Ні для кого не секрет, що 25.05.2018 р. набере чинності General Data Protection Regulation (далі – GDPR, Регламент). GDPR – це по суті «оновлений» Регламент, який визначає правила обробки персональних даних та приходить на зміну Директиві 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24.10.1995 р. Ключовою метою GDPR є забезпечення належного захисту персональних даних громадян Європейського Союзу (далі – ЄС) та гармонізація нормативних актів у цій сфері.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
GDPR-особливості
До персональних даних належить будь-яка інформація, за якою прямо або опосередковано можна визначити конкретну особу (суб'єкта даних). Наприклад, ім'я, дані про місце розташування, онлайн ідентифікатор, фізичні, фізіологічні, генетичні, інтелектуальні, економічні, культурні чи соціальні дані про цю людину (п. 1 ст. 4 GDPR).
Особливістю цього Регламенту є принцип екстериторіальності, який полягає в тому, що дія GDPR поширюється не лише на країни ЄС, але й на будь-яку компанію, яка зберігає та отримує персональні дані громадян ЄС чи пропонує для них товари або послуги. Тобто якщо українська компанія, яка розробляє SaaS-рішення, отримує персональні дані громадян ЄС, то обробка таких даних має відбуватися відповідно до вимог Регламенту. Якщо компанія моніторить за допомогою файлів cookies поведінку користувачіврезидентів ЄС на сайті з метою подальшої передачі цієї інформації рекламним агенціям та аналітичним компаніям, то така діяльність має здійснюватися відповідно до вимог Регламенту. Зауважуємо, що згідно з нормами GDPR, отримання персональних даних без їх збереження також вважається обробкою персональних даних. Отже, дія GDPR поширюється та впливає на діяльність IT-компаній, які достатньо часто отримують та/або обробляють персональні дані резидентів ЄС.
Дійові особи
Перш ніж описувати договірні конструкції у розрізі вимог GDPR, варто виокремити учасників, які беруть участь у процесі обробки персональних даних:
- фізичні особи, персональні дані яких обробляються (Data Subject);
- контролери персональних даних (Data Controller);
- процесори персональних даних та/або їх представники в країнах ЄС (Data Processor/Representative);
- органи моніторингу і контролю (Supervisory Authority) та офіцери із захисту даних (Data Protection Officer);
- органи, які діють у структурі ЄС (Європейська комісія, Робоча група (Working Group), наглядова рада ЄС із захисту персональних даних Data Protection Board, Європейський інспектор із захисту даних (European Data Protection Supervisor) та тимчасові агенції, які створені для забезпечення впровадження GDPR.
Відповідно до норм GDPR, будь-яка компанія (у тому числі IT) може мати «статус» як контролера, так і процесора. Зокрема, контролером може виступати фізична або юридична особа, державний орган, агентство чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних (п. 7 ст. 4 GDPR). Процесор – це фізична або юридична особа, державний орган, агентство чи інший орган, який обробляє особисті дані від імені контролера, згідно з інструкцією контролера (п. 8 ст. 4 GDPR). Іншими словами, контролер – це той, хто володіє персональними даними та може передавати їх третім особам для обробки з певною ціллю, а контролер – це той, хто «працює» з переданими персональними даними.
Враховуючи вищевказане, IT-компанія може виступати як контролером («controller») так і процесором («processor») / субпроцесором («subprocessor»). Залежно від конкретного «статусу», IT-компанія має виконувати певні дії та відповідати певним вимогам.
Договірна основа
З огляду на специфіку діяльності IT-компаній, у правовідносинах з контрагентами вони виступають переважно як процесори або субпроцесори даних. У такому разі практичним механізмом «виконання GDPR» є внесення змін до наявних договорів або укладення нових договорів про обробку даних, так званого Data Processing Agreement (далі – DPA) чи інших правових актів.
Будь-які договори, що діють станом на 25.05.2018 р., повинні відповідати новим вимогам GDPR. Такі договори мають бути перевірені на предмет наявності всіх необхідних елементів. У разі їх невідповідності GDPR слід внести зміни або укласти та підписати нові договори.
Регламентом встановлені певні вимоги щодо змісту DPA, зокрема:
- предмет та тривалість обробки персональних даних;
- характер та мета обробки персональних даних;
- вид персональних даних та категорії суб'єкта даних;
- зобов'язання та права контролера та процесора.
Також варто наголосити, що у ст. 28.3 GDPR закріплені вимоги щодо дій, які має вчиняти процесор:
- виконувати лише письмові вказівки/інструкції контролера, враховуючи передачу персональних даних третім країнам або міжнародним організаціям, якщо інше не передбачено законодавством ЄС або державами-членами, до яких підпорядкований процесор;
- гарантувати, що особи, які обробляють дані, дотримуються обов’язку конфіденційності;
- сприяти контролеру в наданні суб’єктам доступу до їхніх персональних даних та в реалізації їхніх прав відповідно до GDPR;
- вживати належних заходів забезпечення безпеки обробки;
- залучати субпроцесора лише за попередньою згодою контролера;
- сприяти контролеру в дотриманні GDPR-обов’язків, пов’язаних з безпекою обробки, повідомленні про витік персональної інформації та оцінці впливу на захист персональних даних;
- видаляти або повертати всі особисті дані контролеру після завершення обробки, повертати будь-які копії даних, що існують, за винятком випадків, коли законодавство ЄС чи держави-члена вимагає зберігання персональних даних;
- надавати контролерові всю інформацію, необхідну для демонстрації відповідності виконання зобов'язань процесором, а також дозволяти та сприяти проведенню аудитів, перевірок, що проводяться контролером або іншою особою, уповноваженою на це контролером.
Контролери несуть відповідальність за дотримання вимог GDPR та повинні призначати лише тих процесорів, які можуть забезпечити «достатні гарантії» непорушності норм Регламенту і захисту прав суб’єктів.
Інцидент-реагування
У разі виникнення інцидентів, пов’язаних із забезпеченням безпеки персональних даних (наприклад, витік, незаконна обробка персональних даних та ін.), процесор негайно повідомляє контролера для невідкладного проведення спільних заходів з метою зменшення наслідків. Якщо витік є значним, то процесор повинен повідомити протягом 72 годин з моменту виявлення такого порушення особі, якій належать персональні дані, та уповноважений орган. Контролер має право не повідомляти про витік даних особі, якій належать персональні дані, якщо він доклав усіх зусиль для унеможливлення порушення прав такої особи. Якщо контролер не повідомив особу та/або уповноважений орган про інцидент, то він нестиме відповідальність у формі адміністративного штрафу розміром до 10 млн євро або до 2% від загального світового річного обігу попереднього фінансового року.
Окрім того, Регламентом встановлена відповідальність за незабезпечення безпеки персональних даних у формі штрафу розміром до 20 млн євро або до 4% від загального світового річного обігу попереднього фінансового року, а також відповідальність за завдання шкоди власнику персональних даних – відшкодування заподіяної шкоди.
Отже, у зв’язку з такими «значними» розмірами штрафних санкцій у договорах між процесором та контролером варто детально прописувати заходи безпеки персональних даних, які здійснює контролер та процесор, механізм «взаємодії між ними» у разі виникнення інциденту та можливу відповідальність.
Також у процесі надання послуг IT-компанія, як процесор, може залучати іншого субпідрядника, який виступатиме субпроцесором та оброблятиме персональні дані від імені IT-компанії. Однак перш ніж залучати субпроцесора, потрібно отримати письмову згоду контролера. Лише після надання такої згоди процесору необхідно укласти договір з субпроцесором.
При цьому, якщо IT-компанія «на постійній основі» залучає певного субпідрядника, то надаючи послуги така компанія, як процесор, все одно щоразу має отримувати згоду від свого клієнтаконтролера для подальшої передачі персональних даних субпідряднику. Такі умови щодо отримання згоди та дотримання інших вимог GDPR можна передбачити в SaaS-контракті.
Безпечна передача даних
Регламентом передбачено, що можливі інші способи забезпечення передачі даних. Наприклад, сертифікація процесора чи розробка певних правил поведінки, які затверджуються контролюючими органами ЄС. Однак сьогодні процедура сертифікації чи зразки правил досі не розроблені, тому наразі підписання та виконання DPA є оптимальним вирішенням цієї проблеми.
По суті, DPA має слугувати «документованою інструкцією» від контролера, відповідно до якої повинен діяти процесор. Тому необхідно від самого початку передбачити чіткі та зрозумілі умови обробки персональних даних, які нададуть змогу уникати непорозумінь і постійного внесення змін до договору.
У правовідносинах з контрагентами або щодо власних працівниківрезидентів ЄС IT-компанія також може виступати контролером. З метою встановлення «статусу контролера» компанія має визначити для себе, які особисті дані вона збирає, з якими цілями вона обробляє такі дані, яка існує правова база для цього, чи є така інформація персональними даними у розумінні GDPR. Після з’ясування цих питань компанії слід проаналізувати наявні Privacy Policy та Privacy notice на предмет не порушення вимог вказаного Регламенту або розробити нову належну політику та повідомлення.
З огляду на вимоги ст. 13 та ст. 14 GDPR, Privacy Policy має містити:
- контактні дані контролера даних та його представника (за наявності);
- дані про Офіцера із захисту персональних даних (Data Protection Officer), за його наявності;
- мету та правову базу для обробки персональних даних;
- законний інтерес обробки даних у разі його наявності;
- одержувачів або категорій одержувачів персональних даних;
- права суб'єкта даних;
- тривалість зберігання персональних даних або критерій її визначення;
- інформацію про автоматичне прийняття рішень у разі наявності.
Отже, відповідно до норм GDPR, «оновлена» Privacy Policy має містити більший обсяг інформації, ніж раніше, але така інформація має бути зрозумілою та доступною для користувачів. По суті, Privacy Policy є внутрішнім документом, який детально описує цілі захисту даних, відповідальність та способи вирішення порушень.
Окрім Privacy Policy, компанія має переглянути/змінити або розробити Privacy notice. Privacy notice – це повідомлення користувачам про те, як компанія застосовує принципи захисту даних у процесі їх обробки. GDPR зазначає певні вимоги, зокрема, що вона має бути лаконічна, чітка та легкодоступна всім особам (навіть дитині).
У Privacy notice слід передбачати інформацію, яка надавала б відповіді на такі запитання:
- Хто збирає дані?
- Які збираються дані?
- Яка правова база для обробки даних?
- Чи надаватимуться дані третім особам?
- Як використовуватиметься інформація?
- Як довго зберігатимуться дані?
- Які права має суб'єкт даних?
- Як суб'єкт даних може подати скаргу?
«Забезпечувальні» заходи
Окрім вищевказаних заходів, компаніям (у тому числі ІТ) слід вжити інших організаційних заходів безпеки щодо співпраці з персоналом та підрядниками. Так, у розрізі належного захисту персональних даних компаніям варто укладати Угоди про конфіденційність (Non-disclosure agreement, NDA) з кожним працівником, а також проводити навчання персоналу. Таким чином, NDA буде додатковим «паском безпеки» для забезпечення захисту персональної інформації фізичних осіб.
Варто зауважити, що головною метою GDPR є захист даних фізичних осіб, однак компанії для себе виділяють інше – розміри штрафів, які були вказані вище. При цьому в окремих випадках (якщо порушення незначне) замість штрафу справа може обмежитися доганою.
Отже, з огляду на екстериторіальність, значна кількість компаній підпадає під дію GDPR. Тому необхідно встановити, які саме персональні дані резидентів ЄС компанія обробляє та чи надає такі дані на обробку третім особам. На підставі цієї інформації слід захистити такі дані шляхом вчинення перелічених вище дій. Належний захист персональних даних забезпечить уникнення «вражаючої» відповідальності, передбаченої GDPR.