Публікації лектора
Захист персональних даних та GDPR. Частина 2
Про загальні положення GDPR та практичні аспекти застосування розповів адвокат, член Ради комітету з питань ІТ-права НААУ, експерт у галузях супроводу ЗЕД, судової практики, кримінального, корпоративного, договірного та ІТ-права Дмитро Зеленко під час заходу з підвищення професійного рівня адвокатів, що відбувся у Вищій школі адвокатури НААУ.
Зеленко Дмитро
28.09.2025

Лектор докладно проаналізував разом з учасниками загальні положення GDPR та практичні аспекти застосування, а саме:

  • 1. Права субʼєктів за GDPR
  • 2. ⁠Права та обовʼязки контролерів та процесорів
  • 3. ⁠Аналіз порушень вимог GDPR (чому це – боляче?)
  • 4. ⁠Технічні та організаційні заходи (ROPA, TOMs, DPIA etc)
  • 5. ⁠Privacy by default and by design
  • 6. ⁠Транскордонна передача персональних даних
  • 7. ⁠Базовий чек-лист “зовнішнього” комплаєнсу
  • 8. ⁠Пратичні поради щодо імплементації GDPR

У рамках характеристики загальних положеннь GDPR акцентовано на наступному:

1. Права субʼєктів за GDPR

GDPR (General Data Protection Regulation) надає фізичним особам широкий спектр прав щодо захисту їхніх персональних даних:

  1. Право знати (Right to be informed): суб’єкт має право отримати повну інформацію про джерела збору даних, мету обробки, місцезнаходження володільця та/або розпорядника, контактні дані Data Protection Officer (DPO).
  2. Право на доступ до своїх даних (Right of access): отримати копію всіх своїх персональних даних, що обробляються. Термін надання відповіді — не пізніше 30 календарних днів з моменту запиту.
  3. Право на виправлення (Right to rectification): вимагати від контролера виправлення неточних або застарілих даних.
  4. Право на видалення даних (“право бути забутим”): вимога видалити свої дані, якщо вони більше не потрібні для цілей, для яких були зібрані, або якщо відкликано згоду.
  5. Право на обмеження обробки: тимчасове призупинення обробки даних у разі сумнівів у їх точності чи законності обробки.
  6. Право на заперечення проти обробки, наприклад, у разі, коли дані використовуються для прямого маркетингу.
  7. Право на перенесення даних (Data portability): отримання даних у структурованому, машиночитаному форматі та передача іншому контролеру.
  8. Право відкликати згоду у будь-який момент без негативних наслідків.
  9. Право на захист від автоматизованого ухвалення рішень, які мають правові наслідки.

2. ⁠Права та обовʼязки контролерів та процесорів

Контролер (Data Controller) визначає мету та способи обробки даних.

Обов’язки контролера:

  • забезпечити відповідність усіх процесів обробки GDPR;
  • впровадити політики, процедури та документацію;
  • призначити Data Protection Officer (DPO) та представника в ЄС;
  • забезпечити дотримання прав суб’єктів даних;
  • укладати договори з процесорами (DPA — Data Processing Agreement);
  • повідомляти про інциденти витоку даних у 72 години.

Процесор (Data Processor) виконує обробку лише за інструкціями контролера.

Обов’язки процесора:

  • дотримуватися вимог GDPR та умов договору;
  • не залучати субпроцесорів без дозволу;
  • повідомляти контролера про всі порушення безпеки даних;
  • впровадити технічні та організаційні заходи безпеки (TOMs);
  • надавати документи, що підтверджують відповідність.

Зміст DPA (ст. 28 GDPR):

  1. Предмет та тривалість обробки;
  2. Мета та категорії даних;
  3. Конфіденційність;
  4. Заходи безпеки;
  5. Порядок залучення субпроцесорів.

3. ⁠Аналіз порушень вимог GDPR (чому це – боляче?)

У разі витоку або порушення безпеки персональних даних контролер зобов’язаний повідомити регулятор протягом 72 годин.

Повідомлення має містити:

  1. Опис характеру порушення;
  2. Кількість постраждалих суб’єктів та категорії даних;
  3. Контактну особу (DPO);
  4. Заходи, які були вжиті для мінімізації наслідків.

Наслідки порушень:

  • великі штрафи (до 20 млн євро або 4% світового обороту компанії);
  • репутаційні втрати та судові позови;
  • блокування процесів бізнесу.

Реальні приклади штрафів:

  1. Meta — 405 млн €;
  2. Amazon — 746 млн €;
  3. TikTok — 345 млн €;
  4. H&M — 35 млн €.

4. ⁠Технічні та організаційні заходи (ROPA, TOMs, DPIAetc)

ROPA (Records of Processing Activities): документ, що фіксує всі операції з персональними даними, а саме:

  • хто обробляє;
  • цілі обробки;
  • категорії суб’єктів та даних;
  • отримувачі;
  • строки зберігання;
  • заходи безпеки (TOMs).

TOMs (Technical and Organisational Measures):

  • шифрування та псевдонімізація;
  • контроль доступу (фізичний та логічний);
  • резервне копіювання та план відновлення;
  • захист від вірусів та мережевих атак;
  • регулярний моніторинг і тестування.

DPIA (Data Protection Impact Assessment) проводиться, якщо обробка має високий ризик:

  • обробка великої кількості чутливих даних;
  • спостереження у публічних місцях;
  • використання нових технологій.
  1. Privacy by default and by design

Privacy by Design — захист персональних даних закладається на етапі проектування процесів, сервісів чи продуктів.

Privacy by Default — за замовчуванням збирається мінімально необхідний обсяг даних, а налаштування сприяють захисту приватності.

Принципи:

  • – мінімізація даних;
  • – обмеження цілей збору;
  • – точність та актуальність;
  • – збереження не довше, ніж потрібно;
  • – конфіденційність та цілісність.

6. ⁠Транскордонна передача персональних даних

Передача даних за межі ЄС допускається за умов:

  1. Згоди суб’єкта даних;
  2. Необхідності виконання договору з суб’єктом;
  3. Захисту життєво важливих інтересів;
  4. Виконання правових зобов’язань;
  5. Надання гарантій конфіденційності та прав суб’єктів.

7. ⁠Базовий чек-лист “зовнішнього” комплаєнсу

  1. Повідомлення про обробку персональних даних.
  2. Повідомлення про обробку файлів кукіс.
  3. DPA.
  4. DTA (+TIA).

Небазовий чек-лист:

  • ROPA.
  • Оцінка ризиків, DPIA.
  • Політика на кожен з принципів + реалізація прав.
  • Політика реагування на інциденти + безпекові політики.
  • Аналіз використання правової підстави на кожен з процесів.

8. ⁠Пратичні поради щодо імплементації GDPR:

  1. Почати з карти руху даних та перевірки правових підстав обробки;
  2. Оцінити ризики та впровадити ризик-орієнтований підхід;
  3. Визначити ключові TOMs (шифрування, доступ, резервні копії);
  4. Провести навчання персоналу;
  5. Призначити DPO;
  6. Розробити плани реагування на інциденти;
  7. Підписати DPA з процесорами;
  8. Використовувати шаблони ICO для ведення документації.

Першоджерело - https://tinyurl.com/e3phwknm

З першою частиною заходу - Захист персональних даних та GDPR. Частина 1 - можна ознайомитись за посиланням - https://tinyurl.com/bdzdrt49