У Євросоюзі 25 травня набув чинності новий Загальний регламент щодо захисту персональних даних (GDPR). Під його дію підпадуть і українські компанії, які працюють на ринку ЄС. Зокрема, ті, що пропонують товари/послуги в країнах союзу, здійснюють моніторинг персональних даних у межах ЄС.
Читай також: Олександр Крамаренко: Дембельський акорд
Насамперед GDPR безумовно вплине на ступінь бюрократизації всіх процедур щодо обробки персональних даних фізичних осіб, які перебувають у ЄС. На контролерів покладено зобов'язання вести облік збору та обробки інформації, він має включати, серед іншого: найменування та контакти контролера, уповноваженої особи із захисту персональних даних, мету обробки, категорію персональних даних, третіх осіб, яким буде розкрито таку інформацію, часові рамки зберігання різних категорій даних.
Також слід згадати зобов'язання суб'єктів обробки даних надати особі, дані якої обробляються, інформацію про мету такої обробки, її юридичні підстави та намір передавати дані в інші країни (за межами ЄС).
GDPR вимагає від компанії призначення уповноваженої особи із захисту персональних даних (DPO), у разі, якщо основна діяльність компанії полягає в обробці персональних даних. На DPO покладається обов'язок інформувати та консультувати контролера або процесора даних відповідно до GDPR; слідкувати за дотриманням GDPR; співпрацювати з наглядовим органом; виступати контактною особою наглядового органу з питань, пов'язаних з обробкою даних. У ролі DPO може виступати як штатний співробітник компанії, так і особа, яка працює на підставі договору про надання послуг.
Водночас не можна сказати, що виконання вимог GDPR призведе до значних фінансових витрат для бізнесу. Дійсно, компаніям доведеться залучати консультантів для розроблення нових політик збору, обробки та передачі персональних даних, політики конфіденційності. Проте сама процедура збору та обробки персональних даних з ЄС вимагає скоріше чіткого виконання, ніж істотних грошових витрат. А ось уже в разі порушення вимог GDPR, регламент передбачає значні штрафи, що буде досить суттєвою перешкодою для українського бізнесу на європейському ринку.
У контексті вимог GDPR Україна, на жаль, не визнана країною з достатнім рівнем захисту персональних даних. І цей регламент безпосередньо зачіпає всі українські компанії, які так чи інакше працюють з європейським бізнесом. Як уже зазначалося, GDPR встановлює вельми жорсткі вимоги для передачі персональних даних з ЄС третім країнам. У цій ситуації українська компанія перебуває в положенні процесора даних, а європейська - контролера. Такі відносини мають регулюватися контрактом на обробку персональних даних відповідно до GDPR.
При цьому передача персональних даних в Україну європейським компаніям без відповідного договору прямо заборонена GDPR і може призвести до санкцій щодо як європейської, так і української сторони. Зокрема, до штрафів у розмірі до 10 млн євро або 2% річного доходу компанії (залежно від того, яка сума більша), або до заборони на обробку персональних даних.
Слід зазначити, що тільки ті українські компанії, які відповідатимуть вимогам GDPR, отримають найбільше можливостей для співпраці з європейськими компаніями.
Читай також: МВФ і дефолт: чого чекати влітку
Українських громадян у повсякденному житті ці нововведення зачеплять лише в разі надання персональних даних компаніям, інкорпорованим у ЄС, або українським компаніям, які підпадають під дії GDPR. У таких випадках українці також матимуть права, передбачені GDPR: знати про збір своїх персональних даних, знати про витік таких даних, "права на забуття" (право вимагати видалення всіх зібраних даних) та інші.
Таким чином, виклики GDPR торкнуться навіть тих компаній, які поки що не задіяні в обробці персональних даних з ЄС. Слід взяти до уваги, що новий регламент є лише першим кроком на шляху до підвищення рівня захисту персональних даних. Очевидно, що незабаром норми GDPR будуть імплементовані і в українське законодавство.
Старший юрист KPMG Law
