Новини
  • Головна
  • Захист персональних даних: зміни в Україні після ухвалення GDPR

7 червня Комітет з інформаційно-комп’ютерних технологій СУП організував для учасників Спілки семінар «Захист персональних даних: зміни в Україні після ухвалення GDPR».

Сьогодні ця тема є топовою, адже з 25 травня Європа перейшла на оновлені правила обробки персональних даних, встановлені Загальним регламентом із захисту даних (GDPR — General Data Protection Regulation). Цей регламент чинний в усіх 28 країнах ЄС, в тому числі і на території України.

Основним доповідачем семінару став Олексій Мервінський, екс-голова Державної служби із захисту персональних даних. Спікер розповів про практику реалізації нових правил в країнах ЄС. Деталізував гість і ключові вимоги GDPR: 1. Компанії повинні бути готовими надати відомості про те, як вони розпоряджаються персональними даними фізичних осіб, а також бути спроможними виконати нову вимогу щодо перенесення або знищення цих даних відповідно до запита суб’єкта персональних даних. Крім того, компанії повинні бути спроможними обмежувати сформульовану ними мету обробки персональних даних, які були зібрані ними раніше.

2. Персональні дані, які обробляються, повинні реалізовувати такі процедури як перезаписування і видалення. Компанії, що працюють, як безпосередньо, так і у віртуальному середовищі, з даними фізичних осіб зобов’язані будуть надавати цим фізичним особам на їхні запити всі наявні персональні дані в структурованому форматі. До того ж, вони мають налаштувати свої IT-системи та врегульовувати процедури обробки персональних даних в них, щоб у разі необхідності можна було «безповоротно» видаляти дані про будь-яку особу, в тому числі із усіх архівів. Важливо також довести це в разі необхідності уповноваженим державним органам з питань захисту персональних даних будь-якої країни-члена ЄС.

3. Спроможність реалізовувати та забезпечити впровадження такої нової процедури обробки персональних даних як прозорість.

4. Необхідно бути готовим виконувати нові, значно посилені правила отримання згоди на обробку персональних даних від фізичних осіб. Наприклад, при наданні послуг з інтернет-ресурсу необхідно бути готовим виконати вимогу громадянина, що користується цим ресурсом, щодо відкликання раніше наданої ним згоду на обробку даних.

5. Будь-які компанії, що працюють з персональними даними громадян країн-членів ЄС, будуть зобов’язані чітко вказувати всі цілі збирання персональних даних, а також розкривати всю інформацію про третіх осіб, яким ці дані будуть передані.

6. Усі компанії, що обробляють персональні дані, будуть нести відповідальність за обробку даних, доручену третім особам. Вони повинні забезпечити законність обробки цієї інформації тим, кому вони надали право обробляти зібрані ними персональні дані.

Олексій Мервінський акцентував увагу учасників семінару також на тому, що собливої уваги при приведенні у відповідність до нових вимог потребують email-маркетингові процеси компаній, якщо вони здійснюють розсилки своїх електронних повідомлень в одну з 28 країн Євросоюзу. Кожен громадянин повинен чітко знати, як і навіщо будуть в подальшому використовуватися його особисті дані і недвозначно дати згоду на це.

GDPR – один із прогресивних і наважливіших законодавчих документів, що якісно підвищує рівень захисту персональних даних у ЄС та за його межами. Він дозволить бізнесу встановити новий рівень довіри на єдиному цифровому ринку. Україні важливо вступити до зони дії нового європейського регламенту про захист даних і привести їх у відповідність до нових правил GDPR. Тож Гліб Малютін від імені Комітету з ІКТ СУП запросив активних учасників дискусії долучитися до групи Комітету, яка працюватиме над пропозиціями до вітчизняного законодавства для реалізації нових правил GDPR в Україні.