В Евросоюзе 25 мая вступил в силу новый Общий регламент по защите персональных данных (GDPR). Под его действие подпадут и украинские компании, которые работают на рынке ЕС. В частности, предлагающие товары/услуги в странах союза, осуществляющие мониторинг персональных данных в пределах ЕС.
Читай также: Александр Крамаренко: Дембельский аккорд
В первую очередь, GDPR определенно повлияет на степень бюрократизации всех процедур относительно обработки персональных данных физических лиц, которые находятся в ЕС. На контролеров возложено обязательство вести учет сбора и обработки информации, он должен включать, среди прочего: наименование и контакты контролера, уполномоченного лица по защите персональных данных, цель обработки, категорию персональных данных, третьих лиц, которым будет раскрыта такая информация, временные рамки хранения разных категорий данных.
Также следует упомянуть обязательство субъектов обработки данных предоставить лицу, данные которого обрабатываются, информацию о целях такой обработки, ее юридических основаниях и намерение передавать данные в другие страны (за пределами ЕС).
GDPR требует от компании назначение уполномоченного лица по защите персональных данных (DPO), в случае, если основная деятельность компании заключается в обработке персональных данных. На DPO возлагается обязанность информировать и консультировать контролера или процессора данных в соответствии с GDPR; следить за соблюдением GDPR; сотрудничать с надзорным органом; выступать в качестве контактного лица надзорного органа по вопросам, связанным с обработкой данных. В роли DPO может выступать как штатный сотрудник компании, так и лицо, работающее на основании договора об оказании услуг.
В то же время, нельзя сказать, что выполнение требований GDPR приведет к значительным финансовым затратам для бизнеса. Действительно, компаниям придется привлекать консультантов для разработки новых политик сбора, обработки и передачи персональных данных, политики конфиденциальности. Тем не менее, сама процедура сбора и обработки персональных данных из ЕС требует скорее четкого исполнения, чем существенных денежных трат. А вот уже в случае нарушения требований GDPR, регламент предусматривает значительные штрафы, что будет весьма существенной помехой для украинского бизнеса на европейском рынке.
В контексте требований GDPR Украина, к сожалению, не признана страной с достаточным уровнем защиты персональных данных. И данный регламент непосредственно затрагивает все украинские компании, которые так или иначе работают с европейским бизнесом. Как уже отмечалось, GDPR устанавливает весьма жесткие требования для передачи персональных данных из ЕС третьим странам. В этой ситуации украинская компания находится в положении процессора данных, а европейская – контролера. Такие отношения должны регулироваться контрактом на обработку персональных данных в соответствии с GDPR.
При этом передача персональных данных в Украину европейским компаниям без соответствующего договора прямо запрещена GDPR и может привести к санкциям относительно как европейской, так и украинской стороны. В частности, к штрафам в размере до 10 млн. евро или 2% годового дохода компании (в зависимости от того, какая сумма больше), либо к запрету на обработку персональных данных.
Следует отметить, что только те украинские компании, которые будут соответствовать требованиям GDPR, получат больше всего возможностей для сотрудничества с европейскими компаниями.
Читай также: МВФ и дефолт: чего ждать летом
Украинских граждан в повседневной жизни эти нововведения коснутся только в случае предоставления персональных данных компаниям, инкорпорированным в ЕС, или украинским компаниям, подпадающим под действия GDPR. В таких случаях украинцы также будут иметь права, предусмотренные GDPR: знать о сборе своих персональных данных, знать об утечке таких данных, «права на забвение» (право требовать удаления всех собранных данных) и другие.
Таким образом, вызовы GDPR коснутся даже тех компаний, которые пока не задействованы в обработке персональных данных из ЕС. Следует принять во внимание, что новый регламент является только первым шагом на пути к повышению уровня защиты персональных данных. Очевидно, что в скором времени нормы GDPR будут имплементированы и в украинское законодательство.
Старший юрист KPMG Law