Щороку 28 січня світова спільнота відзначає Міжнародний день захисту персональних даних. Цей день відповідає даті річниці відкриття для підписання Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108) у 1981 році. Його метою є підвищення обізнаності та просування найкращих практик у сфері конфіденційності та захисту даних.
Цього ж року європейська спільнота святкуватиме семиріччя із вступу в дію Директиви Європейського Парламенту та Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС, більш відомої як GDPR, або Загальний регламент захисту персональних даних.
GDPR забезпечує єдність законодавства про захист даних у Європі, гармонізуючи вимоги і стандарти захисту даних на всій території ЄС. Україна, своєю чергою, підписавши Угоду про асоціацію з Європейським Союзом, погодилася співпрацювати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських і міжнародних стандартів, зокрема відповідних документів Ради Європи. Крім того, згідно зі ст. 3 Директиви, GDPR має екстериторіальний характер дії та за певних умов захищає права громадян ЄС під час обробки їх даних поза межами Європейського Союзу. Такими умовами, зокрема, є: 1) пропозиція товарів або послуг суб’єктам даних у ЄС, незалежно від того, чи вимагається оплата від суб’єкта даних; або 2) моніторинг їхньої поведінки.
Таким чином, українські вебсайти, із серверами, що знаходяться поза територією ЄС, проте спрямовані на європейського споживача, підлягають регулюванню GDPR. Зокрема, на таку спрямованість указуватиме можливість вибору мови однієї з країн ЄС або можливість придбання товару чи отримання послуги у валюті країни ЄС.
Крім того, варто згадати й Директиву Європейського Парламенту та Ради 2002/58 від 12 липня 2002 року стосовно обробки персональних даних та захисту конфіденційності у сфері електронних комунікацій (ePrivacy directive), яка, хоч і не має прямої дії, проте імплементована в національне законодавство країн ЄС і має безпосередній вплив на практику захисту персональних даних у мережі “Інтернет”. Вказана Директива, хоч і не має прямого впливу на українські вебсайти, її наслідування відповідатиме звичаям європейської ділової практики.
Для початку розберемося з термінологією та основними принципами GDPR. Персональними даними є будь-яка інформація, що стосується живої фізичної особи, яку ідентифіковано чи можна ідентифікувати прямо або опосередковано. Це може бути ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор, або один чи декілька факторів, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.
З точки ж зору розроблення та використання вебсайтів, до персональних даних, крім очевидних даних про вебкористувачів, належать і файли cookies, безпосередньо вказані в преамбулі 30 GDPR. Файли cookies (кукі, печивка або реп’яшки) – це невеликі фрагменти тексту, які відвіданий сайт надсилає вебпереглядачу. Вони допомагають вебсайту запам’ятати потрібну інформацію, щоб відвідувачу сайту було легше наступного разу, коли він зайде на вебсайт, а контент на ньому був кориснішим.
<…>
Джерело: Юрист&Закон – не забудьте оформити передплату на улюблене видання!
Щоб БЕЗКОШТОВНО отримати доступ до повного текста статті заповніть, будь ласка, заявку:
