Презентація з обговорення GDPR, яке відбулося 19 червня 2018 року. Чекаємо на Ваші питання.

1. GDPR,
і як його застосовувати
резидентам України
19-06-2018
1
Анастасия Коноплева, CISA
a.konopleva@isaca.org.ua

2. Подяка
Редактори:
Ірина Івченко
Анастасія Конопльова
Ростислав Цейко
Андрій Рибальченко
Перекладачі:
Сергій Болдинюк
Ольга Вишатицька, Євгенія Пилипенко, Андрій Малярчук
(з координацією Світлани Лазарєвої)
Олексій Мендрін
Наталія Валєєва
Юлія Драніщева
Організація:
Костянтин Куліков
Асоціація ІТ

3. Коротко
25.05.2018 Екстратериторіальність
max{€20 млн, 2-4%
общего годового
оборота}
72 години, щоб
повідомити про
порушення
Детальна згода суб’єкта
Права суб’єкта знати
та припинити
Мета обробки
Privacy
by default and
by design
Зобов’язання
контролера
http://www.eugdpr.org/the-regulation.html

4. Документи
• Оригінал документу, який має юридичну силу
– https://eur-lex.europa.eu/legal-
content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG
• Офіційний переклад українською, затверджений Урядовим
офісом координації європейської та атлантичної інтеграції
Секретаріату КМУ
– https://eu-ua.org/sites/default/files/inline/files/es-2016679.pdf
• Неофіційні переклади українською та російською
– https://www.slideshare.net/AnastasiiaKonoplova/gdpr-isaca-kyiv-
chapter

5. Принципи
lawfulness, fairness
and transparency
законність, справедливість і
прозорість
purpose
limitation
обмеження мети
data minimization
мінімізація даних
accuracy
точність
storage limitation
обмеження на зберігання
integrity and
confidentiality
цілісність та конфіденційність
Стаття 5

6. Предмет
"персональні дані (personal data)" -
будь-яка інформація, що стосується
ідентифікованої чи придатної до
ідентифікації фізичної особи ("суб'єкта
даних"); ідентифікована фізична особа -
це той, хто може бути визначений
безпосередньо чи опосередковано,
зокрема, за посиланням на такий
ідентифікатор, як ім'я, ідентифікаційний
номер, дані про місцезнаходження,
онлайн ідентифікатор або один чи
більше факторів специфічної для
фізичної, фізіологічної, генетичної,
психічної, економічної, культурної або
соціальної ідентичності цієї фізичної
особи;
"обробка (processing)" означає будь-яку
операцію або сукупність операцій, які
виконуються з персональними даними або
наборами персональних даних, незалежно
від того, чи використовуються автоматичні
засоби, така як збір, запис, організація,
структурування, зберігання, адаптація
або зміна, пошук, узгодження,
використання, розголошення шляхом
передачі, розповсюдження або іншим
чином – забезпечення доступності,
систематизація або поєднання,
обмеження, стирання або знищення;
Стаття 4

7. Ролі
Суб’єкт даних (data
subject)
• Ідентифікована чи
придатна до
ідентифікації
фізична особа
контролер
(controller)
• визначає цілі та
засоби обробки
персональних
даних
обробник
(processor)
• обробляє
персональні дані
від імені
контролера;
одержувач
(recipient)
• фізична або
юридична особа,
державний орган,
агенція чи інший
орган, якому
розкриті
персональні дані,
незалежно від
того, чи є вона
третьою особою.
третя особа
(third party)
• фізична чи
юридична особа,
державний орган,
агентство чи орган,
відмінний від
суб'єкта даних,
контролера,
обробника та
особи, яка під
безпосереднім
керівництвом
контролера або
обробника має
дозвіл обробляти
персональні дані
головна установа
(main
establishment)
представник
(representative)
підприємство
(enterprise)
група суб’єктів
господарювання
(group of
undertakings)
certification body
Representation of
data subject
Supervisory
authorities
Стаття 4

8. Специфічні ситуації
• Processing in the context of
employment
• processing for archiving purposes
in the public interest, scientific or
historical research purposes or
statistical purposes
• processing and freedom of
expression and information
• public security
• public interest
• дані дитини
• расове чи етнічне походження,
• політичні погляди,
• релігійні чи філософські
переконання,
• членство в профспілках,
• обробка генетичних, біометричних
даних з метою однозначної
ідентифікації фізичної особи,
• дані стосовно здоров'я, статевого
життя або сексуальної орієнтації
фізичної особи
• Передача даних в третю країну

9. Передача в третю країну
• Комісія вирішила, що третя
країна, територія або один
або декілька визначених
секторів у межах цієї третьої
країни, або відповідна
міжнародна організація
забезпечують належний
рівень захисту. Така
передача не вимагає
спеціального дозволу.
• Без дозволу наглядового
органу
– Затверджені механізми захисту ПД
• З дозволу наглядового
органу
– договірні положеннями між
контролером або обробником та
контролером, обробником або
одержувачем персональних даних
у третій країні або міжнародній
організації;
• Якщо суб’єкт даних явно
погодився або запитав
договір
Стаття 46, 49

10. Права суб’єкта
Права доступу до
інформації суб’єкта
персональних даних
Право на усунення
помилок
Право на стирання даних
("право на забуття")
Право на обмеження
обробки
Зобов'язання про
повідомлення щодо
виправлення чи стирання
персональних даних або
обмеження обробки
Право на портативність
даних
Право висувати
заперечення
Автоматизоване
індивідуальне прийняття
рішень, включаючи
профілювання
Статті 12-22

11. Зобов’язання контролера та обробника
Data protection by
design and by default
Representatives of
controllers or
processors not
established in the
Union
Records of processing
activities
Cooperation with the
supervisory authority
Security of processing
Notification of a
personal data breach to
the supervisory
authority
Communication of a
personal data breach to
the data subject
Data protection impact
assessment
Designation of the data
protection officer
Codes of conduct
Статті 25-39

12. Обмеження і виключення
2.2 9.2 11
13.4 14.5 17.3
20.3 22.2 23
27.2 30.5
Законодавство Країн Членів
…

13. Санкції
4.Порушення наступних положень, у відповідності до
пункту 2, є предметом адміністративних штрафів у розмірі
до 10 000 000 євро або, у випадку з підприємством, до
2% від загального світового річного обороту за
попередній фінансовий рік, від того, що вище:
• (a) зобов'язання контролера та обробника
відповідно до статей 8 (діти), 11(зайве), 25-39 та 42
та 43 (сертифікація);
• (b) зобов'язання органу сертифікації відповідно до
статей 42 та 43;
• (c) зобов'язання наглядового органу відповідно до
статті 41 (4).
5. Порушення наступних положень, у відповідності до пункту
2, є предметом адміністративних штрафів у розмірі
до 20 000 000 євро або, у випадку з підприємством, до 4%
від загального світового річного обороту за попередній
фінансовий рік, залежно від того, що вище:
• (a) основні принципи обробки, включаючи умови згоди,
відповідно до статей 5, 6, 7 та 9;
• (b) права суб'єктів даних відповідно до статей 12-22;
• (c) передача персональних даних одержувачу в
третій країні або міжнародній організації відповідно до
статей 44-49;
• (d) будь-які зобов'язання відповідно до
законодавства Країн Членів, прийнятих відповідно до
Розділу IX;
• (e) невиконання вимоги наглядового органу до
тимчасового або остаточного обмеження щодо обробки
або зупинення потоків даних відповідно до статті 58(2)
або ненадання доступу з порушенням статті 58(1).
Стаття 83

14. Регуляція
• Європейська Рада з Захисту Даних
– Dispute resolution by the Board
– Urgency procedure
• Наглядові органи в Країнах Членах
– Independent supervisory authorities
– Monitoring of approved codes of conduct

15. Механізми
Certification
International
cooperation for the
protection of
personal data
Representation of
data subjects
Right to an effective
judicial remedy
against a controller
or processor
Right to an effective
judicial remedy
against a supervisory
authority
Suspension of
proceedings (81)

16. Глобальна проблема

17. Застосовність
• Які дані ми обробляємо?
– Звідки беремо?
– Як впорядковуємо?
– Даних достатньо для
ідентифікації особи?
• Навіщо обробляємо?
• Яка наша роль в обробці?
• Згода?
• Виключення
• Законність
• Юридичні підстави обробки
• Юрисдикція
• Розподіл відповідальності

18. Питання від спільноти до Ради
Обговорення триває,
слідкуйте за публікаціями на
https://www.facebook.com/Kyiv.ISACA/