Чи потрібно українським компаніям дотримуватись регламенту ЄС із GDPR
25 травня 2018 року набув чинності Загальний регламент щодо захисту даних (Регламент ЄС 2016/679 від 27 квітня 2016 року або GDPR – General Data Protection Regulation). Даний регламент, який має пряму дію в усіх 28 країнах ЄС, замінить рамкову Директиву про захист персональних даних 95/46 / ЄС від 24 жовтня 1995 року.
Виконувати закон необхідно будь-якому бізнесу, незалежно від юрисдикції, у разі, якщо у роботі він використовує дані жителів Євросоюзу. Вимоги пов’язані зі зберіганням даних у знеособленому і зашифрованому вигляді, вони повинні бути захищені.
У разі витоку інформації необхідно повідомити регулюючі органи протягом 72 годин. GDPR має екстериторіальне дію і застосовується до усіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від місцезнаходження такої компанії.
Зрозуміло, філії, представництва українських, російських та інших організацій на території ЄС повинні будуть відповідати новим вимогам.
Що зобов’язані робити компанії, виходячи з вимог GDPR scope
- Переконатися, що у них є захищені системи для захисту даних окремих осіб від кібер атак і інших можливих атак, пов’язаних з випадковою втратою даних. Якщо дані передаються між фірмами, вони повинні бути зашифровані, а ризик втрати даних повинен бути зведений до мінімуму.
- Мати можливість ідентифікувати, видаляти частково або повністю всі дані, які стосуються людини, якщо людина запитує видалення цих даних. Наприклад, коли людина звільняється, вона може тепер запитати, щоб всі дані (за деякими винятками), що відносяться до неї, включаючи фотографії, були остаточно вилучиними з території локальних дисків і на мережевому рівні.
- Довести, що збережені дані окремих осіб, використовуються тільки з цільовим призначенням.
Крім усього, для компаній, що здійснюють обробку персональних даних, GDPR передбачає нові поняття, такі як DPO (data protection officer) і representative.
DPO (data protection officer) – мається на увазі інспектор з персональних даних, який в деяких випадках повинен обов’язково призначатися в штат компанії, що працює з персональними даними.
Representative – мається на увазі обов’язковий представник (фізична або юридична особа), має можливість представляти інтереси компаній, які не зареєстровані на території Європейського Союзу і не мають своєї філії або представництва для можливості комунікації з місцевими органами управління з питань захисту персональних даних.
Також, в тексті GDPR приховано багато інших вимог, дослідження і застосування яких допоможе компанії уникнути ризиків в майбутньому.
Які штрафи за недотримання вимог GDPR
Щоб зрозуміти важливість цього нововведення, штрафи за недотримання або серйозне порушення цього закону є значними і можуть становити до 4% від обороту компанії або до 20 мільйонів євро (в залежності від того, що більше).
Положення GDPR стосуються усіх без винятку компаній, однак, найбільше потрібно зосередитися тим компаніям, які організовують свою діяльність у сфері ІТ технологій і здійснюють її через всесвітню мережу Internet, так як їх діяльність більшою мірою пов’язана з персональними даними ніж діяльність будь-яких інших компаній.
Якщо у вас виникли питання до юриста у зв’язку зі вступом у силу GDPR, телефонуйте нам за номером +38 (044) 4928716 або пишіть на адресу hello@uhy-prostor.com.
Ми будемо раді вам допомогти.
