Нові правила обробки персональних даних громадян ЄС

Вітаємо!

Знаєте ви чи ні, але ще 25.05.2018 в Європі в силу вступили нові правила обробки персональних даних, встановлені Загальним регламентом щодо захисту даних (Регламент ЄС 2016/679 від 27.04.2016 або, як його частіше називають, GDPR – General Data Protection Regulation).

Як можна зрозуміти, приймав ці правила Європейський парламент, який надав їм (правилам) статусу «регламент», встановивши, що GDPR є обов’язковим для усіх країн-членів ЄС.

До чого тут Україна? Так, дійсно, яким чином регламент ЄС може стосуватися України, а точніше тих, хто живе та робить бізнес в Україні?! Справа у тому, що згідно зі ст. 3 цього Регламенту його правила діють за принципом екстериторіальності, тобто, його норми застосовується до усіх компаній, які обробляють персональні дані громадян ЄС, незалежно від місцезнаходження.

Іншими словами, якщо компанія зареєстрована в Україні, але здійснює обробку персональних даних громадян ЄС, вона має виконувати вимоги GDPR.

У цілому, можна відзначити, що норми GDPR поширюватимуться на ті українські компанії, які:

–          мають співробітників з ЄС;

–          безпосередньо постачають товари/виконують роботи/надають послуги громадянам ЄС;

–          проводять маркетингові чи інші дослідження суб’єктів ринку в ЄС;

–          використовують персональні дані громадян ЄС у своїх власних продуктах.

Звичайно, найбільшою мірою правила GDPR будуть поширюватись на ІТ-компанії, які «продають» свої «продукти» в ЄС. Але, окрім того, норми GDPR будуть поширюватися, зокрема, й на туристичні компанії, споживачами послуг яких є або можуть бути громадяни ЄС, на готелі, які обслуговують громадян із ЄС, та на усі інші компанії, які тим чи іншим чином у своїй діяльності мають відносини з громадянами ЄС.

Тема GDPR, насправді, є важливою та широкою за обсягом її освоєння. Детального вивчення та розуміння потребують, зокрема, такі питання як: що таке персональні дані (ПД), хто такі контролери та обробники ПД, які права мають суб’єкти ПД, у яких випадках та якій формі потрібно отримувати згоду на обробку ПД, які компанії обов’язково повинні мати у штаті інспектора з обробки ПД, які документи потрібно розробити та впровадити у компаніях для того, аби відповідати вимогам GDPR, та багато-багато інших.

Наразі, аби не перевантажувати інформацією, пропонуємо лише проаналізувати, чи має ваш бізнес будь-яку взаємодію з громадянами ЄС або з їх персональними даними. І якщо так, то варто завчасно здійснити усі необхідні заходи, аби бути у відповідності з вимогами GDPR, бо за їх порушення потенційно можуть бути застосовані штрафні санкції у розмірі до €20 млн або 4 % від річного обороту компанії, залежно від того, що більше.

Сергій Єфімов, адвокат

Підписатись на Моніторинг