Більшість компаній, що працюють з даними користувачів, уже давно замислюються про приведення своїх бізнес-процесів у відповідність до норм General Data Protection Regulation (загальний регламент про захист персональних даних, або GDPR). Тож поговоримо про застосування GDPR до компанії, міжнародну передачу даних, обробку чутливих даних, підготовку внутрішніх політик компанії, проведення Data Protection Impact Assessment, призначення Data Protection Officer тощо. А також розглянемо особливості GDPR-compliance, які з’являться або можуть з’явитися у 2022 р. чи трохи пізніше.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Запити суб’єктів даних
Суб’єкти даних (тобто ті, чиї персональні дані обробляються) за GDPR мають низку прав:
- на доступ до даних (right of access);
- на виправлення даних (right to rectification);
- на стирання, відоме як «право бути забутим» (right to erasure/right to be forgotten);
- на обмеження опрацювання (right to restriction of processing);
- на мобільність даних (right to data portability);
- на заперечення (right to object);
- бути вільним від автоматизованої індивідуальної розробки й ухвалення рішень, у т.ч. від профайлінгу (the right not to be subject to a decision based solely on automated processing, including profiling).
Більшість з цих прав можуть бути реалізовані завдяки запиту суб’єкта даних — так званому data subject request. Суб’єкти даних можуть надсилати запити усно або письмово, у т.ч. через соціальні мережі.
Що потрібно знати
- У більшості випадків ви не можете стягувати плату за обробку запиту.
- Ви повинні відповісти негайно чи протягом місяця з моменту отримання запиту.
- Ви можете продовжити цей строк ще на 2 місяці, якщо запит складний або ви отримуєте ряд запитів від особи.
- Вам слід провести розумний пошук запитуваної інформації.
- Ви повинні надати інформацію у доступному, стислому та зрозумілому форматі.
Приклад з практики
Клієнту надійшов запит від користувача щодо того, що його е-mail використовувався рекламною компанією для маркетингу, та було вказано, що саме компанія клієнта надала таку інформацію. Користувач написав на пошту і запитав, звідки взяли таку інформацію, попросив видалити її та не використовувати в жодних цілях. Таке трапляється часто, адже вже достатня кількість європейських користувачів обізнані щодо своїх прав та вміють їх захищати.
Саме тому на запити потрібно вміти правильно реагувати: не розповісти зайвого, не розлютити користувача та діяти відповідно до закону. Зважаючи на це, ваші працівники повинні знати, як саме діяти у випадку отримання запиту та кому його передавати. Сама відповідь на запит має розкривати ті питання, які піднімає суб’єкт даних. Та необхідно розуміти, що саме може запитувати користувач у кожному конкретному випадку. Нерідко трапляється, що суб’єкт даних вимагає вчинити дії, що не передбачені законодавством.
Автоматичне прийняття рішень та профайлінг (алгоритми)
Як вже було зазначено, кожен суб’єкт даних має право бути вільним від прийняття автоматичних рішень щодо нього, в т.ч. від профайлінгу. Такі практики можуть мати місце лише у виняткових випадках:
- якщо суб’єкт даних надав свою згоду на це;
- якщо це необхідно для укладання договору; або
- якщо це дозволено законодавством ЄС або держави-члена, якому підпорядковується контролер.
Чому це важливо? Перш за все, за це вже почали штрафувати, а беручи до уваги тенденції, контролюючі органи будуть лише продовжувати накладати санкції на порушників.
Кейс
Foodinho, дочірня компанія Glovo, була оштрафована регулятором на 2,6 млн євро за те, що збирала дані кур’єрів та на їх основі автоматично виставляла пріоритетність в отриманні нових замовлень. Більше того, компанія не повідомляла кур’єрів про те, як саме виносяться рішення, тобто вони не могли знати, як саме їхня поведінка впливає на їхній пріоритет.
Контролюючий орган наказав Foodinho перевірити точність та відповідність даних, які використовує їхня система, а саме:
- чати,
- е-mail,
- телефонні дзвінки між кур’єрами та службою підтримки клієнтів,
- геолокацію з 15-секундними інтервалами,
- відображення маршрутів,
- приблизний та фактичний час доставки,
- поточні та минулі замовлення,
- відгуки клієнтів і партнерів,
- рівень заряду акумулятора пристрою тощо.
Така перевірка має забезпечити зниження ризиків, пов’язаних з системою рейтингів, яка ґрунтується на застосуванні математичної формули, що передбачає штрафи для тих кур’єрів, які не приймають замовлення негайно або відхиляють їх, тоді як кур’єри, які приймають замовлення за розкладом та успішно доставляють більшість замовлень, мають пріоритет. Компанія має передбачити заходи щодо запобігання дискримінації при використанні автоматичних рейтингових механізмів.
Питання алгоритмів дуже актуальне в гіг-економіці, адже більшість застосунків використовують подібні системи (Uber, Bolt Food). Якщо ваш проєкт якимось чином пов’язаний зі згаданою проблематикою, ви повинні звернути додаткову увагу на ці вимоги. Алгоритми можуть стосуватися навіть персоналізації контенту чи реклами. Гарною практикою буде вказувати, чому саме користувачу надходить той чи інший пост чи реклама. Такі дані вже почав надавати Instagram, показуючи обставини, що вплинули на персоналізацію появи посту в стрічці:
- чи підписаний користувач на сторінку;
- наскільки давно підписаний, якщо так;
- чи подобаються користувачу пости цієї сторінки більше, ніж пости в середньому;
- наскільки новий цей пост.
E-privacy Regulation
Цей регламент мав вступити в дію ще у 2018 р. разом з GDPR, проте й досі не набув чинності. Хоча його ще фіналізують і погоджують, деякі країни ЄС і Європейської економічної зони вже випустили власні гайдлайни щодо використання cookie. Найважливішим аспектом цього регламенту є нові правила щодо регулювання використання файлів cookie.
Заборонено:
- використання cookie-walls, тобто надання доступу до контенту чи послуг тільки після отримання від користувача згоди на використання файлів cookie. За положеннями регламенту, така згода не може вважатися freely given (вільно наданою), адже користувач піддається впливу: або погоджується, або взагалі не може використовувати сайт;
- використання файлів cookies без згоди користувача. Це можна буде робити лише у виняткових випадках, наприклад, задля верифікації особи при оплаті товарів чи послуг за допомогою сервісу.
Важливо, що усі third-party (наприклад, ті, що використовуються GoogleAds або пікселі Facebook) не зможуть відслідковувати користувача без його згоди. Зауважте, що регламент може вважатися lex specialis щодо GDPR та мати перевагу над GDPR у разі конфлікту норм. Тим не менш, практика ЄС свідчить, що ці два документи мають бути комплементарними і взаємодоповнюваними — наприклад, щодо форми і змісту згоди на обробку даних. Система штрафів за регламентом аналогічна системі штрафів за GDPR, тому ставитись до цих норм слід відповідально. Гарна новина, що регламент не набуде чинності раніше 2023 р., і буде діяти перехідний період, який дасть компаніям змогу підготуватися до змін у законодавстві (24 місяці), а отже, повноцінно вступити в силу регламент може лише приблизно у 2025 р.
New AI Regulation
Європейська Комісія у квітні 2021 р. опублікувала Proposal щодо регулювання та гармонізації законодавчих актів ЄС стосовно використання технологій штучного інтелекту. Ні для кого не секрет, що штучний інтелект — це революційна технологія, яка вже діє у багатьох сферах та спрощує життя людей. Проте, на жаль, існують певні труднощі з використанням таких технологій.
Що далі
Системи, що належать до категорії неприйнятного ризику, будуть заборонені на території ЄС. Як наразі пропонується, системи високого ризику повинні будуть відповідати ряду вимог, а саме: за ними буде діяти людський нагляд; висуваються додаткові вимоги що- до прозорості, інформаційної безпеки, управління ризиками, якості даних, моніторингу та звітності. До систем з мінімальним ризиком висуваються значно менші вимоги, насамперед, у формі зобов’язань щодо прозорості, а саме інформування користувачів про те, що вони взаємодіють з технологією штучного інтелекту. Це потрібно для того, щоб користувачі могли прийняти обґрунтоване рішення про продовження користування певним сервісом чи застосунком, лише зрозумівши, як саме функціонує система, що використовується.
Як готуватися
Поки що невідомо, коли та у якій юридичній силі (регламент, директива тощо) цей Proposal вступить у дію. Проте важливо пам’ятати, що після вступу в силу він матиме екстратериторіальну дію та буде застосовуватись навіть до компаній поза межами ЄС, які використовують системи зі штучним інтелектом на території ЄС чи спрямовують їх на європейський ринок. Головна рекомендація — створення комплексної програми управління ризиками, що пов’язані зі штучним інтелектом. Програма повинна включати перегляд усіх систем штучного інтелекту, які використовуються в організації, систему класифікації ризиків та заходи щодо їх зменшення, незалежні аудити, процеси управління даними та структуру управління систем зі штучним інтелектом. Гарною ідеєю буде розробити стратегію визначення пріоритетів ролі штучного інтелекту в організації; чітку структуру звітності, яка дозволить проводити багаторазові перевірки системи штучного інтелекту перед запуском; і оскільки багато систем штучного інтелекту обробляють конфіденційні персональні дані, треба звернути увагу на надійні протоколи управління ризиками щодо конфіденційності даних та на інформаційну безпеку загалом.
Штрафи дуже великі. Максимальний їх розмір може сягати 30 млн євро або 6% від світового обороту компанії залежно від того, що більше. Тому краще не зволікати та бути готовими до нового законодавчого регулювання, якщо у своїй бізнес-діяльності ви використовуєте системи штучного інтелекту.
Standard Contractual Clauses Deadline: 27 грудня 2022 р.
Передача даних всередині Європейського Союзу відбувається без обмежень (крім вимог національних законів). Аналогічний режим діє щодо передачі в країни, щодо яких є adequacy decision, що видається Європейською Комісією та зазначає, що третя країна (країна поза межами ЄЕЗ) надає адекватний рівень захисту персональних даних, еквівалентний рівню країн ЄС. Передача ж даних у треті країни (США, наприклад, також в них входить) відбувається за виконання певних зобов’язань. Частіше за все вона виконується на підставі договору з наявними Standard Contractual Clauses (стандартні до- говірні положення). Що це таке? Це положення, які можуть міститися у Data Processing Agreement (угоді про обробку персональних даних) і регулюють основні права та обов’язки сторін DPA (імпортера та експортера даних). Вважається, що такі положення забезпечують необхідний рівень захисту персональних даних та зберігають баланс інтересів сторін договору.
Нові SCC були затверджені Європейською комісією та набули чинності 27 червня 2021 р. Їх є 2 типи:
- стандартні умови передачі даних у межах Союзу;
- стандартні умови міжнародної передачі даних у треті країни.
Отже, коли дані передаються за межі ЄС, може знадобитися включити SCC в угоду. Крім випадків, коли дані передаються в країни:
- що належать до Європейської економічної зони або Європейського Союзу;
- до яких є adequacy decision.
У будь-якому випадку навіть під час передачі, яка відбувається всередині ЄЕЗ, краще використовувати SCC для забезпечення безпеки персональних даних.
Важливо: США та Україна вважаються третіми країнами в контексті GDPR, тож передача даних має відбуватися лише за наявності необхідних гарантій, наприклад, підписаних SCC (реалізованих у DPA). Проте навіть договору з наявними SCC зараз вже буде недостатньо після рішення Shrems II. Необхідно проаналізувати законодавство третьої країни, зокрема проведення Transfer Impact Assessment, щоб визначити:
- рівень захисту персональних даних, передбачений законодавством;
- наявність ефективного контролюючого органу;
- участь у міжнародних організаціях;
- пропорційність урядового втручання.
Важливою датою для компаній у 2022 р. буде 27 грудня. Це останній строк, який визначив ЄС, коли всі старі договори, що опирались на SCC, мають бути адаптовані до нових SCC. Отже, компанії, які передають дані на основі старих договорів, повинні мати план повного переходу на нові у 2022 р., якщо вони ще цього не зробили.
Whistleblower Directive
Whistleblower Directive (Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law) вступила у силу вже досить давно — 16 грудня 2019 р. Країни ЄС мали 2 роки, щоб імплементувати цю директиву, — до 17 грудня 2021 р. Чому це нас цікавить у контексті комплаєнсу з GDPR? Whistleblower з англійської перекладається як викривач. Директива встановлює необхідність захисту викривачів, тобто тих, хто повідомляє про незаконну діяльність інших осіб чи компаній. Викривачами можуть бути не тільки дійсні працівники компанії, а й колишні працівники та ті, хто подається на певну посаду, а також журналісти. Такі особи повинні бути вільними від ризику звільнення, приниження та інших форм дискримінації, адже вони, звісно, можуть знаходитись в зоні ризику після того, як повідомили про порушення з боку, умовно, свого роботодавця.
Що потрібно знати компаніям
Компанії з кількістю працівників понад 250 осіб мають створити відповідні внутрішні канали звітності до грудня 2021 р., від 50 до 249 осіб — до грудня 2023 р.
Канали звітності
Кожен, хто бажає повідомити про певне порушення з боку компанії, повинен мати змогу подати таке повідомлення в зручний спосіб, за допомогою, наприклад:
- онлайн-системи, що була розроблена для цього;
- по пошті або
- усно.
Прийняття цієї директиви наштовхує на думки про те, що за дотриманням правил щодо тієї ж обробки персональних даних будуть слідкувати більше осіб. Саме тому це хороший привід ще раз перевірити внутрішні документи компанії (Data Processing Agreement, Data Protection Impact Assessment, Information Security Policy) та оновити їх у випадку необхідності.