні дії для того, щоб відповідати GDPR у його конкретному випадку. І вимоги GDPR щодо згоди – яскраве тому підтвердження.
Стосовно форми згоди GDPR не передбачає, у якій саме формі має (або може) бути надано згоду на обробку. Частина 1 ст. 7 GDPR лише передбачає, що контролер повинен бути споможним продемонструвати, що суб'єкт персональних даних дав згоду на обробку персональних даних, а виходячи з визначення "згода" у ст. 4 GDPR, можна стверджувати, що згода повинна бути вільною (freely given), конкретною (specific), інформативною (informed) і недвозначною (unambiguous). Усе. Далі – це вже продукт комплексного розуміння GDPR, його принципів (ст. 5 GDPR) і письмових рекомендацій WP29, а також регуляторів у країнах ЄС. Ну і, звісно, з урахуванням специфіки обробки та бізнес-процесів конкретної компанії.
З гарних новин – що на практиці вже вироблено певні підходи, які допомагають бізнесу розібратися з цим питанням. Основні вимоги до форми згоди, її наповнення та подання можна підсумувати таким чином:
А) Згоду на обробку персональних даних може бути надано як у письмовій, так і в будь-якій іншій (у тому числі електронній) формі, за умови, що така форма дає можливість підтвердити надалі, що отримана згода відповідає вимогам GDPR.
Б) У разі одержання згоди в електронному вигляді електронні записи про одержання згоди повинні давати можливість підтвердити, яким чином було отримано згоду, коли згоду було отримано і яку саме інформацію було надано суб'єктові персональних даних у момент надання згоди.
В) За змістом згода на обробку (незалежно від її форми) має містити мінімум таку інформацію:
– інформацію про контролера (п. 42 преамбули до GDPR). На практиці така інформація включає назву, адресу, контактні дані контролера;
– мету обробки персональних даних (п. 42 преамбули до GDPR). При цьому потрібно враховувати вимоги п. (а) ч. 1 ст. 6 GDPR, згідно з якою згода повинна надаватися для однієї чи кількох конкретних цілей обробки;
– обсяг персональних даних, які збираються й обробляються (виходячи з визначення "згода" у ст. 4 GDPR);
– чітка вказівка на те, що суб'єкт персональних даних може відкликати згоду (ч. 3 ст. 7 GDPR). При цьому відкликати згоду має бути також легко, як і надати її;
– якщо застосовно, чітку вказівку на те, що персональні дані використовуватимуться для рішень, які базуються виключно на автоматизованій обробці, включаючи профайлінг (ч. 2 ст. 22 GDPR);
– якщо згода стосується транскордонної передачі, інформація про можливі ризики передачі даних до країн, щодо яких відсутнє рішення про належний рівень захисту персональних даних або відсутні належні гарантії їх захисту (ст. 49 GDPR).
Г) Натискання електронної кнопки "Я згоден" допускається GDPR, проте поставлена автоматично за умовчанням галочка, а також позиція, що бездіяльність чи відсутність відповіді уважатимуться згодою, не вважаються такими, що забезпечують відповідність GDPR. На виконання вимог ч. 2 ст. 7 GDPR потрібно, щоб запит на згоду був чітко відділений від будь-якої іншої інформації.
Матеріал надано редакцією видання ЮРИСТ&ЗАКОН
_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018
У разі цитування або іншого використання
матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.
