Офіційний український переклад що до всієї інформації сайту agrotimes.ua
ВАЖЛИВО! З 25 травня 2018 р. застосовуються положення Загального регламенту захисту даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) щодо захисту персональних даних усіх осіб в межах Європейського Союзу та Європейської економічної зони. Регламент також стосується експорту персональних даних за межі ЄС і ЄЕЗ.
Дивіться оригінальну статтю англійською мовою за посиланням: General Data Protection Regulation
Даний Регламент встановлює норми, пов’язані із захистом фізичних осіб щодо обробки персональних даних і норми, що стосуються вільного переміщення персональних даних. Також Регламент захищає основні права і свободи фізичних осіб, і, зокрема, їх право на захист персональних даних.Регламентом також описано та розширено перелік прав суб’єктів персональних даних:
- право на інформацію про обробку;
- право на доступ до даних;
- право на виправлення даних;
- право на видалення даних;
- право на обмеження обробки;
- право переносу даних; право на заперечення;
- права щодо автоматизованого прийняття рішень, включаючи складання профілю;
- право знати про витоки даних.
25 квітня 2018 р. затверджено офіційний український переклад Регламенту.
GDPR: міфи та реальність
GeneralDataProtectionRegulation (GDPR) став одним із найбільш суворих правових актів, що регулюють обробку та захист персональних даних. Акт увійде в силу 25-го травня 2018 року і кардинально змінить спосіб збору та захисту персональних даних.
Компанії, що діють на території Європейського Союзу вже вносять зміни щодо механізмів обробки клієнтської інформації. Ми спробували розвіяти окремі міфи, які існують навколо GDPR, разом із юристом Європейського суду та колишнім керівником Управління захисту персональних даних Секретаріату Уповноваженого Верховної Ради України у 2013-2015 рр. Маркіяном Бемом.
Один з найпоширеніших міфів щодо GDPR – це те, що українські компанії зможуть легко уникнути виконання регламенту. Чи це правда? Бо здається, що старий підхід – краще заплатити штраф, ніж виконувати певні вимоги – вже не діятиме, оскільки регуляційні органи отримають право накладати величезні штрафи за порушення даної регуляції.
Існують такі механізми, особливо, коли ми говоримо про екстериторіальне застосування, що означає регламент поширюватиме свою дію на українські компанії, а для того, щоб ця дія була ефективною, мають бути якісь санкції, якась відповідальність за недотримання регламенту. От у цій частині, мабуть, є найбільші проблеми. Дійсно, до деяких українських компаній може застосовуватися регламент, однак постає питання: «Що вони нам зроблять, якщо ми його не дотримаємось?». Факт поширення екстериторіального застосування тягне за собою обов’язок призначити представника на території ЄС, який слідкуватиме за дотриманням зобов’язань української компанії. У регламенті є чіткий пункт, який говорить про те, що даний представник повинен підлягати процедурам щодо примусового виконання. Компанії зобов’язані призначати представника, який відповідатиме за їхні порушення персональних даних.
Це може бути як фізична, так і юридична особа, однак вона має бути чітко уповноважена в окремому письмовому документі. Вона повинна співпрацювати з суб’єктами персональних даних з території ЄС, надавати відповідь щодо того, як обробляються їхні персональні дані, давати роз’яснення щодо обробки, співпрацювати з наглядовими органами, тобто на їхній запит надавати інформацію щодо того, як обробляються дані, яка українська компанія, де вона розміщена, які дані громадян ЄС вона обробляє. Ну і, звісно, якщо наглядовий орган накладає стягнення, то відповідати за порушення володільця.
А якщо в ідеалі, коли сам наглядовий орган каже, що компанія в Україні порушила законодавство про захист персональних даних?
Органи з питань захисту персональних даних, якщо вони бачать зазвичай, в яких випадках обробляються персональні дані громадян ЄС. Їх обробка може здійснюватися в рамках якихось договорів про співпрацю, комерційних контрактів, які укладені між українськими компаніями та компаніями на території ЄС. Виконання тих контрактів передбачає передачу персональних даних громадян ЄС українським компаніям. Наприклад, якийсь замовник з території ЄС доручає ІТ-компанії розробити програмне забезпечення компанії на території України.
В такому випадку, розробляється програмне забезпечення і певний час його адмініструє, тестує, а якщо певний час програмне забезпечення розраховане на обробку персональних даних громадян ЄС, то вона отримає доступ до них. Можна навести багато випадків, коли українські компанії можуть отримувати персональні дані з ЄС.
Як написати Privacy Policy так, щоб по тебе не прийшов GDPR-патруль