З травня цього року Європейська спільнота розпочинає наймаштабніші за останні роки зміни в сфері захисту персональних даних. Повʼязано це, перш за все, зі збільшенням обсягів цифрової інформації, що зберігається в мережі, а також із занепокоєнням з питань кібербезпеки.
Для цього розпочне свою дію новий Загальний регламент ЄС щодо захисту персональних даних.
І, хоча Україна поки що не є діючим членом ЄС, цей Регламент безпосередньо стосується і її також, тому далі ми розглянемо, які концептуальні зміни будуть впроваджені і що зробити для убезпечення себе від порушення нових правил.
Тож, основні нововведення нового Регламенту:
- Впроваджено більш широке поняття для тлумачення терміну «персональні дані». Відтепер до них попадатимуть і дані ІР-адрес, МАС-адреси, cookies-файли та ін.
- Регламент діятиме не тільки в країнах ЄС, а буде обовʼязковим і для субʼєктів господарювання – резидентів інших країн, якщо під час ведення своєї господарської діяльності вони співпрацюють з громадянами ЄС і збирають їх персональні дані. Саме тому ці нововведення, як ми зазначили раніше, безпосередньо стосуються і України.
- Дозвіл на використання персональних даних від фізичної особи має бути однозначним та підтвердженим.
- Вводяться нові принципи використання персональних даних. Зокрема:
- Законність, справедливість і прозорість – передбачає використання персональних даних виключно у визначених законодавством межах, а також обовʼязок надати інформацію про таке використання субʼєкту персональних даних у чіткому і зрозумілому вигляді.
- Цільове обмеження – використання персональних даних виключно із заявленою метою.
- Мінімізація даних – збір і використання тільки тих даних, що дійсно необхідні для ведення такої господарської діяльності.
- Точність даних – передбачає актуальність даних (і видалення застарілої інформації).
- Обмеження зберігання – передбачає обовʼязок видалення даних, якщо вони більше не потрібні.
- Цілісність і конфіденційність – передбачає захист отриманих даних від злому і випадкової втрати.
- Звітність – передбачає від компанії обовʼязок продемонструвати (за необхідності) докази дотримання норм Регламенту.
- Регламент надає приватним особам (володільцям персональних даних) значний обсяг прав щодо контролю за використанням їх даних, як то отримання інформації про використання їх персональних даних, вимоги про видалення таких даних та інше.
Зауважимо, що значні штрафи, впроваджені за недотримання норм Регламенту (4% від річного обороту або 20 мільйонів євро) роблять його норми обовʼязковими для виконання.
Тож українські себʼєкти господарювання вже можуть розпочинати перші кроки для дотримання нових норм. Такими кроками можуть бути:
- документування всіх наявних персональних даних із зазначенням джерела їх отримання;
- перевірка поточної політики конфіденційності і її коректування у випадку необхідності;
- аналіз процедури дотримання прав приватних осіб (в частині оперативного надання їм інформації або видалення певних даних);
- перевірити надійність зберігання персональних даних та ступені їх захисту;
- призначити особу, відповідальну за дотримання законодавства в цій сфері.
Додатково хотілося б зазначити, що норми Регламенту ще будуть імплементуватися всіма державами в норми національного законодавства з метою узагальнення понять та термінів, для однозначного тлумачення. Тому сподіваємось, що Україна теж модернізує своє законодавство з питань збору та використання персональних даних відповідно до норм ЄС завчасно.