GDPR для громадських організацій України

General Data Protection Regulation (GDPR), або Загальний регламент про захист даних – це обов’язковий для застосування в усіх країнах-членах ЄС документ, що визначає вимоги до захисту персональних даних громадян країн ЄС. Регламент надає кожному громадянину ЄС більший контроль над своїми особистими даними і визначає обов’язки та відповідальність компаній та організацій, що їх збирають, використовують чи іншим чином обробляють. Регламент був ухвалений ще у 2016 році і вступив у силу 26 травня 2018 року. 

Ключовою особливістю GDPR є впровадження принципу приватність «by design» і «by default». GDPR вимагає, щоб стандарти захисту персональних даних були вбудовані в технології і пропонувалися користувачам «за замовчуванням». 

Яка інформація відноситься до персональних даних?

Персональним даними, які підлягають захисту є будь-яка інформація, що  стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»). Відповідно до GDPR, ідентифікувати особу можна прямо чи опосередковано, зокрема, за такими ідентифікаторами –  як:

•  ім’я
•  ідентифікаційний номер
• дані про місцеперебування
• онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.

Класичним прикладом бази персональних даних для громадських організацій може бути, наприклад, база розсилки, яка включає імена та електронні адреси «підписників» чи іншу інформацію (мобільний телефон, дата народження, профіль у Фейсбук тощо). 

Водночас, навіть збирання лише е-мейл адрес (без ПІБ особи), якщо вони надалі використовуються для здійснення розсилок чи іншим чином в діяльності організації може потребувати дотримання окремих вимог регламенту (наприклад, отримання згоди). 

Чи поширюється дія GDPR на українські громадські організації?

За загальним правилом вимоги GDPR безпосередньо стосуються, в першу чергу, компаній, що зареєстровані в ЄС. Водночас, його дія також поширюється на компанії за межами ЄС, якщо вони здійснюють обробку персональних даних, у зв’язку з постачанням товарів чи наданням послуг на території ЄС або з моніторингом поведінки суб’єктів персональних даних на території ЄС (тобто, систематично збирають дані користувачів ЄС). 

В такому випадку компанія повинна визначити своїм представником, так по суті «контактною особою», компанію на території ЄС. 

Оскільки під «послугами» GDPR розуміється як оплатні, так і безкоштовні послуги – дія цього регламенту може поширюватись не лише на бізнес, але і на громадські організації, які не ведуть підприємницької діяльності.

Більше в детальному огляді Віти Володовської, юристка ГО «Лабораторія цифрової безпеки», на Європейському Просторі