GDPR – новий регламент ЄС про захист персональних даних – починає діяти вже 25.05.2018 р. Чим ближче до цієї дати, тим більше прогнозів щодо змін у правилах гри у сфері захисту персональних даних.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
У цій статті ми спробуємо надати відповідь на найбільш практичні запитання, зокрема, навіщо українським компаніям реагувати на GDPR, які практичні кроки слід здійснити для приведення внутрішньої політики компанії у відповідність до Регламенту.
Норми GDPR поширюватимуться на ті українські компанії, які:
- мають співробітників з ЄС;
- проводять маркетингові чи інші дослідження суб’єктів ринку в ЄС;
- здійснюють безпосередню діяльність (постачають товари/виконують роботи/надають послуги) громадянам ЄС;
- використовують інформацію громадян ЄС у своїх власних продуктах.
Можна з впевненістю сказати, що під такі критерії підпадають туристичні компанії з напрямками в ЄС, IT-компанії, які «продають» свій продукт в ЄС, та всі інші фірми, які тим чи іншим чином у своїй діяльності мають відносини з громадянами ЄС. Тож не лишається сумнівів у тому, що великий сегмент суб’єктів ринку України муситиме привести свою діяльність у відповідність до Регламенту.
GDPR розповсюджується на «контролерів» та «обробників». Перші – особи, які вирішують, як і коли збирати персональні дані. Другі – особи, які діють на виконання вказівок контролера. Контролером, наприклад, є банк, який збирає персональні дані своїх клієнтів, коли вони відкривають рахунки, тоді як обробляти ці дані (тобто зберігати, оцифровувати тощо) може інша організація – обробник. Найчастіше обробниками є треті особи – власники серверів чи поштових сервісів, якими користується контролер.
Серед основних важливих нововведень GDPR, які торкнуться бізнесу в Україні, варто згадати про такі.
1. Підвищення рівня безпеки персональних даних
Регламент не встановлює чітких критеріїв, за якими оцінюватиметься рівень відповідності вимогам безпеки. Натомість він оперує оціночними категоріями, з яких випливає, що контролери та обробники повинні забезпечувати найвищий можливий для них рівень захисту інформації, в тому числі впроваджувати належні технічні та організаційні заходи для забезпечення високого рівня безпеки інформації.
Заходи безпеки можуть бути достатньо різноманітними. Це залежить від того, які саме дані обробляються, від їхньої кількості, можливості витоку тощо. Як приклад заходів, які можуть застосовуватися, Регламент наводить псевдонімізацію та шифрування. Загальними заходами є підписання договорів про обробку персональних даних чи внесення у договори вимоги про видалення персональних даних, які стали відомі з договору, одразу після його виконання.
Повинна бути розроблена певна політика щодо загальних принципів обробки та зберігання персональних даних, в якій буде вказано, які дані обробляються, де вони зберігаються, протягом якого часу вони зберігаються, спосіб видалення даних зі спливом строку їх зберігання, яким чином засвідчується видалення тощо. Важливо передбачити, щоб до обробки та зберігання персональних даних були залучені лише ті особи, які мають відповідні права та обов’язки, передбачені трудовим договором.
Важливо також оновити підхід до укладення угод з контрагентами з ЄС, забезпечивши достатній рівень гарантій захисту даних. У цьому аспекті варто згадати про трудові відносини. Ще на етапі прийому на роботу, пошуку нових працівників, проведення співбесід варто мати типові згоди на обробку персональних даних, підписані особою. Кожен трудовий договір повинен бути переглянутий на предмет наявності достатніх гарантій для працівника. Останній повинен бачити у договорі, скільки даних щодо нього обробляється, коли вони будуть видалені тощо. Дискусійним у трудових відносинах є питання щодо того, чи повинні співробітники зобов’язуватися не розголошувати інформацію про інших співробітників, своїх колег.
2. Необхідність запровадження нової посади в компанії – Data Protection Officer
Йдеться про обов’язкове призначення відповідального за захист персональних даних працівника всіма компаніями, що мають справу зі значним обсягом персональних даних або зі «спеціальними» категоріями таких даних. Він може виконувати свої обов’язки як за трудовим договором, так і на підставі цивільно-правової угоди.
Officer повинен мати відповідний обсяг знань у галузі охорони персональних даних. Група компаній може мати одного відповідального, за умови забезпечення безперешкодного доступу до діяльності кожного члена групи. Так, він може працювати в компанії за основним місцем роботи або за сумісництвом. Відповідальному повинні бути забезпечені незалежність та можливість безперешкодного доступу до всіх даних компанії.
Завданням Data Protection Officer є допомога у виконанні всіх вимог законодавства у сфері охорони персональних даних (він проводить навчання серед працівників, контролює відповідність діяльності компанії стандартам, надає консультації з фахових питань). Також він може бути представником компанії перед органами, уповноваженими у сфері персональних даних.
Регламент встановлює, що порушення вимоги про призначення Data Protection Officer може тягнути за собою відповідальність у вигляді штрафу до 10 млн євро або 2% від річного світового обігу компанії.
Для виконання цієї вимоги необхідно знайти особу, яка відповідає вищевказаним вимогам, та прийняти її на роботу на відповідну посаду. Посадова інструкція повинна містити широкий перелік повноважень, який забезпечуватиме уповноваженому необхідний рівень незалежності.
3. Необхідність представника (представництва) в ЄС
Згідно з новими правилами, якщо ваша компанія підпадає під дію GDPR і розташована не в ЄС, необхідно мати офіційного представника компанії в ЄС. Представник повинен бути призначений як контактна особа з усіх питань охорони персональних даних громадян ЄС для уповноважених органів влади. Це може бути як фізична, так і юридична особа.
Серед обов’язкових вимог до представника – бути заснованим (для ЮО) чи перебувати (для ФО) в одній з тих країн, громадянами якої є особи, персональні дані яких обробляються або поведінка яких досліджується. Інших вимог немає (наприклад, що це повинні бути юристи за фахом тощо). Тобто якщо у вас туристична фірма, потрібно укласти договір з юридичною чи фізичною особою, яка має можливість на постійній основі представляти ваші інтереси, в одній з тих країн, де збираються персональні дані. Оформлюються відносини між компанією та представником шляхом укладення письмового договору.
Якщо фірма має власне представництво в ЄС у країні, дані громадян якої обробляються найбільше, до його статутних документів слід внести зміни, щоб воно могло стати представництвом щодо персональних даних. Подібне можна зробити, якщо один із директорів, засновників компанії є резидентом ЄС, додавши до його повноважень такі, що стосуються захисту персональних даних і представництва з цих питань.
Відкритим залишається питання, чи потрібно компанії декілька представництв/представників, якщо вона здійснює діяльність, наприклад, у географічно віддалених країнах Європи. Регламент не уточнює цей момент, тож для початку варто забезпечити наявність хоча б одного представництва у країні, де обробляється найбільше даних.
Виняток із правила щодо обов’язковості представництва встановлюється у таких випадках: якщо обробка даних не є постійною; якщо персональні дані, які обробляються, не належать до «спеціальних» категорій (як вже зазначалося вище, сюди належать, зокрема, генетичні, біометричні дані), стосуються кримінальних проваджень чи обвинувачень; якщо характер даних свідчить про неможливість значного порушення прав особи у разі їх витоку (не важко припустити, що учасники ринку, які не мають наміру з тих чи інших причин виконувати цю вимогу Регламенту, спробують використовувати таке оціночне формулювання для ухилення від її виконання).
4. Демонстрація (доведення) відповідності вимогам GDPR
Регламент встановлює обов’язок довести відповідність діяльності компанії новим вимогам. Для кожної компанії рівень відповідності може бути різним. Все залежить від того, наскільки компанія є великою, скільки осіб мають доступ до персональних даних, наскільки великий ризик витоку тощо.
Для того щоб довести відповідність, обробники повинні зберігати всю інформацію, що стосується діяльності з персональними даними (про контролера, операції з передачі даних тощо). При цьому контролер повинен запровадити відповідну внутрішню політику, що на практиці означає мінімізацію обробки персональних даних, псевдонімізацію тощо, а також зберігати інформацію про співпрацю з обробником. Як для обробників, так і для контролерів встановлюється вимога щодо необхідності забезпечення повної секретності та конфіденційності персональних даних.
Наразі немає чіткого механізму підтвердження відповідності вимогам GDPR (наприклад, шляхом отримання сертифіката відповідного рівня), проте згідно з Регламентом він буде створений в майбутньому. Передбачено, що проходження цієї процедури відбуватиметься добровільно.
Також для демонстрації необхідним є проведення тренінгів, навчань для всіх співробітників, розробка інструкцій з передбаченими кроками дій у разі витоку даних, розробка типових договорів про захист даних тощо.
5. Запровадження контролю за передачею персональних даних за межі Європейського економічного простору
Згідно із загальним правилом, персональні дані з ЄЕП можуть передаватися у треті країни лише за наявності позитивного висновку Єврокомісії щодо відповідності країни високим стандартам захисту персональних даних. Висновок оформлюється у вигляді акту за результатами всебічної перевірки юрисдикції.
Якщо такого висновку немає, діє презумпція того, що компанії виконають вимоги Регламенту та зможуть забезпечити належний рівень охорони даних. Найприйнятнішим забезпеченням охорони даних для України може бути використання стандартних умов договору, затверджених Єврокомісією.
6. Обмеження можливості використання хмарних сховищ для розміщення персональних даних
З норм Регламенту випливає, що розміщення персональних даних на хмарних сховищах (cloud storage) вважається їх передачею третім особам. Варто остерігатися сховищ з низьким рівнем захисту, а також обмежити розміщення на них персональних даних. При цьому, якщо передача даних за допомогою хмарного сховища відбувається за межі ЄС без належних забезпечень (псевдонімізація, шифрування, засекречування у будь-який інший спосіб), такі дії є порушенням норм законодавства ЄС.
7. Загальне підвищення рівня забезпечення приватності
Регламент передбачає необхідність посилення приватності. Окрім стандартного найвищого рівня приватності за замовчуванням (наприклад, у соціальних мережах), у перспективі може бути необхідним збирання згоди суб’єкта на обробку кожного окремого пункту інформації, який він вводить.
Цей висновок випливає з норм Регламенту, де вказано, що фізичні особи повинні знати про ризики, правила, забезпечення, власні права у зв’язку з обробкою персональних даних. Зокрема, особа повинна знати мету обробки персональних даних вже на етапі її збору. Якщо збір даних відбувається в результаті волевиявлення особи, контролер повинен продемонструвати, що вона тут і зараз надає свої персональні дані. Хоча в Україні наразі діють подібні норми, правознавці з ЄС вказують, що нинішнього рівня обізнаності користувачів не достатньо, а соціальні мережі разом із прийняттям Регламенту зміняться до непізнаваності.
У цьому аспекті є цікавими положення Регламенту, в якому вказано, що держави-члени ЄС повинні забезпечити приватність на робочому місці. Зокрема, якщо роботодавець контролює працівників шляхом встановлення камер, працівник повинен про це знати та надати згоду на обробку персональних даних. Таке правило також застосовуватиметься в Україні, якщо працівник є громадянином ЄС.
8. Вдосконалена процедура повідомлення про витік даних
Цей блок є надзвичайно важливим для України, адже в чинному вітчизняному законодавстві не міститься подібних вимог.
Якщо стався витік персональних даних, обробник повинен негайно повідомити про це контролера, щоб спільними зусиллями зменшити можливі негативні наслідки. Якщо витік інформації є значним, обробник повинен протягом 72 годин з його моменту повідомити особу, якій належать персональні дані, та уповноважений орган влади. Особа, якій належать дані, не повідомляється, лише якщо контролер доклав достатніх зусиль для унеможливлення порушення її прав, має належну систему захисту даних, а також якщо об’єктивно повідомлення є невиправданим.
Компанія повинна розробити політику чи інструкцію, якою передбачити чіткий механізм дій у разі витоку даних, враховуючи загальні норми Регламенту та українського законодавства. Зокрема, слід прописати етапи внутрішньої перевірки, випадки повідомлення Уповноваженого з прав людини про витік даних, визначення осіб, які постраждали, тощо.
9. Зміцнення контролю у відносинах між контролерами та обробниками
Важливою нормою Регламенту є презумпція відповідальності контролера за вибір обробника. Контролер повинен співпрацювати лише з тими обробниками, які гарантують наявність технічних та організаційних ресурсів, що відповідають вимогам щодо дотримання прав власника персональних даних.
Насамперед, мова йде про самоконтроль, який є основою для діяльності з персональними даними. Так, обробники інформації можуть діяти виключно в межах, встановлених контролером. Водночас контролери зобов’язані впевнитися в тому, що обробники здатні беззаперечно гарантувати наявність технічних та організаційних засобів, достатніх для безпеки персональних даних.
Всі дії, які уповноважений здійснювати обробник, у повному обсязі повинні бути прописані у договорі з контролером. Крім того, має бути визначено строк договору, природу і мету обробки, вид даних, що обробляються, права та обов’язки контролера. Також повинні бути визначені інші умови, спрямовані на співпрацю між контролером та обробником (наприклад, щодо обов’язку повідомлення контролера, якщо обробник вважає його вказівки неналежними з позиції захисту персональних даних).
10. Обмеження можливості залучення субобробників
Субобробниками є особи, яким обробники можуть передати частину своїх зобов’язань за контрактом з контролером. Регламент встановлює, що для реалізації такої передачі необхідний письмовий дозвіл контролера. Передаючи частину зобов’язань, обробник обов’язково повинен забезпечити той рівень безпеки, що був передбачений у контракті з контролером.
З моменту набуття Регламентом чинності кожен громадянин ЄС матиме розширений перелік прав у сфері захисту персональних даних, а обов’язком контролерів та обробників буде забезпечення дотримання таких прав. Це означає, що з-поміж загальних вимог Регламенту необхідно звернути увагу на механізми забезпечення прав.
Не варто також забувати, що у своїй діяльності контролер повинен забезпечувати дотримання прав особи, дані якої збираються. Cеред основних прав, які були вдосконалені Регламентом, варто виділити такі.
- Право бути поінформованим. Якщо інформація збирається безпосередньо від індивіда, необхідним є його оповіщення про це та отримання однозначної згоди. Згода повинна бути відкритою, явно вираженою та незавуальованою (наприклад, на практиці може виражатися як проставляння галочки біля кожного пункту персональних даних, що вводяться у мобільному додатку виклику таксі). Згода не може бути мовчазною та повинна бути відділена від інших умов договору (в тому числі приєднання як terms and conditions у соціальних мережах).
- Право на видалення (право бути забутим). За запитом суб’єкта вся інформація про нього повинна бути видалена. Цього правила можна не дотримуватися, якщо інформація необхідна для реалізації права на інформацію, виконання норм чинного законодавства, забезпечення громадського здоров’я, наукової, історичної чи статистичної мети, вирішення правових спорів. Компанії, які можуть розміщувати інформацію користувачів онлайн, повинні за запитом особи видаляти не лише інформацію, але й посилання на неї чи будь-які можливі копії.
- Право на заборону обробки. Компанія зобов’язана відмовитися від обробки персональних даних на вимогу суб’єкта. Методами, за допомогою яких компанія може це здійснити, є унеможливлення доступу третіх осіб до даних, видалення їх з веб-сайту та ін.
Види відповідальності за порушення будь-якої з вищезазначених вимог варіюються від штрафів у розмірі до 20 млн євро або 4% від щорічного світового обігу компанії (контролера або обробника) до кримінальної відповідальності (залежно від національного законодавства), а також шкоди репутації. Поки що незрозуміло, яким саме чином ці заходи відповідальності можуть бути застосовані в Україні, проте з огляду на європейський курс нашої держави, на нашу думку, відповідний спосіб буде розроблений вже найближчим часом.
Отже, безперечно, GDPR вплине на всі українські компанії, які так чи інакше співпрацюють з ЄС. Для того щоб компанія відповідала вимогам Регламенту, потрібно врахувати всі аспекти нововведень – представництва в ЄС, оновлення у трудових відносинах, необхідність щонайменше однієї нової посадової особи, оновлення правої обробки та зберігання тощо.
При цьому компанія повинна озброюватися як з юридичного боку шляхом розробки всіх необхідних документів, так і з організаційно-технічного, тобто вона повинна мати достатньо ресурсів, щоб убезпечити дані від витоку та реагування на непередбачувані витоки.