25.05.2018 р. набирає чинності прийнятий Європарламентом та Радою ЄС ще у квітні 2016 р. Регламент ЄС про захист персональних даних, який має офіційну назву – General Data Protection Regulation (GDPR). Цей документ є свого роду інноваційним з позиції впроваджених процедур обробки та захисту персональних даних. Крім того, враховуючи примат права ЄС над національним правом країн-членів ЄС, юридична сила цього Регламенту буде розповсюджуватися на всі 28 країн-членів ЄС, чим слугуватиме своєрідною кодифікацією правил обробки й захисту персональних даних та замінить закони про захист персональних даних на теренах усього Європейського Союзу.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Як зазначає Європарламент, основною метою реформи правил захисту та обробки персональних даних стала застарілість та різноплановість законодавства у цій сфері країн-членів ЄС, що постійно призводило до неузгодженості, юридичної невизначеності та проблематики у застосуванні.
Фактично, концепція Регламенту має на меті підвищити механізм контролю фізичних осіб за своїми персональними даними та спростити до них доступ.
Якими є особливості Регламенту та новаторства, які він містить?
Один замість двадцяти восьми – саме так можна охарактеризувати значення Регламенту. Така концепція кодифікації правил щодо обробки та захисту персональних даних у межах 28 країн-членів ЄС сприятиме зменшенню бюрократичного навантаження та полегшить можливість виходу компаній на нові ринки збуту в межах ЄС.
Як визначено п. 1 ст. 1 Регламенту, основна його мета – це встановлення правил щодо захисту фізичних осіб стосовно обробки їхніх персональних даних та правил, що стосуються вільного переміщення персональних даних.
Таким чином, предметом правового регулювання GDPR є всі персональні дані, що стосуються особи, за якими її прямо чи опосередковано можна ідентифікувати. Регламент GDPR досить широко окреслює персональні дані особи, на які поширюється його дія. Зокрема, до таких даних належать ім’я, ідентифікаційний номер, дані про місцезнаходження (інтернет-ідентифікатори, надані пристрою чи додатку; IP-адреси, cookies або інші ідентифікатори пристроїв; ідентифікатори, за місцерозташуванням яких може бути ідентифікована конкретна особа), а також один чи більше чинників, які характеризують фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність цієї фізичної особи.
Однак ст. 2 Регламенту визначено перелік даних, на які не розповсюджується його дія, до яких належать дані, що стосуються виключно особистої чи домашньої діяльності фізичної особи, а також дані, які створені компетентними органами з метою запобігання, розслідування, виявлення та переслідування кримінальних правопорушень або виконання кримінальних покарань, у тому числі запобігання загрозам громадської безпеки.
Загалом визначення персональних даних у GDPR не надто відрізняється від попереднього законодавства про захист персональних даних. Проте простежується певне законодавче вдосконалення. Зокрема, окремо виділяються «спеціальні категорії персональних даних» – так звані «конфіденційні» (делікатні) дані, серед яких генетичні чи біометричні дані, інші унікальні ідентифікатори особи.
Зважаючи на те, що Регламент GDPR за суб’єктним складом розповсюджується на «контролерів» та «обробників», варто також визначитися з цими поняттями. Контролери у розумінні Регламенту – це особи, які вирішують, як і коли збирати персональні дані. Обробники – це особи, які діють на виконання вказівок контролера. Це можна проілюструвати на прикладі діяльності банківської установи, яка виступає контролером, збираючи персональні дані своїх клієнтів, коли вони відкривають рахунки чи користуються послугами банку, тоді як обробником таких персональних даних виступатиме інша організація, яка буде зберігати, оцифровувати та захищати персональні дані клієнтів відповідно до вимог Регламенту.
Необхідно підкреслити, що економічний ефект від GDPR одразу дасть про себе знати для франчайзингових компаній, які здійснюють свою діяльність в різних юрисдикціях країн ЄС, а центр управління мають в одній країні. Встановлення єдиних правил гри у сфері обробки та захисту персональних даних дозволить підпорядковуватися лише одним вимогам та стандартам, які закріплені в одному законі, що зменшить витрати на консультації щодо дотримання законодавства про захист персональних даних кожної окремої країни ЄС.
Для більш змістовно аналізу положень GDPR пропоную зупинитися на деяких нововведеннях, які закріплює Регламент:
- «Право бути забутим» – стосується тих випадків, коли будь-яка особа більше не хоче, щоб її дані використовувалися та зберігалися конкретним контролером, але за умови, що немає жодних законних підстав для того, щоб такі дані продовжували зберігатися. Це право стосується виключно видалення даних щодо приватного життя особи, однак жодним чином не пов’язане з можливістю видалення минулої інформації щодо певних подій чи обставин та не пов’язане з можливістю обмеження свободи преси.
- Більш легкий доступ до своїх даних, що створює законодавче підґрунтя для можливості людей отримувати більше інформації про те, як оброблюються їхні дані. Така інформація повинна бути доступна зрозумілим чином.
- Право знати, коли були зламані дані. Відповідно до вказаного правила, компанії та організації повинні повідомити національний наглядовий орган про порушення даних, в результаті яких люди піддаються ризику, та якомога швидше повідомляти про будь-які порушення, щоб користувачі могли вжити відповідних заходів.
- «Захист даних з дизайну» і «Захист даних за замовчуванням» тепер є важливими елементами правил захисту даних ЄС. Захист даних як функція буде вбудована у продукти та послуги з перших етапів розробки, а налаштування конфіденційності за замовчуванням будуть нормою (наприклад, у соціальних мережах або мобільних додатках).
Більш суворе дотримання правил. Органи захисту персональних даних зможуть штрафувати компанії, які не відповідають правилам ЄС, до 4% від їхнього річного обігу у світі.
Також доволі незручним є обмеження можливості використання всім відомих та доволі популярних хмарних сховищ для розміщення персональних даних. Розміщення персональних даних на хмарних сховищах (cloud storage), відповідно до Регламенту, вважається їх передачею третім особам. Крім того, якщо відбувається передача даних за допомогою хмарного сховища за межі ЄС без належних забезпечень (шифрування, засекречування та інший спосіб), такі дії вважаються порушенням норм законодавства ЄС.
Які територіальні межі дії Регламенту та в яких випадках він розповсюджуватиметься на український бізнес?
На перший погляд, цей документ діятиме виключно в межах ЄС, однак якщо зануритися у деталі, стає очевидним, що за своєю дією він має екстериторіальний характер. У ст. 3 Регламенту чітко визначено, що він застосовується до обробки персональних даних у контексті діяльності установи контролера або обробника в Союзі, незалежно від того, проводиться така обробка в межах ЄС чи ні.
Таким чином, дія Регламенту поширюватиметься на компанії-нерезиденти ЄС, включаючи українські компанії у таких випадках:
- якщо компанія має співробітників з ЄС або має організаційну одиницю на території ЄС;
- якщо компанія проводить маркетингові чи інші дослідження суб’єктів ринку в ЄС;
- якщо компанія здійснює діяльність (постачає товари / виконує роботи / надає послуги) громадянам ЄС;
- якщо компанія використовує інформацію громадян ЄС у своїх власних продуктах.
Найбільше нові вимоги торкнуться компаній, які мають клієнтів з ЄС або постачають товари/послуги в ЄС. Це можуть компанії в різних сегментах ринку: починаючи від IT-компаній, туристичних фірм і закінчуючи компаніями з підбору персоналу тощо.
Окремо варто взяти до уваги, що Регламентом чітко встановлюються критерії, за якими ту чи іншу компанію слід віднести до такої, що пропонує товари та/або послуги суб’єктам, які знаходяться в межах юрисдикції ЄС. Для цього Регламентом визначено, що повинно бути очевидним, що контролер передбачив пропонування товарів або послуг для суб’єктів даних в одній чи кількох державах-членах ЄС. Для цього мають бути відповідні чинники: використання мови або валюти, що використовується в одній або більше державах-членах ЄС, з можливістю замовлення товарів і послуг, використовуючи цю мову; вказування клієнтів або користувачів, які знаходяться в Союзі.
Що стосується обробки даних, то Регламентом передбачено, щоб визначити, чи може обробка даних розглядатися як моніторинг поведінки суб’єктів даних, необхідно встановити, чи здійснюється спостереження за діями осіб в Інтернеті, в тому числі профілювання (аналіз або передбачення особистих рис характеру, поведінки та поглядів).
Факт поширення екстериторіального застосування тягне за собою обов’язок призначити представника на території ЄС, який слідкуватиме за дотриманням зобов’язань української компанії. У Регламенті є чіткий пункт, в якому зазначено, що цей представник повинен підлягати процедурам щодо примусового виконання. Компанії зобов’язані призначати представника, який відповідатиме за їхні порушення персональних даних. Це може бути як фізична, так і юридична особа, однак вона має бути чітко уповноважена в окремому письмовому документі. Вона повинна співпрацювати з суб’єктами персональних даних з території ЄС, надавати відповідь щодо того, як обробляються їхні персональні дані, надавати роз’яснення щодо обробки, співпрацювати з наглядовими органами, тобто на їхній запит надавати інформацію про те, як обробляються дані, яка українська компанія, де вона розміщена, які дані громадян ЄС вона обробляє, а також якщо наглядовий орган накладає стягнення, то відповідати за порушення володільця.
Виняток із цього правила встановлюється у таких випадках: якщо обробка даних не є постійною; якщо персональні дані, що обробляються, не належать до «спеціальних» категорій (як вже зазначалося вище, сюди належать, зокрема, генетичні та біометричні дані), стосуються кримінальних проваджень чи обвинувачень; якщо характер даних свідчить про неможливість значного порушення прав особи у разі їх витоку (не важко припустити, що учасники ринку, які не мають наміру з тих чи інших причин виконувати цю вимогу Регламенту, спробують використовувати таке оціночне формулювання для ухилення від її виконання).
Які першочергові кроки мають вчинити українські компанії для адаптації до вимог GDPR?
Для того, щоб відповідати вимогам GDPR, компанія повинна привести свої бізнес-процеси у відповідність до вимог Регламенту. Насамперед, мова йде про вдосконалення договірних відносин з контрагентами, розробку договорів усередині компанії (трудові чи цивільно-правові) та з третіми особами чи партнерами, враховуючи законодавство ЄС.
Бажано провести внутрішній аудит персональних даних та здійснити їх каталогізацію за типом, періодом зберігання та ін. Необхідно призначити інспектора із захисту персональних даних, який слідкуватиме за відповідністю діяльності компанії вимогам GDPR, та провести навчання співробітників. Відтепер потрібен особливо ретельний моніторинг за персональними даними, що зберігаються. Важливо залишати у своєму розпорядженні лише мінімум даних, необхідних для роботи компанії. Також варто заздалегідь подумати про призначення представника в Євросоюзі.
Однак найголовніше – потрібно мати належні технічні та організаційні засоби для того, щоб знати, які дані збираються, їхній обсяг, строк зберігання тощо, а також мати можливість відреагувати на будь-який витік даних від випадкового відправлення контактних даних на неправильний e-mail до хакерської атаки та викрадення даних користувачів.
Які ризики містить GDPR для українського бізнесу та чи можуть українські компанії нести відповідальність за його невиконання?
Передусім, варто наголосити на тому, що Регламентом встановлюється фінансова відповідальність для компаній за невиконання його вимог у розмірі до 20 млн євро або 4% від світового обігу компанії. Що стосується відповідальності для українських компаній, які підпадатимуть під дію GDPR, тут варто говорити про репутаційні та опосередковані фінансові втрати внаслідок відмови контрагентів з ЄС від співпраці за невиконання вимог Регламенту.
Отже, принцип, за яким буде здійснюватися притягнення українських компаній до відповідальності за невиконання вимог Регламенту, можна охарактеризувати однією назвою – «Принцип взаємної відповідальності». Такий підхід обумовлений тим, що у разі недотримання вимог Регламенту українською компанією, яка співпрацює з компанією-резидентом ЄС, санкціям за його порушення буде піддано саме компанію-резидента ЄС, яка виступає контрагентом української компанії-порушника вимог GDPR.
Тобто компанія, яка територіально знаходиться в ЄС і доручає обробляти персональні дані компанії на території України, повинна розуміти, що у разі порушення вимог Регламенту першою під штраф потрапляє саме вона, а тому їй невигідно співпрацювати з ненадійними українськими компаніями, які не дотримуються положень Регламенту.
Як наслідок, будь-який обмін даними між такими компаніями буде припинено, що призведе до неможливості виконання своїх договірних зобов’язань та розірвання договірних відносин. Такі обставини змусять більш ретельно підбирати своїх контрагентів з обробки персональних даних з-поза території Європейського Союзу.
Підсумовуючи, можна сказати, що експерти у сфері захисту персональних даних та представники бізнесу по-різному сприймають та оцінюють значення, переваги й недоліки дії Регламенту на українському ринку. Проте попри всі позитивні та негативні моменти, які обговорюються, слід визнати, що впровадження доволі значної кількості вимог, закріплених у Регламенті, може суттєво вдарити по кишені українського бізнесу, який працює на ринку ЄС. Насамперед, це пов’язано з необхідністю впровадження порівняно нових технічних, організаційних, правових та адміністративних заходів для дотримання вимог Регламенту. Однак ми повинні розуміти, що сьогодні інформація є не лише неодмінним елементом ведення бізнесу, але й об’єктом корпоративного шпигунства, хакерських атак, неправомірної конкуренції та навіть вчинення злочинів. Саме тому європейці готові платити справедливу ціну за надійне збереження та захист своїх персональних даних. Та чи готові ми за це платити?