Маалыматтарды бөлүшүү – заманбап сооданын кан тамыры. Жаңы булут провайдерин жалдап жатасызбы, маркетинг агенттиги менен кызматташып жатасызбы же үчүнчү тараптын HR системасын интеграциялап жатасызбы, жеке маалыматтар уюмдардын ортосунда тынымсыз агылып турат. Бирок бул жерде ыңгайсыз чындык бар: көпчүлүк бизнестер маалыматтарды бөлүшүү Жалпы маалыматтарды коргоо жобосуна (GDPR) ылайык укуктук талааны баалабай коюшат.
Кооптуу жагдайлар реалдуу. Айып пулдар 20 миллион еврого же дүйнөлүк жылдык жүгүртүүнүн 4% га жетиши мүмкүн — кайсынысы жогору болсо ошого жараша. Каржылык жазалардан тышкары, сиз беделге доо кетирүү, жөнгө салуучу органдардын текшерүүсү жана жабыркаган адамдардын жарандык жоопкерчилик дооматтарына кабылуу коркунучуна кабыласыз. Нидерландиянын Маалыматтарды коргоо органы (Autoriteit Persoonsgegevens же AP) муну ачык айтты: билбестик коргонуу эмес.
Бул макалада жеке маалыматтарды бөлүшүүдө пайда болгон жети маанилүү GDPR тобокелдиги көрсөтүлөт. Ар бир тобокелдик GDPRдин белгилүү бир жоболоруна негизделген, реалдуу дүйнөдөгү кесепеттери менен көрсөтүлгөн жана сизге шайкеш келүүгө жардам берүүчү практикалык көрсөтмөлөр менен жупташкан. Сиз бизнес ээси, комплаенс боюнча кызматкер же Нидерландияда иштеген юридикалык адис болсоңуз да, бул тузактарды түшүнүү абдан маанилүү.
1. Маалыматтарды жарактуу юридикалык негизсиз бөлүшүү (GDPRдин 6-беренеси)
Тобокелдик: Жеке маалыматтарды ыңгайлуу же пайдалуу деп гана бөлүшө албайсыз. Маалыматтарды бөлүшүүнүн ар бир учуру GDPRдин 6-беренесине ылайык жарактуу юридикалык негизди талап кылат.
Эмне үчүн компаниялар туура эмес түшүнүшөт: Көптөгөн уюмдар маалыматтарды бөлүшүү үчүн коммерциялык себеп жетиштүү деп эсептешет. Бирок андай эмес. GDPR иштетүү үчүн алты мыйзамдуу негизди берет: макулдук, келишимдик зарылчылык, юридикалык милдеттенме, маанилүү кызыкчылыктар, коомдук милдет жана мыйзамдуу кызыкчылыктар. Ар биринин өзгөчө талаптары жана чектөөлөрү бар.
Мисалы, өнөктөштөр же кызмат көрсөтүүчүлөр менен маалымат алмашууну актоо үчүн көп учурда "мыйзамдуу кызыкчылыктар" колдонулат. Бирок бул негиз кылдат тең салмактуулукту текшерүүнү талап кылат: сиздин кызыкчылыктарыңыз сиз маалыматтарын иштетип жаткан адамдардын укуктарын жана эркиндиктеринен жогору турбашы керек. Жана сиз бул баалоону документтештиришиңиз керек.
Юридикалык негиздеме: GDPRдин 6-беренесинде мыйзамдуу негиздердин толук тизмеси келтирилген. GDPRдин 5(1)(a) беренесинде бардык иштетүүлөр мыйзамдуу, адилеттүү жана ачык-айкын болушу талап кылынат.
Чыныгы дүйнө натыйжасы: AP кардарлардын маалыматтарын маркетинг максатында үчүнчү тараптар менен тийиштүү юридикалык негизсиз бөлүшкөн уюмдарга айып пул салды. Маалыматтар анонимдештирилген же бириктирилген болсо да, эгерде кайрадан идентификациялоо мүмкүн болсо, ал жеке маалымат бойдон калат жана мыйзамдуу негизди талап кылат.
Практикалык алып салуу: Жеке маалыматтарды бөлүшүүдөн мурун, кайсы юридикалык негиз колдонуларын аныктап, документтештириңиз. Эгерде мыйзамдуу кызыкчылыктарга таянсаңыз, мыйзамдуу кызыкчылыктарды баалоону (LIA) жүргүзүп, жазыңыз. Эгерде макулдук колдонулса, анын эркин берилгенин, конкреттүү, маалыматтуу жана бир мааниге ээ экенин текшериңиз.
2. Ролдор боюнча башаламандык: Контроллер жана Процессор (GDPRдин 4(7)–(8) беренелери)
Тобокелдик: GDPR контроллерлорду (иштетүүнүн максаттарын жана каражаттарын аныктаган) жана иштетүүчүлөрдү (контроллердин атынан маалыматтарды иштеткен) айырмалайт. Өзүңүздүн же өнөктөшүңүздүн ролун туура эмес аныктоо олуттуу шайкештик кемчиликтерин жаратат.
Эмне үчүн компаниялар туура эмес түшүнүшөт: Иш жүзүндө, ролдор түшүнүксүз болушу мүмкүн. Эгер сиз SaaS провайдери менен маалыматтарды бөлүшсөңүз, алар контроллербу же процессорбу? Эгер алар сиздин маалыматыңызды алгоритмдерин жакшыртуу үчүн колдонсочу? Көптөгөн ишканалар ар бир сатуучуну байланышты тийиштүү түрдө талдабастан "процессор" деп аташат.
Туура эмес классификациялоо маанилүү, анткени контроллерлордун жана процессорлордун милдеттери ар башка. Контроллерлор процессорлор шайкештиктин жетиштүү кепилдиктерин камсыз кылышы керек (GDPRдин 28-беренеси). Биргелешкен контроллерлор өздөрүнүн тиешелүү милдеттери боюнча макулдашышы керек (GDPRдин 26-беренеси). Туура эмес түшүнсөңүз, болуп жатканын билбеген бузуулар үчүн жоопкерчиликке тартылышыңыз мүмкүн.
Юридикалык негиздеме: GDPRдин 4(7) жана (8) беренелеринде "контроллер" жана "процессор" аныктамалары берилген. GDPRдин 24-беренесинде контроллердин жоопкерчилик милдеттенмелери баяндалган.
Чыныгы дүйнө натыйжасы: Европа соту чечим чыгарды FashionID (C-40/17) максаттарды жарым-жартылай аныктоо сизди биргелешкен контролерго айландырышы мүмкүн. Бул сиз GDPRди бузуу үчүн биргелешип жоопкерчилик тарта аласыз дегенди билдирет, эгерде аларды башка тарап жаратса дагы.
Практикалык алып салуу: Маалымат агымдарын картага түшүрүп, ким чечим кабыл алаарын аныктаңыз неге жана кантип маалыматтар иштетилет. Муну жазуу жүзүндө документтештирип, ар бир тарап өз ролун жана милдеттерин түшүнүшүн камсыз кылыңыз.
3. Маалыматтарды иштетүү боюнча макулдашуунун жоктугу же жетишсиздиги (GDPRдин 28-беренеси)
Тобокелдик: Эгер сиз өзүңүздүн атыңыздан жеке маалыматтарды иштетүү үчүн процессор жалдасаңыз, сизден мыйзамдуу түрдө жазуу жүзүндөгү маалыматтарды иштетүү келишими (DPA) болушу талап кылынат. Эч кандай өзгөчөлүктөр жок.
Эмне үчүн компаниялар туура эмес түшүнүшөт: Айрыкча ишенимдүү же көптөн бери өнөктөштөр менен документтерди толтурбай коюу азгырык жаратат. Бирок шайкеш келген DPA болбосо, сиз GDPRдин 28-беренесин биринчи күндөн эле бузуп жатасыз — эч кандай чыныгы зыян келтирилбесе дагы.
Тийиштүү маалымат берүүчү документте (DPA) төмөнкүдөй милдеттүү пункттар камтылышы керек: иштетүүнүн предмети жана узактыгы, иштетүүнүн мүнөзү жана максаты, жеке маалыматтардын түрү, маалымат субъекттеринин категориялары жана контролердун милдеттери жана укуктары. Ошондой эле, ал кошумча иштетүүнү, маалыматтардын коопсуздугун жана бузуу жөнүндө билдирүүнү камтышы керек.
Юридикалык негиздеме: GDPRдин 28(3) беренесинде DPAнын милдеттүү мазмуну тизмеленген. GDPRдин 28(4) беренеси кошумча иштетүүчүлөр үчүн ачык уруксатты талап кылат.
Чыныгы дүйнө натыйжасы: AP тийиштүү DPAлары жок процессорлорду тарткан уюмдарга санкция киргизди. Процессор өзү талаптарга жооп берсе дагы, контроллер тийиштүү келишим түзбөгөндүгү үчүн айып пулга жыгылышы мүмкүн.
Практикалык алып салуу: 28(3)-берененин бардык талаптарын камтыган стандартташтырылган DPA шаблонун колдонуңуз. GDPRге шайкеш келерин текшерүү үчүн учурдагы келишимдерди карап чыгыңыз. Кол коюлган DPAсыз эч кандай жаңы процессорду орнотпоңуз.
4. ЕАЭБден тышкаркы үчүнчү өлкөлөргө мыйзамсыз которуу (GDPR жана Schrems II 44–49-беренелери)
Тобокелдик: Жеке маалыматтарды Европа экономикалык аймагынан (ЕЭА) тышкары өткөрүп берүү катуу чектелген. Муну сиз бара турган өлкө жетиштүү деңгээлде коргоону камсыз кылганда же тиешелүү коопсуздук чараларын көргөндө гана жасай аласыз.
Эмне үчүн компаниялар туура эмес түшүнүшөт: Көптөгөн ишканалар АКШда же Азияда жайгашкан булут кызматтарын, төлөм процессорлорун же аналитикалык куралдарды эл аралык которуу эрежелерин ишке киргизип жатканын түшүнбөстөн колдонушат. Келишимиңиз ЕС субъектиси менен түзүлгөн болсо да, эгерде маалыматтар ЕЭАдан тышкары сакталса же аларга кирүүгө мүмкүн болсо, которуу эрежелери колдонулат.
The Schrems II Соттун чечими (C-311/18 иши) ЕС менен АКШнын Купуялык Калканын жараксыз деп таап, стандарттык келишимдик жоболордун (SCC) өзү жетишсиз экенин бекемдеди. Ошондой эле, бара турган өлкөнүн мыйзамдары SCC тарабынан кепилденген коргоону бузабы же жокпу, баалоо үчүн которуунун таасирин баалоону (TIA) жүргүзүшүңүз керек.
Юридикалык негиздеме: GDPRдин 44–49-беренелери эл аралык которууларды жөнгө салат. GDPRдин V бөлүмүндө жетиштүүлүк жөнүндө чечимдер (45-берене) же тиешелүү коргоо чаралары (46-берене), мисалы, SCCлер талап кылынат.
Чыныгы дүйнө натыйжасы: Эгерде тийиштүү коопсуздук чаралары көрүлбөсө, AP сизге үчүнчү өлкөлөргө маалыматтарды өткөрүп берүүнү токтото турууга же тыюу салууга буйрук бере алат. Компаниялар TIAдан кийинки текшерүүнү жүргүзбөстөн АКШга маалыматтарды өткөрүп бергендиги үчүн аткаруу чараларына жана беделине доо кетирүүгө дуушар болушту.Schrems II.
Практикалык алып салуу: Маалымат агымыңыздагы бардык үчүнчү өлкөлөрдүн которууларын аныктаңыз. Шайкештик чечими бар же жок экенин текшериңиз. Эгер жок болсо, SCCлерди ишке ашырыңыз жана TIA жүргүзүңүз. Зарыл болсо, кошумча чараларды документтештириңиз (мисалы, шифрлөө, псевдонимдөө).
5. Маалыматтарды коргоонун таасирин баалоону жүргүзбөө (GDPRдин 35-беренеси)
Тобокелдик: Маалыматтарды бөлүшүү жеке адамдардын укуктары менен эркиндиктерине жогорку коркунуч келтириши мүмкүн болгон учурларда, маалыматтарды коргоонун таасирин баалоо (DPIA) милдеттүү болуп саналат. Буга маалыматтардын атайын категорияларын кеңири масштабда иштетүү, системалуу мониторинг жүргүзүү же жаңы технологияларды колдонуу кирет.
Эмне үчүн компаниялар туура эмес түшүнүшөт: Көптөгөн уюмдар DPIAларды милдеттүү эмес же "чоң" долбоорлор үчүн гана тиешелүү деп эсептешет. Чындыгында, саламаттыкты сактоо маалыматтарын үчүнчү тараптын аналитикалык платформасы менен бөлүшүү, жасалма интеллектке негизделген профилдөө куралдарын жайылтуу же бир нече булактардан алынган маалымат топтомдорун бириктирүү DPIA талабын козгошу мүмкүн.
DPIA жөн гана чекит коюу көнүгүүсү эмес. Бул тобокелдиктерди аныктоо, алардын оордугун баалоо жана аларды азайтуу боюнча чараларды аныктоо үчүн структуралаштырылган процесс. Эгерде калдык тобокелдиктер жогору бойдон калса, улантуудан мурун AP менен кеңешишиңиз керек.
Юридикалык негиздеме: GDPRдин 35-беренеси жогорку тобокелдиктеги маалыматтарды иштетүү үчүн DPIAларды талап кылат. AP DPIA качан талап кылынышы боюнча көрсөтмөлөрдү жарыялаган.
Чыныгы дүйнө натыйжасы: Зарыл болгон учурда DPIA жүргүзбөөнүн өзү GDPRди бузуу болуп саналат. AP уюмдарга DPIA толтурбастан, эч кандай маалыматтардын ачыкка чыгышы болбогон учурда да, жогорку тобокелдиктеги маалыматтарды бөлүшүүнү уланткандыгы үчүн айып пул салган.
Практикалык алып салуу: DPIA триггерлери үчүн бардык маалымат алмашуу иш-аракеттерин текшериңиз. Күмөн санасаңыз, бирөөсүн жасаңыз. Маалыматтарды коргоо боюнча кызматкериңизди (DPO) тартыңыз жана баалоо процессин кылдаттык менен документтештириңиз.
6. Маалымат субъекттерине жетишсиз маалымат берүү (GDPRдин 13 жана 14-беренелери)
Тобокелдик: Ачык-айкындуулук GDPRдин негизги тиреги болуп саналат. Жеке маалыматтарды чогултканда же бөлүшкөндө, маалымат субъектилерине алардын маалыматтарын ким, кандай максатта жана кандай юридикалык негизде ала тургандыгы жөнүндө маалымат беришиңиз керек.
Эмне үчүн компаниялар туура эмес түшүнүшөт: Купуялык эскертүүлөрү көп учурда бүдөмүк же эскирген болот. "Биз сиздин маалыматыңызды ишенимдүү өнөктөштөр менен бөлүшүшүбүз мүмкүн" сыяктуу сөз айкаштары жетиштүү эмес. Сиз алуучулардын категорияларын көрсөтүшүңүз керек (мисалы, "булут хостинг провайдерлери", "маркетинг агенттиктери") жана тиешелүү болгон учурда алардын аттарын аташыңыз керек.
Маалыматтар кыйыр түрдө алынганда — мисалы, маалымат брокеринен же башка контролердон — GDPRдин 14-беренеси маалыматтардын булагын кошо алганда, кошумча маалымат милдеттенмелерин жүктөйт.
Юридикалык негиздеме: GDPRдин 13 жана 14-беренелеринде маалымат субъекттерине берилиши керек болгон маалыматтар тизмеленген. GDPRдин 5(1)(a) беренеси бардык иштетүү иш-аракеттеринде ачык-айкындуулукту талап кылат.
Чыныгы дүйнө натыйжасы: AP компанияларды жеке адамдарга алардын маалыматтары үчүнчү жактар менен бөлүшүлүп жатканы жөнүндө кабарлабагандыгы үчүн санкциялады. Бөлүшүүнүн өзү мыйзамдуу болсо да, ачык-айкындуулуктун жетишсиздиги өзүнчө бир бузуу болуп саналат.
Практикалык алып салуу: Маалыматтарды бөлүшүү тажрыйбаларын так сүрөттөө үчүн купуялык эскертүүлөрүңүздү карап чыгып, жаңыртыңыз. Билдирүүлөр оңой жеткиликтүү жана жөнөкөй тилде жазылганын текшериңиз. Жаңы өнөктөштөр менен маалымат бөлүшүүдө, бөлүшүү башталганга чейин билдирүүлөрүңүздү жаңыртыңыз.
7. Коопсуздуктун жалган сезими катары псевдонимдештирүү
Тобокелдик: GDPR коопсуздук чарасы катары псевдонимдештирүү — түз идентификаторлорду коддор же токендер менен алмаштыруу — сунушталат. Бирок ал маалыматтарды анонимдүү кылбайт. Эгерде маалыматтар дагы эле бир адамга байланыштырылышы мүмкүн болсо, анда ал жеке маалыматтар бойдон калат жана GDPRдин толук чөйрөсүнө баш иет.
Эмне үчүн компаниялар туура эмес түшүнүшөт: Ишканалар көп учурда псевдонимделген маалыматтарды чектөөсүз бөлүшүү "коопсуз" деп эсептешет. Иш жүзүндө псевдонимдештирүү тобокелдикти азайтат; аны жок кылбайт. Эгер сиз псевдонимделген маалыматтарды ачкычка же кайра идентификациялоого мүмкүндүк берген башка маалымат топтомдоруна кирүү мүмкүнчүлүгү бар өнөктөш менен бөлүшсөңүз, сиз дагы эле жеке маалыматтарды иштетип жатасыз.
Юридикалык негиздеме: GDPRдин 4(5) беренесинде псевдонимизация аныкталат. GDPRдин 26-презиталетинде псевдонимделген маалыматтар чындап анонимдештирилмейинче (б.а., эч кандай акылга сыярлык каражаттар менен кайрадан идентификациялоо мүмкүн болбой калганда) жеке маалымат бойдон кала берери такталат.
Чыныгы дүйнө натыйжасы: AP көрсөтмөсүндө псевдонимдештирүү "түрмөдөн бошонуу" картасы эмес экенин тактаган. Эгерде кайрадан инсандыгын тастыктоо мүмкүн болсо, GDPR боюнча бардык милдеттенмелер, анын ичинде юридикалык негизге ээ болуу, DPIAларды жүргүзүү жана тийиштүү коопсуздукту камсыз кылуу колдонулат.
Практикалык алып салуу: Эгерде сиз эксперттер тарабынан текшерилген катуу анонимдештирүү процессинен өтпөсөңүз, псевдонимделген маалыматтарды жеке маалымат катары караңыз. Кайрадан идентификациялоонун алдын алуу үчүн колдонулган техникалык жана уюштуруу чараларын документтештириңиз.
Көп берилүүчү суроолор
GDPR боюнча маалыматтарды алмашууга качан уруксат берилет?
Маалыматтарды бөлүшүү GDPRдин 6-беренесине ылайык жарактуу юридикалык негизге ээ болгондо гана мыйзамдуу болуп саналат. Алты юридикалык негиз: макулдук, келишимдик зарылчылык, юридикалык милдеттенме, маанилүү кызыкчылыктар, коомдук милдет жана мыйзамдуу кызыкчылыктар. Ошондой эле, сиз мыйзамдуулук, адилеттүүлүк, ачык-айкындуулук, максатты чектөө, маалыматтарды минималдаштыруу, тактык, сактоону чектөө, бүтүндүк жана купуялуулук принциптерин сакташыңыз керек (GDPRдин 5-беренеси). Иш жүзүндө, бул сиз маалыматтарды эмне үчүн бөлүшүп жатканыңызды так документтештирүүнү, максаттын аны башында чогулткан себебиңизге дал келишин камсыз кылууну жана маалымат субъекттерине бөлүшүү жөнүндө маалымат берүүнү билдирет.
Контроллер менен процессордун ортосунда кандай айырма бар?
A контролеру жеке маалыматтарды иштетүүнүн максаттарын жана каражаттарын аныктайт. A иштетүү маалыматтарды контроллердин атынан белгилүү бир көрсөтмөлөрдүн негизинде иштетет. Бул айырмачылык маанилүү, анткени контроллерлор GDPRдин сакталышы үчүн биринчи кезекте жооптуу, ал эми иштетүүчүлөрдүн милдеттери чектелүү (негизинен коопсуздукту жана купуялуулукту камсыз кылуу). Эгер сиз маалыматтарды сиздин көрсөтмөлөрүңүз боюнча иштеткен жеткирүүчү менен бөлүшүп жатсаңыз — мисалы, эмгек акы төлөө провайдери же булут сактоо кызматы — алар адатта иштетүүчү болуп саналат. Эгер алар маалыматтарды өз максаттары үчүн кантип колдонууну чечишсе, алар (биргелешкен) контроллер болушу мүмкүн. Ролдорду туура эмес аныктоо жоопкерчиликте жана бузуулар үчүн биргелешкен жоопкерчиликте кемчиликтерге алып келиши мүмкүн.
Маалыматтарды иштетүү келишими (DPA) качан милдеттүү болуп саналат?
Жеке маалыматтарды иштетүү үчүн процессорду жалдаган сайын, маалымат алмашуу жөнүндө билдирүү (DPA) милдеттүү түрдө болушу керек (GDPRдин 28-беренеси). Бул сиздин уюмуңуздун көлөмүнө же камтылган маалыматтардын көлөмүнө карабастан колдонулат. Маалымат алмашуу жөнүндө билдирүү жазуу жүзүндө болушу керек жана иштетүүнүн темасы жана узактыгы, мүнөзү жана максаты, маалыматтардын түрлөрү жана маалымат субъекттеринин категориялары, ошондой эле коопсуздук, бузуу жөнүндө билдирүү жана кошумча иштетүү боюнча эки тараптын милдеттенмелери сыяктуу белгилүү бир милдеттүү пункттарды камтышы керек. Шайкеш келген маалымат алмашуу жөнүндө билдирүүсүз, эч кандай зыян келтирилбесе да, сиз маалымат алмашууну баштаган учурдан тартып укук бузууга кабылган болосуз.
Кардарлардын маалыматтарын Европа Биримдигинен тышкары тарап менен бөлүшө аламбы?
Ооба, бирок катуу шарттар аткарылган учурда гана. GDPRдин 44–49-беренелерине ылайык, сиз маалыматтарды үчүнчү өлкөгө төмөнкү учурларда өткөрүп бере аласыз: (а) Европа Комиссиясы ал өлкө үчүн жетиштүүлүк чечимин чыгарган болсо, же (б) сиз стандарттык келишимдик жоболор (SCC) сыяктуу тиешелүү коргоо чараларын киргизген болсоңуз. Андан кийин Schrems II соттун чечимине ылайык, сиз бара турган өлкөнүн мыйзамдары (мисалы, өкмөттүн көзөмөлү) SCC тарабынан кепилденген коргоону бузабы же жокпу, баалоо үчүн которуунун таасирин баалоону (TIA) жүргүзүшүңүз керек. Эгерде тобокелдиктер сакталып калса, сиз шифрлөө же маалыматтарды минималдаштыруу сыяктуу кошумча чараларды көрүшүңүз керек. Тийиштүү коргоо чаралары жок которуулар AP тарабынан которууну токтотууну кошо алганда, аткаруу чараларын көрүүгө алып келиши мүмкүн.
Маалыматтарды алмашуу үчүн DPIA качан талап кылынат?
Эгерде маалыматтарды иштетүү жеке адамдардын укуктары менен эркиндиктерине чоң коркунуч келтириши мүмкүн болсо, GDPRдин 35-беренесине ылайык, DPIA милдеттүү болуп саналат. Буга төмөнкүлөр кирет: маалыматтардын атайын категорияларын (мисалы, ден соолук, биометрикалык, генетикалык маалыматтар) кеңири масштабда иштетүү, коомчулукка жеткиликтүү аймактарды системалуу түрдө көзөмөлдөө, юридикалык же ушул сыяктуу олуттуу кесепеттерге алып келүүчү автоматташтырылган чечимдерди кабыл алуу жана жаңы технологияларды колдонуу. Маалыматтарды бөлүшүүдө, эгер сиз маалымат топтомдорун бириктирип жатсаңыз, купуя маалыматты бөлүшүп жатсаңыз же маалыматтарды профилдөө же жасалма интеллект менен башкарылуучу аналитика үчүн колдонуп жатсаңыз, DPIA көп учурда талап кылынат. AP DPIAны талап кылган иштетүү операцияларынын тизмесин жарыялады. Эгерде күмөн санасаңыз, аны жүргүзүңүз - кечирим сурагандан көрө сак болгон жакшы.
GDPRди бузгандыгы үчүн компаниялар кандай айып пулга тартылышы мүмкүн?
GDPR эки деңгээлдеги айып пулдарды караштырат. Төмөнкү деңгээлдеги айып пулдар — 10 миллион еврого чейин же дүйнөлүк жылдык жүгүртүүнүн 2% — тиешелүү коопсуздук чараларын көрбөгөндүк же зарыл болгондо DPIA жүргүзбөгөндүк сыяктуу бузууларга тиешелүү. Жогорку деңгээлдеги айып пулдар — 20 миллион еврого чейин же дүйнөлүк жылдык жүгүртүүнүн 4% — иштетүү үчүн мыйзамдуу негиздин жоктугу, мыйзамсыз эл аралык которуулар же маалымат субъекттеринин укуктарын бузуу сыяктуу олуттуу бузууларга тиешелүү. AP айып пулдун суммасын бузуунун мүнөзү жана оордугу, атайылап же шалаакылык болгондугу, жабыркаган адамдардын саны жана көрүлгөн ар кандай жумшартуу чаралары сыяктуу факторлордун негизинде аныктайт. Жакында жүргүзүлгөн чаралар AP олуттуу айып пулдарды, айрыкча системалуу же атайылап бузуулар үчүн салууга даяр экенин көрсөтүп турат.
Псевдонимделген маалыматтарды бөлүшүү дайыма коопсузбу?
Жок. Псевдонимдештирүү тобокелдикти азайтат, бирок аны жок кылбайт. GDPRдин 4(5)-беренесине ылайык, псевдонимдештирүү түз идентификаторлорду (мисалы, аттарды) коддор же псевдонимдер менен алмаштырууну билдирет. Бирок, эгерде маалыматтар дагы эле жеке адамга байланыштырылышы мүмкүн болсо — мисалы, сизде же алуучуда сакталган кошумча маалыматты колдонуу менен — ал жеке маалыматтар бойдон калат жана GDPRге толугу менен баш иет. Бул сизге дагы эле юридикалык негиз керек экенин, маалымат субъекттерине маалымат беришиңиз керектигин жана тийиштүү коопсуздукту камсыз кылышыңыз керектигин билдирет. GDPRдин алкагынан маалыматтарды чыныгы анонимдештирүү гана — кайра идентификациялоо эч кандай акылга сыярлык каражаттар менен мүмкүн болбогон учурда — алып салат. Иш жүзүндө чыныгы анонимдештирүүгө жетүү кыйын жана эксперттик текшерүүнү талап кылат.
Эгерде менин бизнесимде мыйзамсыз маалыматтарды бөлүшүүдөн улам маалыматтар уурдалса, эмне кылышым керек?
Эгерде сиз жеке маалыматтардын бузулушун, анын ичинде мыйзамсыз маалыматтарды бөлүшүүдөн улам келип чыккан бузууну аныктасаңыз, сизде бар 72 саат GDPRдин 33-беренесине ылайык APге кабарлоо (эгерде бузуу жеке адамдардын укуктары менен эркиндиктерине коркунуч келтирбесе). Эгерде бузуу аларга жогорку коркунуч келтириши мүмкүн болсо, сиз жабыр тарткан адамдарга кечиктирбестен кабарлашыңыз керек (GDPRдин 34-беренеси). Тез арада аткарылуучу чаралар төмөнкүлөрдү камтыйт: бузууну токтотуу, анын көлөмүн жана таасирин баалоо, эмне болгонун жана ага карата эмне кылып жатканыңызды документтештирүү жана APге алардын онлайн порталы аркылуу кабарлоо. Кабарлабагандык өзүнчө айып пулга алып келиши мүмкүн. AP бузуунун оордугуна жана сиздин жообуңузга жараша күч колдонуу чараларын көрүү зарылдыгын баалайт.
Бизнесиңизди коргоңуз — эксперттик юридикалык кеңеш алыңыз
Маалыматтарды бөлүшүүдөн качууга болбойт, бирок GDPRди бузуу сөзсүз түрдө болушу керек эмес. Жогоруда баяндалган жети тобокелдик теориялык эмес — алар чыныгы аткаруу иштеринен, сот чечимдеринен жана жөнгө салуучу көрсөтмөлөрдөн келип чыгат. Алардын ар бири айып пулдарга, жоопкерчилик боюнча дооматтарга жана беделге зыян келтирүүгө алып келиши мүмкүн.
Жакшы жаңылыкпы? Туура укуктук база, так документтер жана проактивдүү шайкештик чаралары менен сиз маалыматтарды ишенимдүү жана мыйзамдуу түрдө бөлүшө аласыз. Бирок аны туура жасоо үчүн жалпы кеңештерден да көп нерсе талап кылынат — бул сиздин бизнесиңизди, маалымат агымыңызды жана сиз туш болгон конкреттүү тобокелдиктерди түшүнгөн жекелештирилген юридикалык колдоону талап кылат.
AP эшикти каккылап киришин күтпөңүз. Эгер маалымат алмашуу практикаңыз GDPRге шайкеш келеби же жокпу, билбей жатсаңыз же DPA түзүүгө, DPIA жүргүзүүгө же эл аралык которууларды башкарууга жардам керек болсо, купуялык боюнча адис юристке кайрылыңыз. Сиздин бизнесиңиз жана кардарларыңыз андан кем эмес нерсеге татыктуу.
