Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Європейські вимоги та практики у сфері захисту персональних даних.

Майстер-клас: секрети випікання найсмачніших млинців!

14.02.2025

Угодою про асоціацію між Україною та Європейським Союзом (ЄС) визначено важливість наближення чинного законодавства України до законодавства ЄС, і Україна поступово здійснює заходи з гармонізації чинного законодавства. В даному контексті розглянемо законодавство ЄС щодо захисту персональних даних.
Діяльність щодо обробки та захисту персональних даних громадян ЄС регулюється Регламентом Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних» (GDPR, Регламент). Даний Регламент є внутрішнім актом ЄС, але сфера його впливу не обмежується кордонами ЄС, а в окремих випадках має екстериторіальну дію. Така дія Регламенту застосовна, коли надавач або постачальник, перебуваючи поза межами ЄС, надає товари та послуги споживачу в ЄС, здійснюючи водночас обробку, зберігання та передачу персональних даних.
З моменту набрання чинності Регламент принципово змінив підходи щодо забезпечення захисту персональних даних, спонукаючи водночас до дотримання встановлених Регламентом норм заходами впливу або санкціями, від попередження до адміністративного штрафу, який, залежно від специфіки, тяжкості та тривалості порушення, може сягати суми:
● до 10 000 000 млн євро або, у випадку підприємства, до 2% від загального річного обігу за попередній фінансовий рік;● до 20 000 000 млн євро або, у випадку підприємства, до 4% від загального річного обігу за попередній фінансовий рік.
Отже, персональні дані, в контексті Регламенту, це доволі широке поняття, яким визначено будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи може бути ідентифіковано (суб'єкт даних). Такі дані мають оброблятися та захищатися з урахуванням встановлених Регламентом принципів:
● «Законність, правомірність і прозорість». Опрацювання персональних даних має відбуватися у законний, правомірний та прозорий спосіб стосовно суб’єкта даних;● «Цільове обмеження». Цілі збору та обробки даних мають бути чіткими та законними, сумісними на початковому та майбутніх етапах;● «Мінімізація даних». Дані мають збиратися лише у необхідному об’ємі для досягнення або «задоволення» цілі обробки даних;● «Точність». Дані мають бути точними та оновлюватися для підтримки актуальності, помилкові або неточні дані мають видалятися;● «Обмеження зберігання». Дані зберігаються не довше ніж це потрібно для досягнення мети обробки даних;● «Цілісність і конфіденційність». Дані опрацьовуються у спосіб, що гарантує належну безпеку та захист від несанкціонованої та/або незаконної обробки, пошкодження або знищення.● «Підзвітність». Контролер має відповідати переліченим принципам вище та мати можливість підтвердити та продемонструвати таку відповідність.
Водночас слід зауважити, що згідно з 9 статтею Регламенту забороняється обробляти персональні дані щодо політичних переконань, расової чи етнічної приналежності, релігійних чи філософських вірувань, сексуальної орієнтації та здоров’я. Однак така заборона має низку виключень, зокрема коли суб’єкт даних надав згоду на опрацювання таких даних чи опрацювання стосується персональних даних, що відкрито оприлюднені суб'єктом даних.
В рамках опрацювання персональних даних Регламентом визначено ряд сторін такого процесу, які мають різні відповідальності: 
● суб'єктом даних – фізична особа, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами, як ім'я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутностей такої фізичної особи;● контролер – фізична або юридична особа, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних; якщо цілі та засоби такого опрацювання визначаються законодавством Союзу чи держави-члена;● оператор – фізична або юридична особа, орган публічної влади, агентство чи інший орган, який опрацьовує персональні дані від імені контролера.
Також для забезпечення дотримання норм обробки персональних даних, встановлених Регламентом, у процесі обробки даних здійснюється моніторинг, контроль та нагляд, що виконують офіцер із захисту даних, Європейська комісія, наглядова рада ЄС із захисту персональних даних, Європейський інспектор із захисту даних та інші.
У разі наявності суперечливих питань або неоднозначних трактувань встановлених норм Регламентом Європейська рада із захисту даних надає відповідні роз’яснення.
Прагнення до відповідності GDPR потребує зусиль у формалізації та розробці низки документів, якими визначаються основні засади обробки персональних, в частині сповіщення суб’єктів даних про порядок обробки персональних даних, порядку укладення договорів, повідомлення суб’єктів про особливості обробки персональних даних, порядку дій у разі звернення суб’єкта даних зі скаргою або запитом. Водночас GDPR – це не лише документи, а комплекс заходів, який містить і технічну частину, яка включає наявність необхідної інфраструктури та відповідних компонентів або складників, здатних забезпечити належну обробку та захист персональних даних. 
Шлях до відповідності нормам GDPR може бути тернистим та розтягнутим у часі, потребуючи залучення ТОП-менеджменту, юристів, методологів, представників технічних направлень та наявності відповідних ІТ-ресурсів, але позитивний та успішний кінцевий результат, GDPR compliance, допоможе уникнути фінансових та репутаційних збитків і отримати нові можливості ведення бізнесу на європейському ринку.

IT Specialist — безпечна інтеграція в майбутнє.

Автор статті: Дмитро Чуб, Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів.

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124