Замовлення консультації податкового адвоката

    Потрібна допомога юриста?

      Заказ консультации

        Замовлення консультації

          Відповідність GDPR: збір згоди користувачів і оцінка сервісу через цифрові пристрої

          Відповідність GDPR в 4 кроки

          Від /

          У 2018 році набув чинності Загальний регламент захисту даних (ЄС) 2016/679, що більш відомий як GDPR, прийнятий Європейською Комісією та Європарламентом. Цей регламент має на меті створення єдиного юридичного стандарту для обробки персональних даних та забезпечення цієї обробки згідно з низкою ключових принципів на відповідність GDPR.

          На шляху до вступу в Європейський союз Україна повинна гармонізувати українське право із європейським. Тож у цьому питанні певні кроки вже зроблено – у Верховній Раді зареєстровано законопроєкт № 8153 «Про захист персональних даних»

          Згідно GDPR персональні дані – це будь-яка інформація, що стосується ідентифікації або ідентифікованої фізичної особи.

          GDPR надає значення також псевдонімізованим даним, які є персональними даними, з якими вже була виконана псевдонімізація (процес, що дозволяє замінити ідентифікатори даних іншими елементами) і які можуть бути пов’язані з конкретною фізичною особою після використання додаткової інформації.

          Сфера дії GDPR

          GDPR застосовується до всіх організацій, які обробляють персональні дані громадян Європейського Союзу, незалежно від того, де саме розташовані ці організації. Отже, компанії та організації у всьому світі можуть бути зобов’язані впроваджувати GDPR, якщо вони здійснюють обробку персональних даних громадян ЄС.

          Впровадження та дотримання GDPR є обов’язковим для організацій, які підпадають під його сферу дії, і порушення може призвести до серйозних штрафів.

          Наразі в Україні вирішується питання щодо імплементації вимог Регламенту згідно з проєктом Закону «Про захист персональних даних» №8153 від 25.10.2022 р. А зі вступом України до Європейського Союзу за кілька років вимоги Регламенту матимуть силу прямої дії. Тобто дія Регламенту буде розповсюджуватися й на нас повною мірою.

          Зокрема, GDPR застосовується до:

          • Компаній, які мають представництво в ЄС або надають послуги громадянам ЄС: наприклад, якщо ваша компанія має офіси або представництва в ЄС, обробляє платежі в євро або іншими валютами ЄС, або надає товари та послуги громадянам ЄС, то ви повинні дотримуватися вимог GDPR.
          • Компаній, які мають клієнтів, користувачів або контакти з ЄС: навіть якщо ваша компанія не має прямих представництв в ЄС, але обробляє персональні дані громадян ЄС через вебсайти, додатки або інші засоби, це може підпадати під вимоги GDPR.
          • Організацій, які здійснюють систематичну та широкомасштабну моніторингову діяльність: це може стосуватися компаній, які збирають велику кількість даних через аналітику, маркетингові дослідження, профілювання користувачів тощо.
          • Організацій, що обробляють особливі категорії даних: це включає дані, які стосуються расової чи етнічної приналежності, політичних поглядів, релігійних чи філософських переконань, генетичних даних, біометричних даних тощо.
          • Компаній, що мають партнерів або підрядників, які обробляють персональні дані громадян ЄС: ви маєте відповідальність впевнитися, що і ваші партнери чи підрядники дотримуються вимог GDPR.
          GDPR EU UK
          Відповідність GDPR в 4 кроки 4

          Впровадження GPDR зазвичай складається з кількох етапів:

          • Аудит відповідності вимогам GDPR;
          • Розробка політик і процедур захисту даних;
          • Сертифікація відповідності вимогам GDPR;
          • Процедура моніторингу та відповідності GDPR.

          Розглянемо їх детальніше:

          Відповідність GDPR через аудит

          Аудит відповідності вимогам Загального регламенту щодо захисту даних (GDPR) – це процес перевірки та оцінки того, наскільки організація відповідає вимогам та принципам GDPR щодо обробки особистих даних. Цей аудит спрямований на переконання, що організація дотримує вимоги щодо збору, обробки та захисту особистих даних, а також забезпечує права та свободи суб’єктів даних.
          Основна мета аудиту відповідності GDPR – це забезпечити впевненість у тому, що організація діє відповідно до законодавчих та регуляторних вимог, які стосуються обробки особистих даних.

          Аудит відповідності вимогам GDPR є необхідним у таких ситуаціях:

          1. Підготовка до впровадження GDPR: перед введенням GDPR у дію, компанії можуть проводити аудит для переконання в тому, що всі процеси обробки персональних даних відповідають вимогам Регламенту.
          2. Оцінка поточного стану відповідності: компанії можуть вирішити з’ясувати, наскільки їхні поточні практики відповідають вимогам GDPR. Аудит допомагає виявити можливі недоліки і визначити, що потребує змін.
          3. Зміни в бізнес-процесах: при внесенні змін у бізнес-процеси, які пов’язані з обробкою персональних даних, важливо переконатися, що ці зміни також відповідають вимогам GDPR.
          4. Перегляд контрактів зі сторонніми партнерами: компанії, які діляться персональними даними зі сторонніми партнерами, повинні переконатися, що ці партнери також дотримуються вимог GDPR. Аудит допомагає визначити рівень відповідності партнерів.
          5. Відповідь на запити суб’єктів даних: Якщо суб’єкти даних звертаються з запитами щодо їхніх персональних даних, компанії повинні надавати інформацію згідно з вимогами GDPR. Аудит допомагає забезпечити, що ця інформація надається належним чином.
          6. Інциденти порушення безпеки: При виявленні порушення безпеки, пов’язаного з персональними даними, важливо вчасно з’ясувати причини та вплив цього порушення. Аудит допомагає визначити, чи були відповідні дії після виявлення порушення та які заходи потрібно прийняти, щоб запобігти подібним ситуаціям у майбутньому.
          7. Періодичні аудити внутрішнього контролю: Компанії можуть регулярно проводити аудити внутрішнього контролю для перевірки дотримання вимог GDPR та виявлення можливих проблем на ранніх етапах.
          8. Зміни в законодавстві: При змінах у законодавстві GDPR або інших відповідних нормативних актах, компанії повинні переконатися, що їхні практики відповідають новим вимогам.

          Процес аудиту включає в себе докладний аналіз політик, процедур, технічних рішень, практик обробки даних та заходів безпеки.

          Основні елементи аудиту відповідності GDPR можуть включати:

          • Перевірка статусу впровадження: оцінка того, наскільки організація вже впровадила вимоги GDPR на попередніх етапах.
          • Аналіз політик та процедур: перевірка та оцінка наявних політик та процедур, які стосуються обробки особистих даних.
          • Перевірка технічних заходів: оцінка заходів безпеки та технічних рішень, які використовуються для захисту особистих даних.
          • Аналіз документації: перевірка наявності документації, яка підтверджує дотримання вимог GDPR, такої як згоди суб’єктів даних, політики конфіденційності тощо.
          • Перевірка управління порушеннями безпеки: оцінка процедур та планів у разі виникнення порушення безпеки особистих даних.
          • Оцінка впровадження прав суб’єктів даних: перевірка наявності механізмів, які забезпечують виконання прав суб’єктів даних, таких як доступ до даних, корекція, видалення тощо.
          • Аналіз управління контролем та внутрішньою аудиторією: оцінка того, як організація моніторить та перевіряє свою власну відповідність вимогам GDPR.

          Аудит відповідності GDPR допомагає організаціям переконатися, що вони діють відповідно до вимог регулювання та захищають права та свободи суб’єктів даних. Він може також виявити потенційні порушення, слабкі місця та пропозиції щодо поліпшення практик обробки особистих даних.

          В результаті проведеного аудиту формується висновок, який включає такі елементи:

          • відображення фактичних обставин, встановлених під час аудиту;
          • виявлення недоліків та відхилень від вимог GDPR;
          • ідентифікація можливих ризиків та можливих негативних наслідків, пов’язаних з виявленими недоліками;
          • надання рекомендацій з усунення виявлених недоліків.

          Розробка політик і процедур захисту даних:

          Угода щодо обробки даних (Data Processing Agreement) є обов’язковим елементом при укладанні контрактів або угод з європейськими компаніями та організаціями, які є резидентами країн Європейського союзу. Ця угода є необхідною в будь-якому випадку, коли здійснюється робота або надається послуга, пов’язана з обробкою особистих даних громадян країн ЄС. Документ, який регулює питання обробки особистих даних фізичних осіб в процесі виконання господарсько-правових зобов’язань, може бути включений як додаток до основного контракту або створений окремо як самостійний договір. Зазвичай застосовується після впровадження GDPR.

          Розробка політик і процедур захисту даних в рамках впровадження GDPR вимагає визначення конкретних документів, які допоможуть забезпечити належний рівень захисту особистих даних. Ось кілька ключових політик і процедур, які можуть бути потрібні:

          1. Політика конфіденційності та захисту даних (Privacy and Data Protection Policy): ця політика визначає зобов’язання організації щодо зберігання та обробки особистих даних. Вона має включати принципи конфіденційності, цілі обробки, зобов’язання щодо захисту даних та відповідальність за їх додержання.
          2. Політика доступу до даних (Data Access Policy): встановлює, які співробітники мають доступ до різних видів особистих даних, як вони можуть отримати доступ, як контролюється доступ та як забезпечується обмеження доступу за потребою.
          3. Політика зберігання даних (Data Retention Policy): передбачає терміни зберігання різних видів даних. Вона повинна враховувати вимоги GDPR щодо зберігання даних, включаючи мінімізацію зберігання та право на забування.
          4. Політика видалення даних (Data Deletion Policy): визначає процедури та підходи до видалення особистих даних після закінчення обробки або після відмови суб’єкта даних від дозволу на обробку.
          5. Політика визначення порушень даних (Data Breach Notification Policy): ця політика описує процедури виявлення, оцінки та повідомлення про можливі порушення захисту даних. Вона має включати вимоги GDPR щодо негайного повідомлення про порушення даних компетентному органу та суб’єктам даних.
          6. Політика згоди на обробку даних (Data Consent Policy): визначає, як збирається, документується та зберігається згода суб’єкта даних на обробку його особистих даних. Вона також включає правила щодо відкликання згоди.
          7. Політика внутрішнього контролю та аудиту (Internal Control and Audit Policy): передбачає процедури внутрішнього контролю, аудиту та перевірки відповідності політикам і процедурам захисту даних. Вона допомагає забезпечити, що встановлені заходи захисту даних дійсно дотримуються.
          8. Політика та процедура тренінгу та освіти (Education and Training Policy & Procedure): встановлює процедури навчання та тренінгу співробітників з питань захисту даних, конфіденційності та GDPR. Вона допомагає забезпечити, що всі співробітники розуміють важливість дотримання правил захисту даних.
          9. Процедура відповіді на запити суб’єктів даних (Data Subject Request Procedure): визначає, як організація реагує на запити суб’єктів даних щодо їх особистих даних, включаючи запити на доступ, виправлення, видалення та інші права.
          10. Політика забезпечення безпеки даних(Data Security Policy): передбачає заходи та процедури для забезпечення безпеки особистих даних, включаючи технічні та організаційні заходи.
          11. Політика мінімізації даних (Data Minimization Policy): встановлює принципи та процедури мінімізації обсягу оброблюваних особистих даних.
          12. Політика трансграничного обміну даними (Cross-Border Data Transfer Policy): якщо ваша організація має ділові партнери або клієнтів за межами Європейського Союзу, ця політика визначає процедури та заходи для трансграничного обміну особистими даними.

          Ці політики та процедури створюються на основі конкретних потреб вашої організації та типу обробки особистих даних, яку ви виконуєте, за результатами аудиту відповідності (попередня послуга). Вони допомагають забезпечити відповідність з вимогами GDPR і встановити належний рівень захисту даних у вашій організації.

          Не всі зазначені політики та процедури потрібні одночасно. Все залежить від мети, характеру, способу обробки персональних даних, та визначається на етапі аудиту.

          Сертифікація відповідності вимогам GDPR:

          GDPR передбачає можливість отримання сертифікатів з питань захисту даних для підтвердження відповідності організації вимогам регуляції. Однак, це не є обов’язковою вимогою для всіх організацій.

          Сертифікація є додатковим інструментом, який допомагає організаціям довести свою відповідність вимогам GDPR.
          Сертифікати можуть бути видані на підтвердження відповідності певних продуктів, послуг або процесів вимогам GDPR. Наприклад, можуть існувати сертифікати для конкретних систем обробки даних, вебсайт, хмарних послуг тощо.

          Отримання сертифіката може бути корисним для організацій, які бажають продемонструвати свою відповідність та дотримання GDPR своїм клієнтам та партнерам.

          Сертифікацію за стандартами GDPR здійснюють відповідні сертифікаційні органи, які мають компетенцію в цій сфері. Ці органи підлягають акредитації національними органами з акредитації або відповідними органами країн Європейського Союзу.

          Процедура сертифікації згідно з GDPR не є стандартизованою та однозначно визначеною, оскільки це залежить від специфічних сертифікаційних схем та органів, які проводять сертифікацію.

          Однак загальний процес може включати наступні кроки:

          1. Вибір сертифікаційної схеми: організація вибирає конкретну сертифікаційну схему, яка відповідає її виду діяльності та вимогам GDPR. Ця схема може визначати конкретні критерії відповідності та технічні стандарти, які необхідно виконати.
          2. Підготовка до сертифікації: організація здійснює підготовчі заходи для відповідності вимогам обраної сертифікаційної схеми. Це може включати аудит та оцінку поточного стану обробки даних, впровадження необхідних політик, процедур та заходів захисту даних.
          3. Обрання сертифікаційного органу: організація обирає сертифікаційний орган, який буде проводити аудит та перевірку відповідності. Цей орган повинен бути незалежним та має відповідати вимогам державного нагляду.
          4. Аудит та оцінка: сертифікаційний орган проводить аудит організації згідно з критеріями відповідності обраної сертифікаційної схеми. Це включає перевірку процедур, технічних заходів та політик захисту даних.
          5. Видача сертифіката: після успішного проходження аудиту та відповідності вимогам, сертифікаційний орган видає сертифікат, який підтверджує відповідність організації вимогам сертифікаційної схеми.
          6. Обслуговування та підтримка: після отримання сертифіката, організація повинна забезпечити його підтримку та обслуговування, включаючи регулярні оцінки відповідності та оновлення.
          7. Публічне довідкове інформування: організація може публічно інформувати своїх клієнтів, партнерів та громадськість про отриманий сертифікат та свою відповідність вимогам GDPR.
            Важливо пам’ятати, що процедура сертифікації може варіюватися залежно від обраної сертифікаційної схеми та практик сертифікаційних органів.
          Процедура моніторингу та відповідності GDPR:

          Застосовується після впровадження GDPR як засіб постійного / періодичного контролю відповідності вимогам GDPR та вимагає внесення правок в разі необхідності.

          Процедура моніторингу та відповідності містить наступні кроки:

          1. Постійний моніторинг дотримання політик і процедур захисту даних. Це може включати регулярні перевірки внутрішніх процесів, систем і діяльності з обробки даних.
          2. Аудит відповідності: проведення періодичних аудитів для перевірки відповідності політикам і процедурам захисту даних.
          3. Виявлення недоліків: під час моніторингу виявляються можливі недоліки, порушення або відхилення від політик та процедур захисту даних. Важливо вчасно реагувати на ці недоліки.
          4. Запровадження корективних заходів: якщо виявлено недоліки або порушення, приймаються відповідні корективні заходи для їх виправлення. Це може включати внесення змін до політик і процедур, навчання персоналу або вдосконалення технічних засобів захисту даних.

          Ця процедура дозволяє забезпечити постійну відповідність організації вимогам GDPR, підтримувати належний рівень захисту даних та ефективно реагувати на зміни та виклики в області захисту персональних даних.

          Для замовлення безпосередньої юридичної допомоги (консультації) переходьте на сторінку конкретної послуги  або

          Замовити консультацію

          Відстежуйте наші новини в мережах:

          Схожі публікації

          Залишити коментар

          Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

          Прокрутка до верху
          Огляд конфіденційності
          ЮристОнлайн.УКР

          Цей вебсайт використовує файли cookie, щоб ми могли забезпечити вам найкращу взаємодію з сайтом. Інформація про файли cookie зберігається у вашому браузері та виконує такі функції, як розпізнавання вас, коли ви повертаєтеся на наш вебсайт, і допомагає нашій команді зрозуміти, які розділи вебсайту ви вважаєте найцікавішими та корисними.

          Обов'язкові файли cookie

          Обов'язкові файли cookie мають бути ввімкнені завжди, щоб ми могли зберегти ваші параметри для налаштувань файлів cookie.

          3rd Party Cookies

          Цей вебсайт використовує Google Analytics для збору анонімної інформації, такої як кількість відвідувачів сайту та найпопулярніші сторінки.

          Увімкнення цього файлу cookie допомагає нам покращувати наш вебсайт.