GDPR: требования и соблюдение регламента ЕС в Украине
Центр правового консалтинга
Open/Close Menu Юридическая фирма ЦПК Киев
GDPR в Украине

Около года назад в силу вступил Общий регламент о защите персональных данных (General Data Protection Regulation, кратко — GDPR). И хотя принят он был еще в 2016 году, бизнес структуры получили дополнительное время для ознакомления с документом и внедрения его в свою деятельность.

После вступления в силу регламента 25 мая 2018 года, многие субъекты хозяйствования, не только украинские, но и те, чья деятельность ведется за пределами Европейского Союза, задумались о том, затрагивает ли их этот документ.

Безусловно, основной целью принятия GDPR является защита персональных данных жителей Европейского Союза, поэтому, в первую очередь, требования регламента обязаны соблюдать учрежденные в ЕС компании, которые непосредственно выполняют сбор персональных данных европейцев. Вторую категорию составляют организации, осуществляющие продажу товаров и услуг гражданам Евросоюза. Интернет-магазины, различные онлайн-платформы – все они попадают в категорию лиц, обязанных соблюдать нормы европейского регламента. Под его действие попали также и различные дата-центры, осуществляющие мониторинг поведения жителей ЕС (для таргетированной рекламы, отбора покупателей и т.д.). Кроме того, если онлайн-сервис принимает оплату в евро или имеет домен Европейского союза – ему также необходимо внедрить в свою деятельность GDPR.

Далее возникает закономерный вопрос: что же подпадает под понятие «персональных данных» по GDPR?

Персональные данные — это любая информация, касающаяся физического лица, которое можно идентифицировать. В частности, это информация об имени, дате рождения, адресе, номере телефона, электронной почте. Персональные данные могут быть выражены не только в буквах и цифрах, но и в фотографиях, звуках, видео.

Однако стоит помнить, что сам факт наличия сведений о физическом лице не будет говорить о том, что они являются персональными данными. К примеру, отдельное взятое имя вряд ли подпадет под термин «персональных данных», однако это же имя, сопоставленное с местом проживания лица, даст возможность для его идентификации.

Многих владельцев бизнеса интересует, касается ли регламент юридических лиц. Само определение «персональных данных» предусматривает лишь информацию о физическом лице. Кроме того, обработка персональных данных юридического лица не охватывается GDPR в соответствии с пунктом 14 вступительной части регламента. Однако, не все так просто. Если сведения о юридическом лице связаны с физическим лицом и позволяют его распознать, то такая информация будет составлять персональные данные по GDPR. Например, в случае если компания носит название своего владельца.

Интересным аспектом может стать причисление к персональным данным IP-адреса. Для провайдера интернет-услуг такой адрес, безусловно, будет относиться к персональным данным, ведь с его помощью можно идентифицировать клиента.

Самое главное в регламенте о защите персональных данных – применение санкций за нарушения. Первое время многие представители бизнеса говорили, что вероятность применения штрафов довольно небольшая, так как регулирование имеет скорее декларативный характер, нежели практический. Однако, спустя некоторое время после вступления GDPR в силу, по Европейскому Союзу прошла волна первых привлечений к ответственности. В частности, местная больница Португалии получила 400 000 евро штрафа за доступ к данным пациентов через фальшивые учетные записи, а канадская компания AggregateIQ должна выплатить британским властям 17 000 000 фунтов стерлингов за использование данных пользователей Facebook, которыми ранее незаконно завладела Cambridge Analytica.

Регламент предусматривает две категории штрафов. Прежде всего, им предусмотрены существенные штрафы в размере 20 миллионов евро или 4% от годового оборота за предыдущий финансовый год для предприятий. Например, за нецелевое использование собранной информации, ее хранение дольше указанного срока, непонятные условия обработки данных, отсутствие ответственного лица, чьи контакты представятся пользователю при предоставлении персональных данных, фиксации камерами видеонаблюдения проезжей части (запись номеров авто) и др.

За более «мелкие» нарушения — санкции меньше. А именно, 10 миллионов евро либо 2% от глобального оборота. Заплатить придется, например, за отсутствие согласия детей на обработку персональных данных (такое согласие дают родители), непринятие мер для защиты данных.

Еще в 2017 году Кабинет Министров принял решение о необходимости адаптации законодательства о защите персональных данных в Украине регламенту ЕС. Однако если там GDPR был принят в 2016 году, и страны имели 2 года для подготовки для соответствия требованиям, то в Украине постановление было принято в октябре 2017 года. Такой себе инструкцией для адаптации должен был стать Закон «О защите персональных данных», но до вступления в силу самого регламента подготовить проект закона не получилось, хоть обязательства и были официально задекларированы.

Пока украинские власти проводят встречи и обсуждения относительно адаптации украинского законодательства о защите персональных данных европейскому регламенту, предприниматели задаются вопросом, как подготовить свой бизнес к таким нововведениям и не получить штрафы.

Прежде всего, необходимо определить распространяется ли действие Регламента именно на Ваш сегмент и провести аудит своей деятельности, чтобы определить имеющиеся в распоряжении компании персональные данные, цели их обработки, как они хранятся, существует ли реестр для их обработки, кому передаются данные.

Вам действительно нечего бояться, если компания не делает спам-рассылки, предупреждает посетителей своего сайта о политике конфиденциальности, не запрашивает у клиентов ненужные данные для предоставления услуг, обеспечивает должный уровень сохранности данных.

Оценить все риски и убедиться в том, что компания осуществляет свою деятельность в рамках законодательства о защите персональных данных поможет специалист в сфере защиты персональных данных. Риск применения штрафных санкций зависит исключительно от уровня ответственности, с которой Вы подходите к решению данного вопроса, поэтому к внедрению норм GDPR в деятельность предприятия стоит отнестись особенно внимательно.


Анна Клименко, ЮФ «Центр правового консалтинга»


IT юрист. Юридические услуги

IT компаниям



ООО "Центр правового консалтинга". ® ЦПК. 2005-2019. Все исключительные права на весь материал, размещенный на сайте, принадлежат ООО " Центр правового консалтинга ". Размещение материалов сайта на других площадках допускается исключительно при указании прямой видимой ссылки на первоисточник.

Pacta Sunt Servanda