Явище, що зветься інформаційною революцією, вже не один рік і навіть не десятиріччя як охопило світ. Не є винятком країни Європейського Союзу, де фактично кожен громадянин щоденно користується електронними пристроями, безупинно поширюючи про себе інформацію. Кожне завантажене в мережу фото чи поставлений лайк, здійснення покупки в інтернет-магазині чи перегляд новин — це все розповсюдження інформації, що містить ознаки персональних даних.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
«Кожен має право на повагу до свого приватного та сімейного життя, до свого житла і кореспонденції», — закріплено у ст. 8 Європейської конвенції про захист прав людини і основоположних свобод. Однак чи не є право на приватність лише декларацією в умовах глобалізації? Наразі ми маємо дві діаметрально різні позиції стосовно поняття приватності. Перша позиція переконує, що приватність з часом зникне, з огляду на обсяги персональних даних, які щодня збираються про кожного з нас. Друга позиція, навпаки, наголошує на абсолютній цінності права на повагу до приватного життя, потреба в якій зростає в еру технологій, коли є можливість заробити на витоку персональних даних, а отже, політика держави щодо підвищення безпеки даних набуває першочергового значення.
До травня 2018 р. європейці дотримувалися рамочної Директиви про захист персональних даних 95/46/ЕС від 24.10.1995 р. Потім 25.05.2018 р. набув чинності Загальний регламент із захисту персональних даних №2016/679 (далі — GDPR, Регламент). Важливим нюансом GDPR є екстериторіальний принцип дії нових європейських правил обробки персональних даних, який не обговорювали останні два роки лише ліниві. Тому деяким українським компаніям варто уважно поставитися до вказаних правил, особливо якщо їхні послуги орієнтовані на європейський чи міжнародний ринок.
Загальний регламент із захисту персональних даних №2016/679 спрямований не лише на захист споживача, але й на захист бізнес-середовища. GDPR надає резидентам ЄС інструменти для пильного контролю за своїми персональними даними, запроваджує універсальний підхід до обробки та збору даних (насамперед, на основі «згоди»), встановлює детальні та єдині для всіх процедури щодо захисту персональних даних і розслідування фактів їх порушення, передбачає штрафи до 20 млн євро або 4% від річного доходу компанії.
25.10.2017 р. Україна в особі Кабінету Міністрів України самостійно визначила для себе завдання імплементувати GDPR у національне законодавство до 25.05.2018 р. Постановою Кабінету Міністрів України від 25.10.2017 р. №1106, якою був затверджений План заходів з виконання Угоди про асоціацію між Україною та ЄС, а також строк приведення законодавства у відповідність до GDPR продовжено до 25.05.2020 р. Відповідальність за виконання вказаних положень покладено на Уповноваженого Верховної Ради України з прав людини, Мін'юст, Мінфін, Мінекономіки, МВС. 12.11.2019 р. при Секретаріаті Уповноваженого ВРУ з прав людини була створена міжвідомча робоча група щодо розробки законодавчих пропозицій у сфері захисту персональних даних.
Нагадаємо, що до передачі функцій контролю за виконанням законодавства у сфері захисту персональних даних Уповноваженому Верховної Ради України з прав людини, в межах Секретаріату якого створено Департамент у сфері захисту персональних даних, функціонувала Державна служба з питань захисту персональних даних, яка будучи створеною у квітні 2011 р., спочатку активно відпрацьовувала покладені на неї завдання, але згодом у вересні 2014 р. була ліквідована.
Розробка та подання на розгляд Кабінету Міністрів України законопроекту щодо внесення змін до Закону України «Про захист персональних даних», ухваленому ще 01.06.2010 р. за зразком чинної на той час Директиви ЄС №95/46/ЕС — це завдання, що залишається актуальним вже не один рік, до якого активно долучилися представники центральних органів виконавчої влади та інших державних органів, правники, міжнародні експерти.
Загальний регламент із захисту персональних даних №2016/679 передбачає широке тлумачення терміну «персональні дані». Персональні дані — це не лише інформація, яка прямо ідентифікує особу, але й інформація, яка в сукупності з іншими даними може бути використана для ідентифікації особи (наприклад, ім'я, номер паспорта, номер посвідчення водія, домашня адреса, фотографія, адреса електронної пошти, банківські реквізити, медична інформація, ІР‑адреса комп'ютера тощо).
Згідно з GDPR, є дві особи, відповідальні за обробку персональних даних — контролер та процесор. Контролером називають особу (фізичну чи юридичну) або орган державної влади, які визначають ціль та мету обробки персональних даних. Процесором є особа чи орган державної влади, що здійснює обробку персональних даних відповідно до мети та цілей, встановлених контролером. Саме контролер і процесор несуть солідарну відповідальність у випадку порушень GDPR та зобов'язані повідомляти контролюючі органи, а в окремих випадках і суб'єктів даних, про будь-які порушення (витік, викрадення, несанкціонований доступ), пов'язані з персональними даними, протягом 72 годин після встановлення такого порушення.
Ч. 1 ст. 82 Регламенту встановлює, що будь-яка особа, яка зазнала матеріальної чи нематеріальної шкоди в результаті порушення положень цього Регламенту, має право на отримання компенсації від контролера чи процесора за завдану шкоду. Відповідальність за допущені порушення необов'язково повинна бути у вигляді адміністративного штрафу, також це може бути попередження, ультиматум, обмеження чи заборона діяльності. Однак якщо мова все ж таки доходить до накладення штрафу, наглядовий орган у кожному конкретному випадку повинен гарантувати, що штраф буде ефективним, співмірним та стримувальним (ч. 1 ст. 83 Регламенту).
За незначні порушення GDPR розмір матеріальної відповідальності може сягнути максимум 10 млн євро або 2% від річного обігу компанії за попередній фінансовий рік, залежно від того, яка сума буде більшою. За значні порушення, пов'язані з недотриманням основних принципів захисту персональних даних, розмір матеріальної відповідальності може сягнути максимум 20 млн євро або 4% від річного обігу компанії за попередній фінансовий рік, залежно від того, яка сума буде більшою.
Під час вирішення питання про накладення адміністративного штрафу і визначення його розміру наглядовий орган у кожному конкретному випадку бере до уваги такі чинники:
- характер, тяжкість і тривалість порушення, враховуючи характер, обсяг або мету обробки, кількість постраждалих суб'єктів даних та розмір завданої шкоди;
- навмисний чи ненавмисний характер порушення;
- будь-які дії, вжиті контролером чи процесором для зменшення шкоди, завданої суб'єктам даних;
- ступінь відповідальності контролера чи процесора, враховуючи вжиті ними технічні та організаційні заходи згідно з Регламентом;
- будь-які релевантні попередні порушення з боку контролера чи процесора;
- ступінь співпраці з наглядовими органами з метою усунення порушення або пом'якшення можливих негативних наслідків порушення;
- категорії персональних даних, які постраждали в результаті порушення.
Перші скарги за порушення GDPR надійшли вже в перший же день після набрання чинності нормами Регламенту від неприбуткової організації noyb.eu. Ці скарги стосувалися порушень Facebook, Instagram, WhatsApp, Google, Android щодо вільного надання згоди на обробку даних користувачами.
Протягом осені 2018 р. португальський наглядовий орган (CNPD) оштрафував місцеву клініку на загальну суму 400 тис. євро за доступ працівників клініки до персональних даних пацієнтів через фальшиві облікові записи.
У той же період у Німеччині була оштрафована соціальна мережа knuddels.de на загальну суму 20 тис. євро через витік даних. При цьому наглядовий орган взяв до уваги, що мережа, виявивши витік персональних даних, одразу повідомила всіх користувачі про подію та вжила низку заходів для підвищення якості захисту персональних даних.
На початку 2019 р. незалежний французький адміністративний регуляторний орган CNIL виписав Google штраф у 50 млн євро за невиконання GDPR, тому що останній не надав своїм користувачам достатньо інформації про свою політику згоди на передачу даних і не надав їм достатній контроль над тим, як їхня інформація буде використовуватися («істинна згода»). Відомо, що Google оголосив про свої плани оскарження вказаного штрафу, стверджуючи про своє занепокоєння щодо впливу Регламенту на авторів оригінального контенту в Європі та за її межами.
Накладення штрафів за порушення Загального регламенту із захисту персональних даних №2016/679 відбулося в Польщі у березні 2019 р. на загальну суму 220 тис. євро. Оштрафована компанія займалася збором даних з відкритих реєстрів та фактично здійснювала обробку даних понад 7 млн фізичних осіб без належного повідомлення всіх осіб про обробку їхніх персональних даних.
Також цікавим прикладом відповідального ставлення до захисту персональних даних став випадок в Австрії з притягненням до відповідальності місцевого підприємця, який встановив камери біля свого офісу. Окрім приміщення офісу, камера охоплювала ще й значну частину тротуару, яким рухалися випадкові перехожі. Відсутність належних позначок про те, що ведеться відеозйомка, призвели до порушення Регламенту та накладення штрафу в загальному розмірі 4 800 євро.
Згадуваний на початку статті екстериторіальний принцип дії GDPR стосується також можливості притягнення до відповідальності компаній, які зареєстровані поза межами ЄС. Контролюючий орган Великої Британії (ІСО) застосував штраф у розмірі 17 млн фунтів стерлінгів стосовно канадської компанії AggregatelIQ, яка займається цифровим маркетингом та розробкою програмного забезпечення, через її зв'язок з діяльністю компанії Cambridge Analytica. Зокрема, у 2016 р. AggregatelIQ використала персональні дані з Facebook, якими раніше заволоділа Cambridge Analytica, для розробки програмного забезпечення, за допомогою якого здійснювалася цільова реклама виборців у США під час президентської компанії.
Таким чином, аналізуючи практику застосування адміністративних штрафів європейськими наглядовими органами за порушення GDPR, можна стверджувати, що штрафи зовсім різні та значною мірою залежать від вчиненого правопорушення, завданих збитків і заходів, вжитих для мінімізації порушення.
Штрафи в більших розмірах, як правило, накладаються в тих випадках, коли порушення стосуються або великих обсягів персональних даних (як у випадку з Google), або чутливих персональних даних (як у Португалії в ситуації з медичними даними пацієнтів). До відповідальності можуть бути притягнуті як компанії з території Європейського Союзу, так і компанії, які зареєстровані поза межами ЄС (як в ситуації з AggregatelIQ).
Саме тому, адаптуючи будь-який бізнес під вимоги Загального регламенту із захисту персональних даних №2016/679, завжди потрібно пам'ятати про ризик застосування штрафних санкцій, який багато в чому залежить від відповідального ставлення до належного збору, обробки, передачі та захисту персональних даних.