Адаптація українського законодавства до норм Загального регламенту ЄС про захист даних (GDPR) є важливим кроком для зміцнення міжнародної інтеграції та посилення захисту прав громадян. Очікувані зміни до Закону України «Про захист персональних даних» стануть ключовими для компаній, які працюють з персональною інформацією. Далі розглянемо основні нововведення, яких слід очікувати, і проаналізуємо їхній потенційний вплив на бізнес.
Розширення прав суб’єктів персональних даних
Однією з головних вимог GDPR є забезпечення розширених прав суб’єктів даних, що надає їм більше контролю над власною інформацією. Очікується, що українські норми також будуть доповнені положеннями, які дозволять громадянам:
- Отримувати доступ до своїх даних та контролювати їхнє використання (ст. 12 GDPR);
- Право на «забуття» або видалення персональних даних (ст. 17 GDPR);
- Обмежувати обробку персональної інформації за певних умов (ст. 18 GDPR);
- Отримувати дані в машинозчитуваному форматі (право на перенесення даних, ст. 20 GDPR).
- Це означає, що компаніям потрібно буде переглянути свої політики обробки даних та забезпечити можливість реалізації вищевказаних прав.
Вимоги до прозорості та згоди на обробку даних
GDPR вимагає від контролерів забезпечити прозорість процесу збору та обробки персональних даних (ст. 12 GDPR), що, ймовірно, буде імплементовано і в Україні. Зокрема, компанії повинні чітко інформувати суб’єктів даних про мету збору та використання їхніх персональних даних, а також забезпечувати зручний та доступний формат згоди.
Це вимагатиме від бізнесу оновлення політик конфіденційності та розробки детальних інструкцій щодо того, як надається згода. Також передбачається обов’язок здійснення регулярного інформування клієнтів про обробку їхніх даних.
Посилення зобов’язань контролерів та обробників даних
Відповідно до GDPR, обробники даних (підрядники та постачальники) зобов’язані дотримуватися тих самих стандартів безпеки, що і контролери даних. Це правило, ймовірно, буде адаптовано і в Україні, адже залучення третіх осіб до обробки інформації є поширеною практикою. Нові зобов’язання включають:
- Підписання угоди між контролером та обробником, що визначає обов’язки сторін;
- Забезпечення обробниками таких самих заходів захисту, які визначені контролером;
- Регулярне звітування перед контролерами про рівень безпеки.
- Компаніям слід враховувати це під час вибору підрядників та укладення договорів про обробку даних.
Вимоги до кібербезпеки та планування реагування на інциденти
GDPR вимагає впровадження організаційних і технічних заходів для забезпечення безпеки даних. Такі заходи включають шифрування, псевдонімізацію та контроль доступу до інформації (ст. 32 GDPR). Ймовірно, ці норми також з’являться в українському законодавстві, що зобов’яже компанії створити плани реагування на кіберінциденти та забезпечити регулярний моніторинг рівня захищеності інформації.
Зокрема, бізнесу потрібно підготувати процедури швидкого інформування відповідних органів та суб’єктів даних у випадку витоку інформації.
Штрафи за порушення
GDPR передбачає значні фінансові санкції за порушення, які досягають до 4% глобального річного обороту компанії. Враховуючи цей європейський стандарт, українське законодавство також може бути адаптоване, щоб стимулювати бізнес забезпечити високий рівень захисту інформації.
Очікується, що підвищені штрафи стануть сильним стимулом для бізнесу дотримуватись вимог, і компанії вже сьогодні потребують юридичних консультацій, щоб мінімізувати ризики.
Що може зробити юрист?
- Провести аудит інформаційної безпеки для виявлення потенційних вразливостей;
- Підготувати та актуалізувати політики конфіденційності та управління даними;
- Розробити чіткі процедури реагування на кіберінциденти;
- Оновити договори з підрядниками щодо забезпечення вимог безпеки.
Підготовка до змін та виконання нових вимог до обробки та захисту персональних даних допоможе бізнесу уникнути ризиків та адаптуватися до нових стандартів захисту інформації.
GDPR має багато відмінностей і спільних рис з українським законом про захист персональних даних, які весь час підлягають змінам. Щоб бути в курсі всіх актуальних змін та вимог, запрошуємо вас на наш курс по GDPR. У цьому курсі ви дізнаєтеся всю необхідну інформацію від спеціалістів, що є практикуючими адвокатами та юристами у цій сфері. Отримайте знання від професіоналів і забезпечте відповідність своєї компанії найсучаснішим стандартам захисту даних!