Персональні дані сьогодні складають цінний ресурс для економіки країни, особливо в час діджиталізації та глобалізації. Без відповідних баз даних не можуть функціонувати ані державні структури, ані бізнес. Безліч компаній зі сфери послуг, інтернет-компанії, мобільні оператори та розробники мобільних прикладних програм завдяки інформації про своїх користувачів забезпечують свій бізнес тією аналітикою, що дозволяє удосконалити таргетинг і, як наслідок, збільшити прибуток.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Кожний з нас помічав прямий зв'язок в ситуації, коли ви, користувач, відвідали інтернет-сайт торгівельної компанії, щоб дізнатися вартість того чи іншого товару, й у найближчий час починаєте отримувати рекламні пропозиції інших інтернет-магазинів стосовно цього товару. Тобто, онлайн-відстежування за поведінкою користувачів стало поширеним та постійним явищем.
Залишається лише питання: чи правомірно відбувається збір та обробка таких персональних даних, чи достатньо законних підстав для такої обробки, чи володіємо ми з вами, як суб’єкти таких даних, інформацією, хто і для чого збирає наші дані. Ці питання набули значної актуальності із розвитком віртуальних машин та онлайн-послуг.
Європейське законодавство шляхом трансформації та удосконалення затвердило й імплементувало Регламент Європейського парламенту і Ради ЄС 2016/679 від 27 квітня 2016 р. про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних (далі - Регламент або GDPR, офіційний текст та переклад українською).
Регламент набрав чинності в травні 2018 р., і майже за два роки його дії вже стало зрозумілим, що значні штрафні санкції, запроваджені Регламентом, - не міф, а дієвий механізм, який за цей короткий час був застосований майже кожною країною ЄС.
Регламент: ключові особи та основні поняття
Згідно з GDPR, персональні дані означають будь-яку інформацію, що стосується ідентифікованої фізичної особи («суб'єкт даних»), та інформацію, яка дозволяє ідентифікувати таку фізичну особу прямо або опосередковано, зокрема, за допомогою посилання на ідентифікатор, такий як ім'я, ідентифікаційний номер, дані про місце розташування, онлайн-ідентифікатор (IP address, cookies-files), один або кілька факторів, специфічних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи.
Перелік досить значний, а, отже, компанія, яка обробляє будь-який вид даних, повинна взяти цей перелік до уваги.
Ключові ролі поділені між такими учасниками процесу обробки та захисту даних:
Суб'єктом даних - особою, яка може бути ідентифікована за допомогою посилання на відповідний ідентифікатор (окрім звичайних, ім'я, прізвища, ідентифікаційного номера, також відносяться, номери мобільних телефонів, платіжні карти, IP-адреси, e-mail або будь-які інші дані, які дозволяють здійснити ідентифікацію).
Контролером - фізичною чи юридичною особою, органом державної влади, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних. У своїх роз’ясненнях Європейська рада із захисту персональних даних акцентує увагу на фактичному впливі контролерів на обробку даних, який може бути визначений за допомогою таких питань: контролер - це той, хто визначає мету (для чого?) та засоби обробки (як?). Приклади основних засобів обробки включають: типи даних, що підлягають обробці, період, впродовж якого вони будуть зберігатися, особи, які мають доступ до даних, критерії для створення профілів користувачів.
Процесором (або в українському офіційному перекладі «оператор») - фізичною чи юридичною особою, органом державної влади, який опрацьовує персональні дані від імені контролера. У відношенні до юридичних осіб процесором буде визнаватися компанія, яка діє в інтересах контролера, але є незалежною юридичною особою. При цьому під час обробки завдань контролера процесор повинен дотримуватися вимог контролера, в іншому випадку такого процесора можна буде кваліфікувати як контролера, що може призвести до неприємних наслідків як за договірними зобов’язаннями з контролером, так і відповідно до Регламенту. В цьому випадку буде корисним як для контролера, так і процесора, всі умови співпраці ретельно визначити шляхом письмових договірних відношень.
Наглядовим органом - незалежним державним органом, заснованим в країні ЄС. Кожна держава-член покладає на один або декілька незалежних держаних органів відповідальність за моніторинг застосування Регламенту. Тобто кожна країна ЕС повинна створити такий наглядовий орган (потрібно зазначити, що майже у всіх країнах ЄС такий орган вже був створений відповідно до внутрішнього законодавства про захист персональних даних до введення в дію Регламенту, або ж у його перехідний період). Представник кожного наглядового органу є членом Європейської ради із захисту даних, яка в свою чергу уповноважена видавати та розробляти найкращі практики та настанови щодо застосування норм Регламенту. За останній рік Європейська рада із захисту даних дійсно розробила низку настанов щодо застосування Регламенту і, таким чином, розширила поле для праці для юристів.
Отже, кожний локальний наглядовий орган має право діяти в рамках локального законодавства, ініціювати перевірку контролера або процесора, розглядати справи про порушення законодавства про захист персональних даних, виносити рішення та накладати штрафні санкції. Відповідні рішення можуть бути оскаржені у суді відповідної юрисдикції.
Варто зазначити, що до 25 травня 2020 р. та кожні чотири роки після цієї дати, Європейська Комісія подає звіт щодо оцінювання та перевірки виконання Регламенту до Європейського Парламенту та Європейської ради із захисту даних. Регламент встановив, що такі звіти необхідно оприлюднити. Отже, в близькому майбутньому маємо можливість ознайомитися із офіційною статистикою щодо застосування Регламенту в країнах ЄС.
Обробка даних у центрі
Важливо також розуміти, що представляє собою обробка даних. Це будь-які операції, що виконуються з персональними даними, незалежно від того, яким способом вони здійснюються (автоматичними засобами або за допомогою будь-яких інших відомих інструментів): збирання, зберігання, видалення, отримання доступу до цих даних, будь-яка інша дія з персональними даними.
Зверніть увагу: достатньо одного елементу обробки, щоб Регламент розповсюджувався на таку обробку.
Обробка персональних даних вважається законною в таких випадках:
- суб'єкт даних надав згоду на обробку своїх персональних даних для конкретних цілей;
- обробка необхідна для виконання контракту, стороною якого є суб'єкт даних;
- обробка необхідна для захисту життєво важливих інтересів суб'єкта даних або іншої фізичної особи;
- обробка необхідна для захисту громадських інтересів або у разі здійснення покладених на контролера офіційних повноважень.
Отже, якщо обробка даних має законні підстави, нема чого хвилюватися. Але на практиці виходить досить складно гарантувати та забезпечити законність обробки.
Приклад: Bisnode є компанією, яка надає рішення з цифрового бізнесу, маркетингу та кредитної інформації з головним офісом в Стокгольмі. Навесні 2019 р. польський орган із захисту даних видав свій перший штраф для цієї фірми у розмірі 220 тис. євро за невиконання своїх зобов’язань щодо прав суб'єкта даних, передбачених ст. 14 GDPR. Справа в тому, що Bisnode збирала дані про осіб з відкритих джерел, не повідомляючи їх про мету та строк обробки. Наглядовий орган зобов’язав компанію зв'язатися з 6 млн людей, чию інформація компанія зберігає чи іншим чином обробляє, щоб виконати вимоги щодо інформаційного повідомлення згідно з Регламентом.
У свою чергу Bisnode аргументувала відмову тим, що вона не володіє електронними адресами більшості суб’єктів даних, а направляти поштою - це значні витрати для компанії. У результаті за відмову виконати припис наглядового органу і, як слідство, порушення Регламенту, компанія отримала фінансове покарання.
Отже, законність обробки повинна завжди враховуватися до уваги. У випадку з Bisnode треба пам’ятати, що, отримуючи чиїсь дані від третіх осіб, ви берете на себе обов’язок забезпечити закону обробку таких даних. В іншому випадку претензії суб’єктів даних мають великі шанси бути задоволеними.
Територіальна дія Регламенту
Регламент має пряму дію та екстериторіальний вплив. Тобто, неважливо, де саме будуть оброблятись персональні дані - на території ЄС чи за його межами. Регламент все одно розповсюджуватиметься на відповідних контролерів чи операторів.
На український бізнес Регламент розповсюджується у наступних випадках:
- Український бізнес має своє представництво в будь-якій формі в межах ЄС. Навіть якщо це одна особа - агент або представник за довіреністю, що укладає контракти від імені української компанії з європейцями, - це може розглядатися представництвом у розумінні Регламенту;
- Український бізнес займається просуванням товарів та послуг європейцям у межах ЄС. Під просуванням та пропозиціями розуміється згадка про міжнародну клієнтурі, що складається з клієнтів, які проживають у різних країнах-членах ЄС, або використання мови або валюти, відмінній від тієї, яка зазвичай використовується в країні трейдера, або коли іноземний контролер даних пропонує доставку товарів на територію ЄС;
- Український бізнес займається моніторингом поведінки суб’єктів даних у межах ЄС. Тут слід розуміти будь-які відстеження за домопогою онлайн-інструментів (файли cookie або інші методи відстеження), геолокаційні заходи, зокрема, в маркетингових цілях, огляди ринку та інші поведінкові дослідження, засновані на індивідуальних профілях.
Отже, якщо комерційна діяльність підпадає під один із зазначених вище критеріїв, варто замислитися над впровадженням організаційних та технічних заходів, які передбачає Регламент.
Хто в Україні підпадає під дію GDPR? Бізнес, який спеціалізується на медичному обслуговуванні, транспортних перевезеннях пасажирів та працевлаштуванні іноземців; готелі, туризм, банки, процесори фінансових операцій та інформаційні технології. І список неповний.
Навіщо перейматися?
Через втрати фінансів та ділової репутації. Законодавство про захист персональних даних існує кілька десятків років в усьому світі, але встановлення таких високих фінансових санкцій, які б розповсюджувалися за межі однієї юрисдикції, введено саме GDPR. Цифри говорять самі за себе:
- за порушення зобов’язань контролера та процесора стягуються адміністративні штрафи до 10 000 000 EUR або до 2% від загального річного обороту у світі за попередній фінансовий рік (залежно від того, яка сума вища);
- за порушення основних принципів прав суб'єкта даних та незаконну передачу даних стягуються адміністративні штрафи до 20 000 000 EUR або до 4% від загального річного обороту у світі за попередній фінансовий рік (знову залежно від того, що вище).
В Україні поки немає прецедентів із застосування штрафів за порушення GDPR, але це питання найближчого часу. Тим більш, що практика розгляду спорів щодо захисту даних в рамках ЄС лише набиратиме обертів, тому український бізнес, який працює з європейським ринком, повинен буде відповідати його законодавчим вимогам.
Стосовно репутації: процитую Уоррена Баффетта, одного із найвідоміших інвесторів світу, який сказав: «Потрібно 20 років, щоб створити репутацію, і 5 хвилин, щоб її зруйнувати. Ви будете ставитися до справ по-іншому, якщо подумаєте про це».
Заходи для впровадження
Регламент чітко не встановлює вичерпного переліку заходів для його впровадження. Втім він надає перелік імперативних та диспозитивних заходів у залежності від об’єму персональних даних, що обробляються, категорії таких даних, кількості працівників у контролера чи процесора.
На мій погляд, серед дієвих організаційних заходів варто зазначити:
- запровадження в компанії реєстрів даних з ідентифікацією, які це дані, ким і для чого обробляються й кому передаються;
- призначення спеціального спеціаліста в компанії для дотримання заходів із поводженням із даними (Data Protection Officer), який повинен володіти знаннями в області права та досвідом із захисту даних;
- договірні застереження між контрагентами щодо відповідальності стосовно обробки даних, передачі даних третім особам, гарантій щодо наявності дозволів суб’єктів даних;
- проведення постійних тренінгів для працівників контролера/процесора з питань обробки та поводження з даними;
- впровадження політик конфіденційності як з працівниками, так із контрагентами.
Для транскордонної передачі даних Регламент також запровадив низку механізмів для захисту даних. Серед них - призначення представника на території ЄС, якщо ваш бізнес спрямований та співпрацює з європейцями; визначення переліку країн, які належать до надійних з точки зору збереження та обробки персональних даних; впровадження вимог з передачі даних в треті країни. Ці механізми перебувають на стадії імплементації і потребують участі інших країн для дієвого застосування.