24 червня 2019, 17:49

Життя після GDPR

Що таке GDPR та що з ним робити? Якщо ви не знали та соромилися запитати. Лікбез для бізнесу

Опубліковано в №25-26 (679-680)

Марта Сарвас
Марта Сарвас «ARIO LAW FIRM» юрист

До витоків

27.04.2016 р. Європейський Парламент та Рада ЄС ухвалили документ, який змінив наше уявлення про захист персональних даних — General Data Protection Regulation (далі — GDPR, Регламент). Положення GDPR почали застосовуватися з 25.05.2018 р. До цього часу процес обробки персональних даних регулювала Директива 95/46/ЕС, ухвалена ще у 1995 р., яка вже давно не відповідала реаліям сьогодення.

Напередодні набрання чинності GDPR (у квітні 2018 р.) в Україні спостерігалася цікава тенденція: велика кількість компаній, що передбачають можливість надання послуг чи продаж товарів особам, які перебувають у ЄС, раптово згадали, що два роки тому був ухвалений GDPR. Як зазвичай відбувається в нашій країні, компанії панічно розпочали процес приведення своєї діяльності у відповідність до вимог цього Регламенту. До речі, офіційний український переклад GDPR побачив світ лише 08.05.2018 р., фактично за декілька днів до початку його застосування.

Таким чином, перед бізнесом постали нові питання. Зокрема, як розробити нові правила політики конфіденційності, враховуючи вимоги? Хто такий DPO (data protection officer) та чи потрібно його призначати? Як вирішити технічні аспекти процесу обробки персональних даних, щоб забезпечити можливість дотримання всіх норм GDPR. Рушієм, який спонукав зазначені компанії активно діяти, була ст. 83 Регламенту, що передбачає «космічні» штрафи за недотримання вимог Регламенту. Далі ми розберемо основні положення Регламенту.

Варто знати

З назви документа не важко здогадатися, що Регламент встановлює норми, які стосуються захисту персональних даних фізичних осіб у контексті обробки їхніх персональних даних.

Персональні дані. Відповідно до Регламенту, це будь-яка інформація, за якою прямо чи опосередковано можна ідентифікувати фізичну особу. Зокрема, такою інформацією може бути ім'я, прізвище, ідентифікаційний номер, дані, за якими можна встановити місцезнаходження, IP, приналежність до певної національності чи культури тощо.

Обробка персональних даних. У контексті Регламенту під цим поняттям мається на увазі будь-яка дія чи сукупність дій, що здійснюються з персональними даними як через мережу (автоматично), так і будь-яким іншим чином. Це може бути збирання персональних даних, зберігання, структурування, запис, зміна, адаптація, вилучення, використання, розкриття, розповсюдження, знищення тощо.

При цьому варто зауважити, що специфіка Регламенту полягає у встановленні лише певних меж, наводить ознаки понять, не встановлюючи вичерпного переліку того чи іншого поняття, надаючи простір для їх тлумачення.

Дія Регламенту. Норми Регламенту поширюються на процес обробки персональних даних, який здійснюється щодо осіб, які в момент обробки перебувають на території ЄС, або особами, які безпосередньо здійснюють обробку персональних даних інших осіб і перебувають в ЄС. Цікавим є те, що положення Регламенту поширюються також на компанії, що передбачають лише можливість надання послуг чи продаж товарів особам, які перебувають на території ЄС. Окрім того, варто зауважити, що відповідно до Регламенту, приналежність до певного громадянства не має жодного значення. Значення має лише фізична присутність осіб чи підприємств (їх представництв) на території ЄС.

Відповідальні за обробку особи. Згідно з Регламентом, відповідальними особами за обробку персональних даних є контролер та процесор. Контролер — це особа (фізична чи юридична) або орган державної влади, які визначають ціль та мету обробки персональних даних. Процесором є особа (фізична чи юридична) або орган державної влади, які здійснюють обробку персональних даних відповідно до мети та цілей, визначених контролером. Якщо дві або більше осіб спільно визначають мету та цілі обробки персональних даних, то такі особи будуть вважатися солідарними контролерами.

Обов'язки контролера:

  • впровадити необхідні технічні та організаційні засоби для захисту персональних даних (зокрема, псевдонімізація);
  • регулярно перевіряти ефективність технічних та організаційних засобів, що спрямовані на захист персональних даних;
  • спостерігати за дотриманням особами, які діють від імені контролера та мають доступ до персональних даних, інструкцій контролера;
  • обробляти лише ті персональні дані та в тій кількості, в якій необхідно;
  • зберігати та використовувати персональні дані лише протягом того періоду, який визначено необхідним;
  • надавати суб'єкту персональних даних відповіді за результатом розгляду звернень протягом місяця від дати звернення (у разі потреби цей термін може бути продовжений до 2‑х місяців);
  • не пізніше ніж через 72 години після того як дізнався, повідомляти про витік персональних даних (якщо про витік персональних даних стало відомо процесору, то він повинен повідомити контролера).

Процесор несе такі ж обов'язки, що й контролер, за винятком відповідей на запити суб'єкта персональних даних. Важливо звернути увагу, що контролер і процесор несуть солідарну відповідальність у випадку порушень норм Регламенту. Відносини контролера та процесора повинні регламентуватися договором. Цим договором визначаються вимоги до технічного та організаційного забезпечення, межі, в яких здійснюватиметься обробка персональних даних, порядок доступу до персональних даних тощо. Процесор не має права залучати іншого процесора без попередньої письмової згоди контролера та без укладення між ними договору.

Чи потрібен представник в ЄС? Регламент встановлює обов'язок призначення представника в ЄС для контролера та процесора, які перебувають поза межами ЄС. Виняток становить нерегулярна (ситуативна) обробка персональних даних, а також обробка, що здійснюється у невеликих розмірах.

Водночас Регламент не надає визначення, що саме вважається нерегулярною обробкою персональних даних чи обробкою в невеликих розмірах. Що стосується призначення представника в ЄС, такий представник повинен бути призначеним в одній з країн ЄС, в якій перебувають особи, чиї персональні дані найчастіше обробляються. Представник повинен призначатися у письмовій формі. Регламент не встановлює вимог щодо кваліфікації представника, проте очевидно, що це має бути особа, яка володіє достатніми знаннями у застосуванні норм Регламенту.

Хто такий DPO та які його функції? Відповідно до Регламенту, контролер і процесор мають призначити Data protection officer (далі — DPO) у випадку, якщо основним видом діяльності контролера чи процесора є постійна або систематична обробка у великих обсягах персональних даних фізичних осіб, які перебувають на території ЄС. Фактично DPO — це відповідальна особа, яка спостерігає за правильністю застосування норм Регламенту. DPO повинен бути у штаті контролера чи процесора за трудовим договором або за цивільно-правовою угодою. Не допускається сумісництво, тобто виконання однією особою функцій DPO та одночасно функцій іншого працівника компанії. Один DPO може бути призначений для групи компаній. До обов'язків DPO належить надання порад контролеру чи процесору під час здійснення обробки персональних даних, комунікація з наглядовим органом, здійснення контролю правильності застосування Регламенту.

«Lawfulness of processing». Один з найважливіших принципів обробки персональних даних — правомірність. Для цього вона має відповідати хоча б одному з таких критеріїв:

  • суб'єкт персональних даних надав згоду на обробку для однієї або кількох цілей;
  • обробка необхідна під час укладення договору, в якому суб'єкт персональних даних є стороною, або в інтересах якого такий договір укладається;
  • обробка необхідна для здійснення певних юридичних дій;
  • обробка здійснюється з метою захисту життєвих інтересів суб'єкта персональних даних;
  • обробка здійснюється органами публічної влади під час виконання їхніх повноважень.

На практиці найпоширенішим критерієм, якому повинна відповідати обробка персональних даних, є отримання згоди суб'єкта персональних даних. Згода має бути добровільною та явно вираженою. Суб'єкту персональних даних перед початком обробки його персональних даних має бути надана така інформація:

  • контактні дані контролера та представника;
  • контактні дані DPO;
  • мета і ціль обробки персональних даних, а також правова основа такої обробки;
  • одержувачі або категорії одержувачів персональних даних, якщо такі будуть;
  • факт передачі персональних даних у треті країни, якщо такий буде;
  • період, протягом якого персональні дані будуть зберігатися, а у випадку неможливості визначення — критерій, який визначатиме період зберігання;
  • право одержати, змінити, видалити, обмежити чи заборонити обробку персональних даних;
  • право забрати згоду на обробку персональних даних;
  • право подати скаргу до наглядового органу;
  • необхідність зазначення інформації, якщо надання персональних даних пов'язано з укладенням договору, а також можливість настання випадків, коли такі персональні дані буде неможливо передати суб'єкту персональних даних;
  • наявність автоматичного ухвалення рішень (profiling).

Важливо, що суб'єкту персональних даних повинна бути надана можливість у будь-який час забрати згоду. Обробка, яка здійснювалася до моменту, коли суб'єкт персональних даних забрав згоду, вважається такою, що відповідає Регламенту.

Окрім вищезазначеного, суб'єкт персональних даних має право на отримання від контролера інформації щодо категорії, до якої належать його/її персональні дані. Якщо дані були отримані не від суб'єкта персональних даних — будь-яка інформація про джерело їх отримання.

Серед іншого, суб'єкт персональних даних має право:

  • на виправлення неточних персональних даних;
  • бути забутим (тобто його персональні можуть бути видалені з усіх серверів, інформаційних носіїв тощо);
  • на обмеження використання персональних даних (якщо обробка персональних даних певним контролером є неправомірною, однак суб'єкт персональних даних не хоче, щоб такі персональні дані були видалені, то суб'єкт персональних даних може обмежити право використання його персональних даних саме цим контролером);
  • отримати свої персональні дані у форматі, який забезпечує їх читання комп'ютером (до речі, перша копія персональних даних є безкоштовною, а за кожну наступну копію контролер може встановити адміністративний збір).

Відповідальність. Регламент не встановлює конкретних розмірів покарання за кожен вид проступку, а лише визначає верхню межу розміру штрафів. Розмір штрафу повинен вираховуватися в кожному конкретному випадку і відповідати принципам ефективності, пропорційності та відповідності. Ст. 83 Регламенту встановлено, що штраф не може перевищувати 20 млн євро, а у випадку корпорацій — до 4% річного обігу всієї корпорації.

Покарання «центом»

Минуло більше року з моменту набрання чинності GDPR. Наразі можна констатувати, що значна кількість компаній, які підпадають під дію норм Регламенту, так і не привели свою діяльність у відповідність. Це підтверджується кількістю скарг, що надійшли до наглядових органів, відповідальних за захист персональних даних в ЄС.

Зокрема, перші скарги надійшли у перший день набрання чинності нормами Регламенту (25.05.2018 р.). Це були скарги від noyb.eu — неприбуткової організації, яка ставить за мету контроль за захистом персональних даних осіб. Скарги стосувалися порушень Facebook, Instagram, WhatsApp, Google та Android. Компанії звинувачувалися у змушуванні своїх користувачів приймати нові правила, порушуючи норми Регламенту щодо вільного надання згоди.

В результаті, у січні 2019 р. наглядовий орган Франції оштрафував Google на 50 млн євро. Компанію звинуватили у порушенні принципів відкритості та надання вільної згоди. Було наголошено на тому, що Google зобов'язує користувачів надавати персональні дані та згоду на їх обробку при користуванні деякими сервісами компанії, які не потребують такої інформації.

Перші штрафи з'явилися ще у жовтні 2018 р. наглядовий орган Португалії оштрафував лікарню в сукупності на 400 тис. євро. Медзаклад порушив принципи цілісності, конфіденційності та мінімізації персональних даних.

У листопаді 2018 р. у Німеччині було оштрафовано соціальну мережу Knuddels.de на 20 тис. євро. Компанія виявила витік персональних даних та одразу вжила необхідні заходи відповідно до норм Регламенту: повідомила всіх користувачів про подію та здійснила низку заходів для підвищення якості захисту персональних даних. У цій ситуації наглядовий орган взяв до уваги вчиненні заходи, але все одно оштрафував компанію на суму, яку вважав лояльною.

У березні 2019 р. Польща оголосила про накладення першого штрафу в розмірі 220 тис. євро за порушення норм Регламенту. Оштрафована компанія збирала дані з відкритих реєстрів та у процесі своєї діяльності фактично здійснювала обробку даних понад 7 млн фізосіб. Як визначив наглядовий орган Польщі, суть порушення компанії — неналежні зусилля, які полягали в тому, що компанія не повідомила всіх осіб про обробку їхніх персональних даних.

Ще одним яскравим прикладом відповідального ставлення до захисту персональних даних в ЄС можна назвати накладання Австрійським наглядовим органом штрафу в розмірі 4 800 євро на місцевого підприємця за те, що він встановив камери біля свого офісу. Відеоспостереження частково охоплювало тротуар, де ходили люди, а бізнесмен не встановив належних позначок про те, що ведеться відеозйомка.

Таким чином, враховуючи вищезазначене, а також приклад притягнення до відповідальності Британським наглядовим органом Канадської компанії AggregateIQ за порушення норм Регламенту, українським компаніям не варто забувати про екстериторіальну дію норм GDPR та потрібно бути вкрай відповідальними у процесі роботи з персональними даними.

0
0

Додати коментар

Відмінити Опублікувати