В нових Правила захисту персональних даних в ЄС, які набудуть чинності в травні поточного року Україна віднесена до категорії «третіх» країн і тому ці правила стосуються українських компаній, що надають свої послуги чи пропонують товари громадянам країн-членів ЄС прямо чи опосередковано (віртуально). Проте, найбільшу увагу питанням виконання нових вимог, що суттєво змінилися, необхідно приділяти українським компаніям, що організовують та здійснюють свою діяльність через всесвітню мережу Internet. Насамперед необхідно усвідомити, що використання в своїй діяльності новітніх технологій, зокрема Інтернет, створює можливість громадянам країн-членів ЄС користатися послугам чи купувати повари в українських виробників чи постачальників послуг. Тому саме такий факт відносить вітчизняні компанії до категорії «суб’єктів, які не зареєстровані на території ЄС», і формулює вимогу «такий суб’єкт здійснює діяльність на території Європейського Союзу або ж в процесі здійснення своєї діяльності він прямо або опосередковано отр имує доступ до персональних даних громадян ЄС або осіб, що знаходяться на території Європейського Союзу, то в такому випадку до нього застосовуються ті ж самі вимоги GDPR, як і до всіх інших суб’єктів, які підпадають під дію Регламенту». Необхідно також усвідомити які наслідки можуть очікувати Вашу компанію у разі невиконання нових вимог - штрафні санкції, які можуть бути застосовані до Вашої компанії, у разі здійсненні економічної діяльності з порушеннями прав і свобод громадян країн-членів ЄС, зокрема не забезпечення належного захисту їхніх персональних даних передбачені в розмірі від 10 до 20 мільйонів ЄВРО або ж коливатися від 2% до 5% річного валового річного доходу Вашої компанії. Для українських компаній, як суб’єктів економічної діяльності, які не зареєстровані в Європейському Союзі, але здійснюють обробку персональних даних в рамках ЄС, повинні застосовувати положення нового Регламенту, якщо вони: 1. надають послуги або реалізують товари для фізичних осіб, які знаходяться на території ЄС, незалежно від того, чи є вони громадянами ЄС чи ні, а також незалежно від того чи надаються такі послуги або реалізуються товари на платній чи на безкоштовній основі; 2. при наданні послуг чи реалізації товарів з використанням мережі Інтернет реалізовуються процедури відслідковування та моніторингу поведінки фізичних осіб, які перебувають в межах ЄС, про більшість з яких володільці компаній навіть можуть і не знати тому, що вони є «прихованими» розробниками для користувачів цих додатків; 3. надають послуги або виконують роботи для компаній, зареєстрованих в ЄС, враховуючи той факт, що послуги та роботи будуть використовувати
персональні дані громадян, які перебувають в межах Європейського Союзу; Новий Регламент ЄС містить значну кількість нових положень, які вітчизняні компанії, що здійснюють свою діяльність в межах ЄС, повинні реалізовувати як цілісний комплекс дій щодо: • отримання згоди від суб’єкта персональних даних, а для деяких категорій персональних даних, дозвіл повинен отримуватися у вигляді окремого документу або у форматі окремої дії, і при цьому, будь-яку надані раніше згоду суб’єкт персональних даних повинен мати можливість відізвати в будь-який момент; • забезпечення механізмів реалізації процедур збирання, обробки та використання персональних даних, що повинні бути «прозорі» для осіб, персональні дані яких обробляються; • забезпечення механізмів видалення персональних даних за першою ж вимогою власника цих даних; • вчасного виявлення та вжиття відповідних заходів у випадку порушення прав суб’єкта персональних даних щодо його персональних даних, а також термінового повідомлення суб’єкта персональних даних про таке порушення; • організації в компанії документообігу у відповідності до вимог нового Регламенту, який засвідчує всі процедури щодо збирання, обробки та використання персональних даних; • а також багато інших нових вимог, які «приховані» в тексті нового Регламенту за терміном «реалізація прав і свобод». Важливо насамперед реалізувати першочергово заходи, що визначені введеними новим Регламентом, такі як: DPO (data protection officer) – в європейських термінах мається на увазі інспектор з персональних даних, який в деяких випадках повинен обов’язково призначатися в штат компанії, що працює з персональними даними – в термінах українського законодавства в сфері захисту персональних даних – це «відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону» Representative – мається на увазі обов’язковий представник (фізична або юридична особа), що має можливість представляти інтереси компаній, які не зареєстровані на території Європейського Союзу і не мають свого відділення або представництва для можливості комунікації з місцевими органами управління з питань захисту персональних даних. У подальшому, після закінчення перекладу нового Регламенту на українську мову з використанням термінів українського законодавства, планую більш детально інформувати щодо нових вимог та можливих механізмів їхньої реалізаці.