+380442055410 a@legalitgroup.com м. Київ, вул. Володимирська, 38, оф. 1
GDPR та персональні дані

GDPR текст та як з ним працювати: лайфхаки

Ця стаття знадобиться у першу чергу тим, хто тільки розпочинає працювати із Загальним регламентом про захист даних, більш відомим як GDPR. Тут ви знайдете прості та зрозумілі поради щодо того, як вивчати і як застосовувати норми Регламенту, на що звертати увагу у першу чергу та як виокремити «загальне» та «особливе».

Мови тексту GDPR

Текст GDPR зовсім не простий та може заплутати юриста, що стає на свій шлях фахівця з приватності. З чого розпочинати знайомство? Очевидно, що найперше варто ознайомитися з оригіналом тексту GDPR. Текст англійською мовою можна знайти на офіційному сайті. Також GDPR перекладений іншими мовами країн Європейського Союзу, тому можна вивчати його будь-якою з них, якою ви добре володієте.

Тим, у кого з іноземними мовами поки що не склалося, варто звернути увагу на офіційний переклад українською мовою, затверджений Кабінетом Міністрів України. Хоча цей переклад є офіційним, все ж з приводу його точності та відповідності оригінальному тексту ведуться суперечки.

Звичайно, ми не оцінюватимемо якість результатів роботи українських перекладачів. Будь-який переклад усе одно є інтерпретацією тексту, тому для абсолютно точного розуміння змісту, що був закладений авторами GDPR, потрібно звертатися до оригіналу (особливо якщо ви лінгвістичний профі). Однак, це не означає, що потрібно ігнорувати перекладену версію, адже це дійсно порятунок для тих, кому іноземні мови даються не просто. Найкращий варіант, на наш погляд, – це паралельне вивчення текстів, оскільки так середньостатистичний читач з навиками мов має змогу спростити собі розуміння тих чи інших незнайомих йому термінів, не витрачаючи час на пошук окремих слів у словнику.

Структура тексту GDPR

Текст GDPR складається із вступної частини, 11-ти розділів та 99-ти статей.

Звичайно ж, для роботи з GDPR потрібно детально вивчити його увесь. Однак, якщо ви тільки розпочинаєте знайомство з цим тестом, то варто вивчати його не хаотично, зосереджуючись то на повноваженнях національного наглядового органу, то на штрафах за не-compliance, якими лякає ледве не кожен інфо-ресурс. Погоджуємося: GDPR – це складно. А тому найкращою стратегією його вивчення буде вдумливе осягнення спочатку базових речей, а лише потім – всього іншого.

Розберімо основні статті, які визначають суть GDPR. Загальні умови (найперші статті Регламенту) пояснюють його суть та окреслюють сферу його впливу.

This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data (Art. 1(1)).

GDPR застосовується до операцій з обробки персональних даних, які є повністю або частково автоматизованими. Тобто, якщо припустити, що працівники сучасної компанії, що здійснює обробку таких даних, можуть опрацьовувати їх лише вручну, не використовуючи комп’ютери, то у такому випадку компанія не підпадатиме під дію Регламенту.

Також варто звернути увагу на випадки, що є винятками до застосування GDPR:

This Regulation does not apply to the processing of personal data:

  1. in the course of an activity which falls outside the scope of Union law;
  2. by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;
  3. by a natural person in the course of a purely personal or household activity;
  4. by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security (Art. 2 (2)).

Територіально GDPR поширюється на усі частково або повністю автоматизовані операції з персональними даними резидентів Європейського Союзу. Саме цей момент є визначальним, коли постає питання, чи повинен застосовуватися GDPR до вашої компанії, при цьому юрисдикція компанії, що здійснює обробку таких даних, вторинна.

This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

  1. the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
  2. the monitoring of their behaviour as far as their behaviour takes place within the Union ( 3 (2)).

Обов’язково потрібно звернути увагу на Art. 5 – принципи обробки персональних даних. Не забудьте і про розділ 3 про права суб’єктів даних – це одна із найважливіших статей тексту GDPR.

Також приділіть увагу ролям, які GDPR визначає для компаній – це контролер, процесор та об’єднані контролери (joint controllers). Радимо не лише чітко розмежувати ці ролі, а також спробувати зобразити варіанти взаємодії компаній з цими ролями візуально. Для цього можна пофантазувати та уявити, наприклад, що ви – компанія-контролер, у якої є декілька підрядників-процесорів – маркетологи та експерти з дата-аналітики на аутсорсі. Як саме рухатимуться персональні дані? Які документи потрібно оформити, щоб усе це було законно? Такі вправи допоможуть краще розібратися у суті співпраці компаній, коли йдеться про обробку персональних даних.

Опісля пропонуємо розібратися з такими поняттями, як data protection officer (Art. 37-39) та DPIA (Art. 35); які дані вважаються чутливими та як із ними поводитися (Recital 51); як варто та не варто чинити, якщо ви обробляєте персональні дані осіб віком до 16 років (Art. 8). Зверніть увагу і на повноваження наглядових органів (Art. 56). Якщо ви (ваша компанія) – резидент ЄС, знайдіть веб-сторінку наглядового органу вашої країни. Почитайте і про відповідальність також (Chapter 8), хоча шанси на неї натрапити за умови грамотного вивчення вами GDPR стрімко зменшуються.

Радимо не обмежуватися самим лише текстом GDPR. Самі по собі ці правила не прості; тим більше буде складно, якщо досі ви не моли справи з питаннями приватності. Додатково до власне Регламенту написані також ресайтали (recitals) і гайди (guidelines), метою яких є саме роз’яснення складних для розуміння моментів та поради щодо впровадження комплаєнсу у різних випадках.

Додаткові матеріали

У процесі вивчення тексту GDPR користуйтеся знаннями та заручайтеся підтримкою інших, хто уже пройшов цей шлях. В Інтернеті є чимало інформаційних ресурсів, що допомагають розібратися як із основними, так і з більш специфічними моментами GDPR. Шукайте, обирайте якісне та те, що найкраще вам підходять та розвивайте свою обізнаність.

Одним із таких інфо-ресурсів є блог на нашому веб-сайті з розділом про GDPR та персональні дані, який ми регулярно поповнюємо новими матеріалами. Статті у блозі пишуть кваліфіковані юристи – профі з питань приватності, які успішно закрили чимало різноманітних GDPR-проектів.

Окрім того, нещодавно ми розпочали новий освітній проект – курси з IT-права, де вивченню GDPR присвячений окремий модуль. Інформаційне наповнення курсів постійно збільшується, що не дозволить студентам нудитися. Поміж приємних бонусів – це можливість долучитися до нашого ком’юніті у режимі Телеграм-чату, щоб обговорити актуальні теми, поставити запитання або просто поспілкуватися із зацікавленими у приватності людьми, а також – можливість стати одним із перших в Україні сертифікованим IT-юристом, адже після курсу (якщо ви успішно складете тест) ми надішлемо вам сертифікат.

Виникли запитання?

Будь-ласка, напишіть на нашу пошту a@legalitgroup.com або зателефонуйте за номером +38 (044) 205-54-10.
Ми завжди на зв’язку!

GDPR compliance

GDPR compliance

Катерина Петренко

Катерина Петренко

IT lawyer

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)