Країни ЄС мають право встановлювати кримінальну відповідальність за порушення вимог GDPR, підкреслив Станіслав Коваленко

Про захист персональних даних розповів слухачами Lеgal High School офіцер із захисту даних авіакомпанії «Міжнародні авіалінії України» Станіслав Коваленко. Він нагадав про витоки формування нормативного регулювання захисту персональних даних, зокрема про Конвенцію про захист прав людини 1950 року. За словами лектора, першим документом, спрямованим на врегулювання цих питань, став Закон України «Про захист персональних даних» 2010 року.

У зв’язку з тим, що Україна взяла на себе зобов’язання щодо імплементації законодавства ЄС у деяких сферах, у тому числі з питань захисту персональних даних, найближчим часом наш закон, швидше за все, буде переглянуто або прийнято новий з урахуванням новацій та екстериторіальності дії Загального регламенту ЄС 2016/679 щодо захисту персональних даних (GDPR). На цьому документі, що набув чинності 25 травня цього року, лектор зосередив увагу слухачів, відзначивши, що GDPR замінив собою Директиву 95/46/ЄС щодо захисту персональних даних, яка діяла з 1995 року і заклала основи у сфері, пов’язаній з питаннями обробки і захисту персональних даних.

Предметом регулювання GDPR є персональні дані, але вже дещо в іншій інтерпретації, тепер це будь-яка інформація, що відноситься до ідентифікованої фізичної особи або фізичної особи, що ідентифікується (суб’єкт даних), за якою її можна визначити прямо або опосередковано. До такої інформації належить, у тому числі, ім’я, ідентифікаційний номер, дані про місце розташування, контактні дані, а також фактори, характерні для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності фізичної особи.

Порівняно з Директивою 95/46/ЄС, та й нашим Законом, GDPR надає фізичним особам більше прав у частині контролю за їх персональними даними; накладає на контролерів даних обтяжливі зобов’язання; має екстериторіальну дію, тобто поширюється на компанії (організації) за межами ЄС; передбачає розміри штрафів і дає національним регуляторам право їх накладати на компанії, які порушують вимоги GDPR; дає право країнам ЄС встановлювати кримінальну відповідальність за порушення вимог цього Регламенту.

Лектор наголосив на причинах, за якими вимоги GDPR є важливими для резидентів України. Вимоги Регламенту поширюються і на компанії (організації) за межами ЄС, якщо є один із критеріїв або їх сукупність:

— компанія здійснює діяльність (поставляє товари/виконує роботи/надає послуги) на території ЄС або для осіб, які перебувають на території ЄС, зокрема громадян ЄС;

— компанія здійснює моніторинг поведінки суб’єктів даних, якщо така поведінка має місце в межах ЄС;

— компанія має доступ до персональних даних суб’єктів з ЄС (наприклад, у компанії/на компанію працюють співробітники — громадяни ЄС).

Станіслав Коваленко запропонував простий алгоритм визначення, чи підпадає ваша компанія під вимоги GDPR. Розібратися у цьому критично необхідно, оскільки штрафи за незначні порушення вимог Регламенту становлять до 10 млн євро, або 2% від світового річного обороту (залежно від того, що більше), а за серйозні порушення — до 20 млн євро, або 4% від світового річного обороту (залежно від того, що більше).

При цьому GDPR також дає право суб’єктам персональних даних, чиї права порушено, звертатися безпосередньо до суду із позовом до контролера даних, який порушив вимоги Регламенту, зокрема права такого суб’єкта даних. Ілюструючи це положення, лектор навів приклади реальних кейсів (виявлені порушення, подані позови, накладені штрафи), що виникли вже у результаті дії GDPR, показавши тим самим, що Регламент і його вимоги застосовуються на практиці і не треба думати, що тема захисту даних — досі теорія без можливості практичного застосування.

МЕНЮ

LegalHighSchool – Вища школа для юристів і адвокатів