25 травня набув чинності новий регламент Євросоюзу – General Data Protection Regulation (GDPR). Це правовий акт, що посилить контроль за процесом збору, обробки і розповсюдження персональних даних на території Євросоюзу і за його межами. Відповідно до GDPR, компанії в усьому світі оновлюють власні системи захисту та обробки персональних даних.

Напередодні впровадження GDPR в UNIT.City відбулася зустріч «UNIT.Talk. Чи варто боятися GDPR»? Юрист компанії Competera Юлія Казьмірик розповіла, які саме кроки має зробити бізнес, аби відповідати новим нормам. K750 публікує конспект виступу зі слайдами презентації.

Які основні кроки варто здійснити для того, щоб відповідати вимогам нового регламенту? 

Чи поширюється на вас дія регламенту

Те, як буде виконуватися compliance, багато в чому залежить від специфіки вашого бізнесу – яким видом діяльності займається компанія, чи ви працюєте в B2B-, чи B2C-сегменті, чи обробляє ваша компанія дані банківських карток або іншу чутливу інформацію. Всі ці фактори мають враховуватися під час підготовки компанії до роботи в умовах регламенту GDPR.

На вас обов’язково поширюється дія регламенту, якщо ви продаєте товари до країн ЄС. Також, на мою думку, під дію GDPR потрапляють компанії, що здійснюють моніторинг поведінки суб’єктів даних.  Це стосується усіх компаній, які проводять маркетингові дослідження, аналізують ринок споживачів у Європі і мають справу з персональними даними резидентів ЄС, навіть якщо ці компанії не зареєстровані в Євросоюзі та фізично не знаходяться на території ЄС.

Дія регламенту на вас поширюється. Що далі?

Припустімо, що на вас поширюється дія регламенту. Що робити далі, як жити, куди бігти і що необхідно зробити в першу чергу? Найголовніше, з чого варто почати – це провести аудит і проаналізувати, що відбувається з персональними даними у вашій компанії. Як вони збираються, де вони знаходяться, хто має до них доступ, ким вони обробляються. Все це допоможе визначити подальші кроки, які вам необхідно зробити, щоб відповідати вимогам регламенту.

Регламент робить розподіл на загальні дані та особливі категорії персональних даних. Чому це важливо? Щодо особливих категорій вимоги регламенту жорсткіші. Тому також варто розібратися, з якими персональними даними ви маєте справу.

Нові принципи обробки персональних даних

В регламенті зазначені принципи обробки персональних даних, а саме: законність, справедливість та прозорість.

Основний принцип обробки персональних даних – це законність. Будь-яка обробка персональних даних повинна здійснюватися виключно на законних підставах.

Залізною підставою для обробки персональних даних є згода суб’єкта даних. Якщо ви отримали згоду на обробку персональних даних, це робить обробку законною. Є також інші випадки, коли обробка персональних даних буде вважатися законною. Вони стосуються захисту важливих інтересів суб’єктів даних в інтересах суспільства. Ще одна підстава – обробка необхідна для досягнення легітимних або законних цілей контролера. Про це поговоримо трошки нижче – що це за підстава, на основі якої ми можемо здійснювати обробку даних без згоди суб’єкта.

Після того, як ми провели аудит і зрозуміли, як саме персональні дані потрапляють до нас у компанію, згода на обробку є основною підставою ваших подальших дій з персональними даними. Регламент встановлює певні вимоги до цієї згоди. На сайті CRM-платформи SuperOffice є гарна ілюстрація того, коли згода на обробку персональних даних відповідає регламенту GDPR, а коли ні.

Наприкінці форми в лівій частині картинки написано: «Відправляючи нам заявку, ви даєте згоду на обробку своїх персональних даних і на отримання імейл-розсилки від нас». Це не відповідає нормам GDPR – новий регламент вимагає, щоб згода надавалася чітко, у стверджувальній формі. Тепер не можна просто написати суб’єкту, коли він заповнює у вас на сайті якісь форми, що він автоматично надає згоду на відправку розсилки. 

Згідно з  GDPR, суб’єкт даних повинен здійснити активну дію: клікнути, проставити галочки, таким чином надавши свою згоду. Також важливо не суміщати всі згоди, які ви отримуєте від клієнта, в один текст. Тобто окремо ми отримуємо згоду на те, що клієнт прочитав privacy, ознайомився, розуміє свої права і розуміє, на що він підписується, розуміє мету обробки. Окремо ставиться галочка, яка підтверджує, що клієнт надає дозвіл відправляти йому листи та новини вашої компанії.

Не рекомендується завчасно проставляти галочки. Коли суб’єкт відправляє таку форму і хоче від чогось відмовитись, йому потрібно зняти цю галочку. Це неправильно. Суб’єкт повинен здійснити активну дію для того, щоб надати свою згоду на обробку власних персональних даних.

Також потрібно вести розгорнутий реєстр бази даних для того, щоб контролер у випадку перевірки міг продемонструвати, коли саме і як саме суб’єктом була надана згода. Вести такий розгорнутий реєстр згоди, яку ви отримали від всіх суб’єктів, чиї дані ви обробляєте, дуже важливо.

А якщо я вже роблю розсилку резидентам ЄС?

Що робити, якщо у нас уже є база? Наприклад, база персональних даних резидентів ЄС, яким ви регулярно робите розсилку? GDPR надає нам відповідь на це питання. Якщо ми подивимося пункт 171 в преамбулі документу, там зазначається, що отримувати згоду знову не потрібно за умови, якщо у свій час вона була надана відповідно до вимог регламенту. Знову ж таки, проводимо аудит і дивимося, як саме була надана ця згода і чи відповідає вона новим вимогам регламенту. Тоді самі для себе вирішуємо – чи отримуємо нову згоду, чи ми зможемо продемонструвати, що згода у нас була отримана відповідно до вимог.

Важливо також зазначити, що однією з підстав законної обробки даних ми назвали легітимні інтереси або інтереси, які переслідує контролер. В преамбулі регламенту розписано, що це таке, і коли інтереси, які переслідує контролер, будуть вважатися законними. Насправді, треба здійснювати таку оцінку в кожному конкретному випадку, і на вас покладається обов’язок довести це. Пункт 47 преамбули говорить нам, що обробка персональних даних для direct marketing proposes (це цільовий маркетинг або таргетований маркетинг) може вважатися обробкою, яка здійснюється на законних підставах.

Отже, зі згодою розібралися – ведемо реєстр згоди, правильно її оформлюємо, правильно розставляємо акценти і технічно реалізовуємо.

Контролер і процесор: розподіляємо ролі

Далі – визначаємо ролі. GDPR виокремлює ролі контролера і процесора. В багатьох випадках – це одна особа, але інколи процесором виступає інша особа, яка здійснює обробку персональних даних у власності вашої компанії.

У такому випадку повинна бути укладена спеціальна угода – data processing agreement, що регулюватиме відносини між контролером і процесором. Вам треба чітко визначити, хто є контролером, хто є процесором у вас в компанії, і оформити відповідні відносини.

Оформлення таких відносин – обов’язок контролера. На контролера, звичайно, покладено більше обов’язків, аніж на обробника даних. Контролер повинен продемонструвати свою відповідність вимогам регуляції. Також його обов’язок – повідомляти контролюючі органи, якщо відбувається якийсь витік інформації або порушення в сфері захисту персональних даних всередині компанії. Це необхідно робити, коли контролер не може усунути порушення, яке може призвести до значного порушення прав і свобод суб’єктів даних. У такому випадку треба повідомити контролюючі органи. Якщо ви швиденько змогли все своїми силами вирішити і звели до мінімуму ризики –  можете не повідомляти. Якщо відбувся витік інформації, і ви не змогли виправити ситуацію, тобто існує ризик порушення прав і свобод суб’єкта – ви зобов’язані повідомити в органи.

Що треба змінити в Privacy Policy?

Наступний крок – оновлюємо Privacy. Відповідно до вимог регламенту, Privaсy Policy повинна бути написано чіткою, зрозумілою для звичайних користувачів мовою. Юристи люблять писати довжелезні тексти на декілька десятків сторінок зі складними конструкціями. Але коли користувач проставляє галочку, він має дійсно розуміти, на що він погоджується.

Що варто оновити в Privacy Note? Основний принцип обробки персональних даних за GDPR – це прозорість. Особа, яка надає вам свої дані, повинна розуміти, що відбувається з її персональними даними. Вона повинна знати, для чого ви їх збираєте. Вона повинна знати, які персональні дані збираються і яка мета обробки – як саме ви їх будете використовувати, протягом якого часу вони у вас зберігаються, як захищаються.

І найголовніше – права суб’єкта. Суб’єкт має право на доступ до своїх персональних даних. Він має право оновити дані, попросити вас видалити некоректну або неправдиву інформацію про себе. Суб’єкт даних має право запросити у вас видалення своїх даних, якщо він відкликав свою згоду. Він має право відкликати свою згоду на обробку персональних даних.

Про все це варто написати в Privacy. І не лише написати, але й подумати про реалізацію. Суб’єкт даних повинен або заповнити  форму на сайті, або просто відправити вам листа на електронну пошту. Подумайте, як практично ви можете не лише прописати його права, але і зробити так, щоб користувач міг їх реалізувати, а також вкажіть період часу, протягом якого ви будете реагувати на такі запити. Також важливо вказати контакти контролера та контакти data processing officer за наявності.  Якщо ви передаєте персональні дані користувачів, яких ви обробляєте, не забудьте вказати і цей факт. Іншими словами, системно та уважно підійдіть до оновлення Privacy.

Чи потрібен вам представник в ЄС та Data Processing Officer?

Цікаве питання – чи потрібен вам представник в ЄС? Якщо ваша компанія не зареєстрована в ЄС, і при цьому на вас поширюється дія регламенту (ви продаєте товари або послуги в державах-членах ЄС, здійснюєте моніторинг поведінки суб’єктів-резидентів ЄС), то так – вам потрібен представник в ЄС, який буде діяти як ваш агент, щоб контролюючі органи у випадку необхідності могли з вами зв’язатися. Які вимоги до такого представника? Він має бути зареєстрований в одній із країн-резидентів, де ви обробляєте персональні дані. Також з ним необхідно укласти письмову угоду.

Ще одна посада, яке вже обросла багатьма міфами – Data Processing Officer. Зараз всі думають, що робити, куди бігти, де брати такого спеціаліста. Та чи потрібен він вам насправді? 

GDPR встановлює кілька вимог, коли призначення DPO є обов’язковим. Якщо вашим основним видом діяльності є операції з обробки персональних даних, які за своїм змістом, обсягом і своєю природою вимагають регулярної, систематичної обробки у великому масштабі, тоді так – вам необхідно призначити DPO. Також DPO необхідно призначити, якщо обробку здійснює орган державної влади або якщо ви працюєте зі спеціальними категоріями персональних даних, які стосуються судимостей чи кримінальних діянь.

Робота з персоналом

Важлива частина – це організаційна робота з персоналом. Важливо, щоб люди в компанії (персонал і взагалі особи, які працюють з персональними даними) розуміли, для чого вживати всі ці заходи, поважали безпеку і конфіденційність персональних даних. Рекомендується розробити Data Protection Policy всередині компанії, проводити інструктаж співробітників і забезпечувати доступ до персональних даних за принципом need-to-know basis – тобто не більше, ніж необхідно для досягнення мети. Бажано оновити нинішні або підписати угоди про нерозголошення не тільки персоналом, але й третіми особами, які мають доступ до персональних даних у вашій компанії.


Як підсумок, нагадаю про заходи, які потрібно вжити за кожним із напрямів –  юридичним, маркетинговим та технічним. GDPR піднімає багато технічних питань, про конфіденційність, безпеку даних, тощо. Однак це тема окремої розмови.

Даний алгоритм дій актуальний на початковому етапі дії регламенту. Пройде час, а, значить, з’являться кейси, роз’яснення, сформується певний зріз практик. Картина стане зрозумілою, і ми отримаємо більш чіткі правила.