Персональні дані, опубліковані в мережі, зібрані або передані будь-яким іншим способом, стають цінним надбанням багатьох сторін: держави, політичних сил, комерційних установ, приватних осіб  і перетворюються в один з найбільш цінних і запитуваних «товарів».

«Моє особисте життя – це персональне», так мабуть зараз подумає кожен.

Хтось ймовірніше згадає статтю 32 Конституції України яка говорить, що ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.

До того ж і статтю 8 Конвенції про захист прав людини і основоположних свобод, де з 1990 року зазначено, що кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції.

Однак, персональні дані – це валюта сучасного світу.

У сучасному світі без персональних даних  не можливо уявити функціонування починаючи з невеличкої маркетингової компанії, аж до «легенд» цифрового бізнесу, таких як Facebook, Google та інше.  

Згідно дослідженням ICO Bench, у 2018 році світовий прибуток від використання персональних даних сягнув понад $ 250 млрд.

Загальному, ситуація з персональними даними стала неабияким поштовхом для більшості країн світу у прийняті термінових заходів посилення контролю, з боку держав.

General Data Protection Regulation (GDPR), або Загальний регламент про захист даних – це обов’язковий для застосування в усіх країнах-членах ЄС документ, що визначає вимоги до захисту персональних даних громадян країн ЄС. Регламент надає кожному громадянину ЄС більший контроль над своїми особистими даними і визначає обов’язки та відповідальність компаній та організацій, що їх збирають, використовують чи іншим чином обробляють. Регламент був ухвалений ще у 2016 році і вступив у силу 26 травня 2018 року. 

При недотриманні Регламенту, яке потягне за собою витік / неправомірну обробку даних або розкриття конфіденційності, передбачені санкції і штрафи в розмірі до 20 млн євро або 4% від річного обороту за попередній фінансовий рік.

Перший рік впровадження GDPR наочно показав, що за дотриманням Регламенту ведеться активний контроль, і виконання нових правил обов’язково для всіх. Багато бізнесів не встигли вчасно відреагувати на оновлення законодавства про захист даних, за що і отримали великі штрафи.Один з гучних випадків — це халатність Google. Французька комісія у справах інформаційних технологій і прав людини (CNIL) оштрафувала власників пошукової системи на 50 млн євро. Компанію звинуватили в порушенні законодавства ЄС, який передбачає донесення до користувачів інформації про збір та обробку їх персональних даних.Скарга була подана користувачами сервісу до французького органу і полягала в тому, що компанія збирає дані, не даючи повної інформації про їх обсяги і способі зберігання. Але Google, можна сказати, відбулася легким переляком, адже максимальна санкція за порушення GDPR може досягати 4% річного обороту всього холдингу.Великий штраф в розмірі 204 млн євро був виставлений British Airways в Великобританії. Авіакомпанію звинуватили в недотриманні вимог щодо безпеки, що призвело до витоку даних 500 тисяч клієнтів. Мережі готелів Marriott у Великобританії був виставлений штраф в 110 млн євро за витік даних приблизно 339 млн гостей.Рекордсменом серед порушників став Facebook зі штрафом в 5 млрд євро за порушення приватності у справі Cambridge Analytica.

GDPR та Україна.

1. В першу чергу регламент GDPR стосується українських компаній, що мають постійне перебування в ЄС. Наприклад: через установи, філії та представництва. Будь-яка передача персональних даних резидентів ЄС та будь-яким методом тягне за собою обов’язок здійснювати обробку останніх отриманих персональних даних у відповідності до Регламенту GDPR.
2. Також, під дію регламенту потрапляє обробка персональних даних фізичних осіб – резидентів ЄС, під час виконання договорів про співпрацю, господарських договорів та інших укладених угодах українськими компаніями з контрагентами з ЄС.
3. Вимоги регламенту розповсюджуються також на українських суб’єктів господарювання і в тому випадку, якщо їх діяльність по обробці персональних даних пов’язана із продажем товарів і послуг. До цього ж, пристальну увагу варто звернути і на те, що тут враховується навіть наступне: використання мови, валюти, згадування споживачів, що знаходяться у ЄС та інше.

Таким чином, українські компанії, що здійснюють обробку персональних даних громадян ЄС в ході пропозиції або надання їм послуг, реалізації товарів в мережі інтернет, а до того ж, на веб-сайті зазначено валюту розрахунку не лише у гривнях, а й у доларах/євро/фунтах тощо, а сам веб-сайт викладениц ще й англійською/німецькою/французькою – майте на увазі, ви ймовірніше за все, потрапляєте під дію регламенту GDPR.

Незважаючи на початок дії регламенту GDPR, такі значні штрафи покладені на міжнародні компанії, Українське законодавство так і не розпочало своєї роботи спрямованої на приведення норм чинного законодавства із захисту персональних даних до вимог регламенту GDPR.

Загалом Українське законодавство містить ряд законів та норм, що регулюють питання обробки персональних даних. До такого віднесений Закон України «Про захист персональних даних», яким передбачаються основні принципи, які закріплені в GDPR.

Однак. Чимало норм, важелів та контролюючих питань не знаходять свого відображення в нормах чинного законодавства.

З урахуванням сучасної важливості євроінтеграції України все ж таки обов’язковим є приведення чинного законодавства з питань захисту персональних даних до регламенту GDPR, а також запровадження контролю всередині країни за належним виконання збору та обробки персональних даних.

Також, кожній Українській компанії (незалежно від того, розповсюджується на її діяльність норми регламенту  GDPR чи ні, необхідно провести аудит та систематизувати вже наявні дані, а також здійснювати належне отримання згоди на обробку персональних даних, зберігання, конфіденційність.

Не варто нехтувати правами та гарантіями громадян України чи то громадян іншої країни.

Адвокат, Адвокатське об’єднання Кравець і партнери

Карина Василевська 

Адвокатская компания Кравец и Партнеры