Вимога до рівня захисту конфіденційної інформації, а саме персональних даних є наріжним каменем Загального регламенту захисту даних (General Data Protection Regulation, GDPR). Він не дозволяє здійснення будь-яких операцій з даними резидентів ЄС у країнах, де рівень захищеності персональних даних нижчий, ніж у ЄС. А з огляду на те, що вітчизняний «аналог» GDPR був прийнятий майже 10 років тому, видається цілком очевидним той факт, що рівень захисту персональних даних в Україні значно нижчий порівняно з вимогами, котрі ставляться Загальним регламентом. Вітчизняні експерти давно наголошують на необхідності привести законодавство у сфері захисту персональних даних в Україні у відповідність до вимог GDPR. Позиції експертного середовища трансформувались у новий законопроєкт № 5628 від 07.06.2021 р., котрий наразі перебуває на розгляді у Верховній Раді.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Закон «Про захист персональних даних» vs GDPR
Основною проблемою українського законодавства у порівнянні з Загальним регламентом є саме визначення персональних даних. Так, у профільному Законі України «Про захист персональних даних» (далі — Закон) є наступне визначення: «Персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Це визначення є узагальненим, у ньому не міститься вичерпної класифікації або ознак інформації, котра дозволяла б відносити набір даних до інформації про особу.
У контексті сучасності критично необхідно точно та влучно визначити, що саме мається на увазі під терміном «персональні дані». Головними недоліками визначення персональних даних у вітчизняному законодавстві є те, що:
1. Персональні дані — це не лише набір даних, що дозволяє ідентифікувати конкретну фізичну особу. В Загальному регламенті до персональних даних відносять будь-які відомості, які описують або вказують на суб’єкта, з яким такий набір даних може асоціюватись.
2. До персональних даних належить інформація, котра дозволить ідентифікувати особу в майбутньому, а не лише протягом встановленого проміжку часу. Прикладом інформації, котра дозволить ідентифікувати особу в майбутньому, є номер телефону та електронна поштова скринька.
Ще однією ключовою різницею між українським та європейським законодавством є формат надання згоди на обробку персональних даних. Вимогою вітчизняного Закону є те, що згода суб’єкта має бути надана у письмовому вигляді, а з урахуванням практики взаємодії суб’єктів даних з контролерами така згода у більшості випадків обов’язково документується, що є архаїзмом з огляду на можливість надання згоди за допомогою інформаційно-телекомунікаційних систем. Разом з тим, самої лише згоди, навіть в задокументованому вигляді, недостатньо. Відповідно до Закону і Загального регламенту, в тексті такої згоди мають бути зазначені підстави та цілі обробки конфіденційної інформації.
Ще однією проблемою в суспільних відносинах, котрі ґрунтуються на Законі, є те, що зазвичай повідомлення про обробку персональних даних український бізнес пише складною формалізованою мовою, тож пересічному громадянину досить складно розібратися, яким саме чином та з якою метою ці дані будуть оброблятися. Відтак, права пересічних громадян незахищені, адже у особи немає можливості повністю ознайомитись та усвідомити суть повідомлення про обробку персональних даних. У цьому контексті вимога Загального регламенту до вигляду згоди на обробку персональних даних більш зрозуміла та спрямована саме на захист прав суб’єктів даних. Зокрема, цей документ встановлює, що повідомлення про конфіденційність (privacy notice або privacy policy) мають бути викладені простою неформалізованою мовою для того, щоб суб’єкт, котрий не володіє експертними знаннями у галузі обробки персональних даних, міг зрозуміти підстави та цілі обробки інформації щодо нього.
Очевидною проблемою українського законодавства є й відсутність навіть згадки про можливість збору cookies, котрі містять інформацію про суб’єкта даних, а отже, є конфіденційною інформацією. Файли cookies — це частки комп’ютерного коду, котрий завантажується на пристрій суб’єкта даних в момент, коли той заходить на інтернет-ресурс. Ці файли можуть містити інформацію про геолокацію суб’єкта, історію його веб-браузера для видачі контекстної реклами, а також про сам пристрій. За Загальним регламентом суб’єкт даних обов’язково має бути проінформований про те, які саме файли cookies збираються та розміщуються на пристрої, а також про цілі збору цих файлів.
Потребу в суттєвому доопрацюванні українського законодавства в контексті приведення його у відповідність до норм ЄС диктує й необхідність враховувати вік суб’єкта персональних даних, котрий належить до чутливої конфіденційної інформації. У Загальному регламенті передбачена вимога до контролерів інформації визначати вік людини та отримувати згоду батьків/опікунів на обробку персональних даних особи, якщо їй не виповнилось 18 років.
Практика ЄСПЛ
Позиція законотворців стосовно імплементації GDPR, безумовно, є якісним кроком уперед. Однак при прийнятті нового закону слід керуватись не лише Загальним регламентом. Надважливо пам’ятати й про правозастосовну практику в сфері захисту конфіденційної інформації про особу. Складно заперечити, що вона є більш динамічною та гнучкою, і якщо Україна при доопрацюванні законопроєкту врахує актуальну практику ЄСПЛ, її законодавче поле може поповнитись прогресивним та передовим нормативним актом у сфері захисту персональних даних.
Загальний регламент містить перелік чітких норм, які дозволяють зробити висновок про те, яка саме інформація про фізичну особу належить до конфіденційної. Наприклад, аналіз ст. 26 GDPR дозволяє зробити висновок, що у випадку, коли певний набір даних не дозволяє ідентифікувати конкретну особу або представлений у вигляді анонімної інформації, він не підпадає під правове регулювання конфіденційної інформації. Отже, європейський законодавець при визначенні правового режиму конфіденційної інформації слідує цілком простій логіці, за котрою будь-які дані, котрі дозволяють ідентифікувати конкретну особу, є конфіденційною інформацією про таку особу.
ЄСПЛ випрацював стабільну мережу критеріїв та принципів обробки персональних даних громадян, у т.ч. їх конфіденційної інформації. Зокрема, в контексті обробки персональних даних ЄСПЛ зазначає:
• операція з конфіденційними даними особи має бути підпорядкована конкретним визначеним цілям. За інших умов така обробка є незаконною (справа «Леандер проти Швеції»);
• за відсутності підстав, передбачених законодавством країн, третя особа не вправі обробляти персональні дані особи. Цей принцип законності опрацювання конфіденційної інформації особи встановлений у рішенні «Ротару проти Румунії»;
• будь-які операції з конфіденційною інформацією про особу мають бути підпорядковані чітким регламентам. Під регламентами ЄСПЛ розуміє набір правил, котрі допомагають суб’єктам відносин досягати цілей обробки даних;
• конфіденційна інформація не має бути об’єктом змін, коригування та спотворень. Водночас вона має періодично оновлюватись у випадку природної зміни за заявою особи-власника;
• особа має право здійснювати операції з конфіденційними даними лише у межах, адекватних до цілей таких операцій;
• будь-які операції з конфіденційною інформацією особи мають тривати не довше, ніж це передбачено цілями обробки персональних даних або іншої конфіденційної інформації особи.
Можна дійти висновку, що практика ЄСПЛ у цій сфері йде шляхом пріоритетності захисту конфіденційної інформації над потенційним інтересом суб’єкта господарювання, котрому така інформація потрібна з метою надання послуг. Такий висновок дозволяє оцінити майбутній розвиток практики ЄСПЛ та врахувати вже існуючі приклади для їх якісного закріплення в нормативній площині України.
Згідно ст. 11 «Плану заходів щодо імплементації Угоди про асоціацію України з ЄС», наша держава взяла зобов’язання привести Закон «Про захист персональних даних» у відповідність до вимог Загального регламенту. А український бізнес, котрий зорієнтований на експорт, вже зараз має вести діяльність згідно цих вимог. Загальний регламент стосується й вітчизняних суб’єктів господарювання, адже якщо вони мають доступ до персональних даних резидентів ЄС, або їхня діяльність потенційно може стосуватись резидентів ЄС и вимоги Загального регламенту обов’язково будуть до них застосовані. А рішення ЄСПЛ є обов’язковими до виконання в наший країні відповідно до ст. 2 Закону України «Про виконання рішень та застосування практики Європейського суду з прав людини». Відтак, ініціативу законодавця ухвалити новий закон, покликаний привести сферу захисту персональних даних до вимог європейського законодавства і практики ЄСПЛ, можна вважати позитивною.