Новий закон про захист персональних даних
25 травня вступив новий європейський регламент, який стосується захисту персональних даних, частіше за все в інтернеті його називають абревіатурою – GDPR (General Data Protection Regulation). Метою GDPR є гарантія того, що компанії збиратимуть та зберігатимуть персональну інформацію таким чином, щоб забезпечити максимальний захист приватності осіб.
На практиці можуть виникати певні неточності в його використанні, але судова практика поступово надає повне тлумачення всіх норм регламенту. Постійні скандали та судові спори з Facebookдавно вимагали втілення такого закону, тому він буде розвиватися надалі і це лише початок.
Що таке персональні дані?
Відповідно до регламенту персональні дані - це будь-яка інформація про людину, яка допомагає її ідентифікувати: ім'я, дані про місце розташування, онлайн ідентифікатор або один або кілька факторів характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи (п. 1 ст. 4). Визначення широке і досить чітко дає зрозуміти, що навіть IP адреси також можуть бути персональними даними.
Права резидентів ЄС згідно з новим регламентом:
Регламент ЗРЗДчітко встановлює права резидентів ЄСдля повноцінного захисту їх персональних даних, а саме:
- право на інформацію про обробку;
- категорії оброблюваних персональних даних
- право знати, які персональні дані будуть відомі третім особам
- право на доступ до даних;
- право на виправлення даних;
- право на видалення даних;
- право на обмеження обробки;
- право переносу даних; право на заперечення;
- права щодо автоматизованого прийняття рішень, включаючи складання профілю;
- право знати про витоки даних
- право на забуття (right to erasure, right to be forgotten) – можливість видаляти свої особисті дані за запитом щоб уникнути їх розповсюдження або передачі третім особам.
Ніколи не надсилайте рекламу, листи тому, хто скористався правом на забуття. Компанії таким чином намагаться повернути старих клієнтів, але це суперечить правилам нового закону.
Можемо бачити, що людині надається повний контроль над своїми персональними даними, вона завжди може дізнатися, як саме і де використовуюються її персональні дані.
Особливості ЗРЗД:
Слід звернути увагу на дитячі персональні дані, бо вони заслуговують особливого захисту, адже діти менш інформовані про ризики, можливі наслідки та їх права щодо обробки персональних даних. Згода на обробку даних дитини має бути авторизована батьками (або законними представниками дитини). Віковий поріг для батьківської авторизації встановлюється державами-членами ЄС окремо (від 13 до 16 років).
Важливо відзначити, що існують певні типи персональних даних, що відносяться до категорії особливих або конфіденційних персональних даних. Це інформація, яка розкриває: расове або етнічне походження, політичні погляди, релігійні або філософські переконання і членство в профспілках. Крім того, до цієї групи належать генетичні, біометричні дані, які використовуються для ідентифікації фізичної особи, дані про стан здоров'я, відомості, що стосуються сексуального життя або сексуальної орієнтації (ст. 9). Це та інформація, яка охороняється по-особливому: жоден не має права вимагати від резидента ЄС розкриття такої інформації!
До кого буде застосований закон?
Закон стосується не лише європейський компаній, а будь-яких компаній, які оброблюють персональні дані резидента ЄС. Тобто, грубо кажучи, що це закон, який має дуже велику сферу дії. Якщо Ваша компанія володіє персональними даними хоча б одного з резидентів ЄС, то ця компанія підпадає під сферу дії цього закону. Персональні дані резидентів ЄС, які тимчасово проживають в інших країнах також охороняються цим законом, тому враховуючи експансію резидентів ЄС по світі, можна сміло сказати, що ця директива стосується більшості компаній світу, які працюють з людьми.
Як вплинув закон на компанії та сайти:
Першим наслідком імплементації даного закону є те, що ставлення компаній зміниться не лише до персональних даних резидентів ЄС, а й до решти, адже в будь-якого, наприклад Українського громадянина, може бути громадянство України, а також громадянство ЄС, про яке ніхто не знає. Оскільки штрафи досить високі, то жодна компанія не стане брати на себе такий ризик та відходити від закону та прописаних в ньому принципів оброблення персональних даних.
Щодо штрафів, то вони накладаються за недотримання вимог закону. Розмір штрафу становить від десяти до двадцяти мільйонів ЄВРО або 2-4% річного обороту компанії. Штрафи наразі достатньо великі, щоб залякати будь-яку компанію, але чи дійсно всі держави готові втілювати цей закон і чи наступатиме відповідальність за нього? Якщо мова йдеться не про резидентів ЄС, то відповідь скоріш за все буде негативною, адже ЄС буде складно контролювати ці питання за межами його дії.
Другим наслідкомє поява нової професії – DPO. Захисник персональних даних - це молода професія, яка отримала суттєвий поштовх до розвитку завдяки вступу в силу нового європейського регламенту GDPR. Ця професія встановлюється статтями 37, 38, 39 даного регламенту.
Наступним наслідкомстане можливість нормальної співпраці ЄС та інших компаній по світу лише за умови, що вони будуть повністю дотримуватися принципів даного регламенту, що важко собі уявити без інтеграції професії DPO як мінімум в секторі консалтингових послуг.
Четвертим наслідком, а скоріше просто результатом буде те, що більший процент люде почне вчитуватися у текст, який вони підписують. Сервіси відповідно до цього закону зобов'язані зазначати як саме та з якою метою вони збираються використовувати цю інформацію і вони не мають права відходити від вказаного у договорі, без письмової згоди на те резидента ЄС.
П'ятимцілком можливим наслідкомстане імплементація такого закону не лише на рівні ЄС, а й на рівні інших міжнародних організацій, адже кожна організація прагне захистити її членів.
Шостим наслідкомбуде масовий розвиток галузі захисту персональних даних, адже ЄС втіленням такого регламенту дав крутий поштовх усім іншим країнам для розвитку їнього національного законодавства.
Останнім наслідок буде помітний людям, які просто купують в інтернет-магазинах речі, стане зменшення спаму. Електронна почта - це теж персональна інформація, оскільки вона побічно вказує на особу. На цій підставі особа має право вимагати її видалення або виправлення.
Що ми отримуємо в кінці?
GDPR - найважливіший законодавчий документ, який суттєво підвищує рівень захисту персональних даних в ЄС і за його межами. Цей закон стосується не лише компаній в межах ЄС, а більшості компаній світу.Це стане масовим поштовхом до розвитку цієї галузі права на міжнародному та національному рівнях. Закон постійно розвивається шляхом судової практики та втілення нових норм, тому нехтувати ним не слід. Остаточний вплив ЗРЗД залежатиме від того, наскільки активно користувачі застосовуватимуть свої нові права. Тенденція збереження приватності поширюється, тому цілком можливо, що зовсім скоро цей закон буде розширюватися.
Ознайомитись безпосередньо з законом можна за посиланням: https://gdpr-info.eu
Офіційний сайт ЄС: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679
Дата на публикуване: 08.01.2019