Одного робочого ранку на електронну пошту прийшов зовсім незвичний запит від клієнта. З листа було видно, що клієнт стурбований і розгублений: «Лідіє, добрий день! Наш клієнт Н прислав нам договір на 26 сторінок, називається «Data Processing Agreement». Каже, що потрібно його доповнити з нашого боку і підписати згідно з GDPR. Ми такого раніше не підписували. Що це таке взагалі? Можете допомогти? Просимо розібратися і зробити нам цю GDPR».
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Буду чесною, ми не дуже любимо розбиратися з новими явищами, доки не звернеться клієнт. Ми щось і десь чули, тому можемо завжди підтримати розмову на будь-яку тему кількома реченнями лише «на загальних знаннях». Однак якщо клієнт підтверджує проект, потрібно поринути в зовсім нову, мало кому відому, тему. У мене це відбулося таким чином.
Що таке GDPR? Чому всі у світі так переполошилися?
Ми постійно працюємо із захистом даних в ЄС, тому я мала певне уявлення про чинні правила захисту персональних даних в ЄС. Проте розуміння, що таке це таємниче GDPR, про яке навіть написав the Economist у своєму альманасі «Світ у 2018», було геть туманним. Буду з вами відвертою, я раніше плутала послідовність літер в абревіатурі GDPR. Будьте тепер і ви відвертими та зізнайтеся, що не помітили помилку в назві статі.
Подолавши шалений прокрастинаційний опір, ми з колегами почали глибоке занурення в нові механізми захисту даних, описані на 88 сторінках документа GDPR та ще на сотні-двох різних роз’яснень, гайдлайнів, кращих практик та інших кіп електронного тексту.
Капітан очевидність
Європейський парламент прийняв General Data Protection Regulation (GDPR) 26.04.2016 р. Як видно з розшифровки абревіатури, документ є «регламентом», тобто обов'язковим для імплементації та застосування в законодавство всіх країн-членів ЄС у незмінному вигляді.
До прийняття цього регламенту правові межі для захисту персональних даних у Європі встановлювала директива – документ, який не був обов'язковим для всіх, а просто встановлював певні межі та орієнтири, які держави-члени мали втілити у своєму законодавстві тими методами й актами, якими вони самі вважали за потрібне це зробити.
«Персональними даними» традиційно вважаються всі дані, які дають змогу ідентифікувати людину за ними чи у їх поєднанні з іншою інформацією. Тобто маючи лише ім’я, ідентифікувати конкретну людину неможливо. А от маючи прізвище, дату народження та місце проживання, найімовірніше, ви зможете знайти людину дуже легко.
До чого тут Україна?
Ми не в ЄС, тому хитромудрі регламенти та директиви начебто нас прямо не стосуються. Непряме відношення точно мають, адже деякі правові акти скопійовані з відповідних європейських у межах гармонізації українського та європейського законодавства. Однак тут інша історія. Всіх з-поза меж ЄС має насторожувати ст. 3 про екстериторіальну дію регламенту. Правила GDPR поширюються на компанії, зареєстровані поза ЄС.
Українські компанії часто мають справу з персональними даними клієнтів з Європи. Наприклад, коли розробляється SaaS-платформа для організації роботи ресторанів чи ветеринарних клінік, розробники отримують можливість доступу до даних осіб, які реєструються на платформі (в наших прикладах – офіціантів чи лікарів та власників тварин). Згідно з GDPR, отримання доступу до даних, навіть без збереження інформації на комп’ютері, вважається «обробкою» персональних даних, на яку поширюються правила GDPR.
Контролер і процесор – що за техтермінологія?
GDPR, як і чинне законодавство, розділяє поняття «процесора» і «контролера» даних. Для розуміння цих термінів є ще один набагато зрозуміліший – «мета обробки даних». Якщо компанія самостійно визначає мету і способи обробки, то така компанія є «контролером» даних, а отже, законодавство накладає на неї більше обов’язків.
Уявімо, наприклад, що каршерінгова безкоштовна платформа ДирДирДор, розроблена в Україні українською компанією, набула б шаленої популярності як в Україні, так і в Європі. При цьому така платформа надавала б європейцям можливість на ній реєструватися.
У такому випадку GDPR прямо поширювалася б на ДирДирДор. До того ж українська компанія ДирДирДор буде контролером даних. Для того щоб зберігати та обробляти всі дані, а також щоб платформа функціонувала без сюрпризів, ДирДирДор використовує послуги й сервери компанії Amazon Web Services, Inc. Остання хоча і не є ініціатором збору даних та не встановлює мету їх обробки, однак все ж таки має до них доступ, тому вважається «процесором» даних. На процесори GDPR також накладає свої обов’язки та обмеження.
Якщо українська компанія є контролером і на неї поширюється GDPR, що тоді?
Тоді настає найстрашніше. Жартую. Все не так страшно. Насамперед, компанії необхідно зробити загальний аудит того, які персональні дані збираються, до яких персональних даних компанія має доступ або зберігає на своїх комп’ютерах, кому вони можуть передаватися (хто з контрагентів компанії має доступ до даних), а також що саме компанія робить з персональними даними та які заходи захисту даних застосовуються. Тут потрібно зважати на багато нюансів, яких вимагає GDPR. Не дарма ж там 88 сторінок!
Наприклад, не можна збирати інформації більше, ніж це зумовлено метою її збору та обробки. Якщо компанія займається розробкою застосунку з темами для клавіатури під андроїд, то під час його встановлення на телефон навряд чи потрібно просити користувача надати згоду на доступ до всіх персональних даних смартфону користувача. Не варто повторювати сумний досвід застосунку Type.AI, який у грудні 2017 р. допустив витік у вільний доступ понад 6 млн записів із телефонних книг своїх користувачів, а також загалом більше ніж 373 млн персональних записів, отриманих з телефонів, в тому числі дані, які прив’язувалися до Google-акаунтів. Фууух, що це сталося до 25.05.2018 р.
Після загального аудиту потрібно перевірити, чи відповідає вимогам GDPR політика приватності, яку пропонує компанія своїм клієнтам. У ній повинні бути прописані перелік даних, що збираються, мета обробки, права клієнтів щодо своїх даних, порядок надання відповідей на скарги.
Окрім того, вимогою GDPR є простота викладу політики, а наперед відмічений галочкою тікбокс не пройде. Для безпеки компанії необхідно якось показати, що користувач насправді ознайомився з правилами обробки даних. Тепер найбільшій брехні світу про те, що ти прочитав правила користування та політику приватності, має настати кінець. До речі, GDPR, як і чинне законодавство ЄС, не вимагає, щоб веб-сайт розміщував 100-сторінкові документи під назвою Privacy Policy. Згідно з GDPR, це має бути чітка та проста Privacy Notice. Тобто навіть кращим і зручнішим є варіант, коли користувачеві показується якесь вигулькуюче вікно з короткою інформацією та позначкою згоди.
Отримання згоди на обробку даних через Політику приватності чи Privacy notice – першочергове завдання контролера. Якщо таких немає, то справи кепські. Однак і правильно складена політика приватності – це ще далеко не все. GDPR впроваджує принцип захисту даних за замовчуванням (data protection by design and by default). Він означає впровадження технічних та організаційних заходів захисту персональних даних контролерами та процесорами ще до того, як дані потрапляють до них. Тобто компанії мають впроваджувати ці заходи й бути в повній готовності до належної обробки згідно з GDPR. Технічні заходи – це, передусім, шифрування, використання методів шифрування даних та їх анонімізації, фізичний та онлайн-контроль доступу до даних (щоб не сталася така ситуація, як з лондонським Deloitte у вересні 2017 р., коли через хакерську атаку та відсутність двофакторної авторизації для доступу стався витік даних про клієнтів Deloitte).
Організаційні заходи включають роботу з персоналом та підрядниками, які мають доступ до даних. Насамперед, це підписання NDA з кожним працівником, впровадження політики обробки даних в межах компанії та навчання персоналу. Останнього, мабуть, до недавнього часу не дуже дотримувався аеропорт Хітроу, адже у жовтні 2017 р. жодним чином не захищену флешку з картами, відео та документами з детальним маршрутом Королеви у Хітроу та заходами захисту, які вживаються, коли її величність відлітає кудись з візитом, з ідентифікаторами, які використовувалися для доступу поліцейських під прикриттям до обмежених територій аеропорту, з розкладом патрулювань, картами з позначками розташування камер відеонагляду та картами тунелів на дорозі знайшов випадковий перехожий і дуже здивувався, коли відкрив її на бібліотечному комп’ютері. Найімовірнішою, за словами представників Хітроу та експертів, була версія про необережність працівників аеропорту. Варто згадати ще один серйозний випадок, коли у 2015 р. через необачність одного з працівників лондонської клініки 780 ВІЛ-позитивним пацієнтам надіслали ньюзлеттер з відкритим списком отримувачів. За свідченням пацієнтів, вони знаходили у тому списку знайомих людей.
Якщо українська компанія є процесором даних, переданих їй з Європи
Зазвичай в українському ІТ-аутсорсі так і відбувається: українська компанія отримує замовлення на проект, а також доступ до персональних даних, які були вже зібрані клієнтом. Європейська компанія є контролером даних, українська компанія стає процесором даних.
Згідно з чинним законодавством ЄС, а також відповідно до GDPR, передача даних за межі Європейської економічної зони можлива лише за умови, що держава вважається такою, що забезпечує адекватний (належний) рівень захисту персональних даних. Список таких держав приймає Європейська комісія. Наразі рішення Європейської комісії про те, що із захистом персональних даних все добре, прийняте щодо Андорри, Аргентини, Канади, Швейцарії, Фарерських островів, Гернсі, Ізраїлю, Острову Мен, Нової Зеландії та Уругваю.
Уважний читач (а також той, хто інкорпорував компанію в США) помітить, що у списку немає США та України. Щодо США, тут на допомогу компаніям може прийти участь у Privacy Shield (або можна скористатися стандартним механізмом договорів, як у випадку, якби компанія була зареєстрована в Україні).
Що ж робити з передачею, якщо процесор в Україні. Вірогідно, що клієнт з ЄС сам підкаже (а точніше, накаже) процесорові з України, що робити, оскільки саме клієнт з ЄС буде першим відповідати за належну обробку даних своїм процесором. Найбільш практичним механізмом такого забезпечення є підписання стандартних договорів на обробку даних (DPA), які міститимуть вимоги щодо технічних та організаційних заходів, які буде змушений вжити український процесор. Існують інші способи забезпечення передачі. Наприклад, сертифікація процесора або розробка ним певних корпоративних правил, які мають бути затверджені контролюючими органами в ЄС. Однак процедура сертифікації за GDPR ще не розроблена, а інші варіанти складно реалізувати на практиці. Отже, підписання договорів та їх виконання – практичний варіант для українського процесора.
Цікавим питанням є залучення українською компанією підрядників (говорячи мовою GDPR, незалежних суб-процесорів). У ст. 28 GDPR зазначено, що для залучення таких суб-процесорів потрібен письмовий дозвіл контролера. Тобто за загальним правилом українська ІТ-компанія, що надає послуги розробки або техпідтримки програмного забезпечення та має доступ до персональних даних, може залучати ФОПів для надання послуг лише у разі згоди свого клієнта з ЄС. Крім того, з кожним потрібно підписувати DPA, який відображатиме правила DPA з клієнтом.
Чи потрібен компанії інспектор із захисту даних?
Зараз в інтернеті літають «страшилки» про те, що компанії мають призначати окремих осіб, відповідальних за обробку персональних даних, оскільки це вимога GDPR. Однак насправді все не так страшно. Згідно з GDPR, офіцер має призначатися лише тоді, коли обробку здійснює орган державної влади; компанія, яка здійснює регулярний та систематичний моніторинг фізичних осіб, використовуючи значні масиви персональних даних; компанія, яка здійснює обробку «чутливих» даних, таких як дані про стан здоров’я чи расове походження, а також дані про судимість особи.
Тим, хто вже заспокоївся від цієї новини, не побачивши себе в переліку, мушу розповісти про іншу «страшилку»: коли на українську компанію поширюється дія GDPR згідно зі ст. 3 (2), а компанія виступає контролером даних, тобто пропонує свої послуги фізичним особам в ЄС та здійснює обробку даних своїх клієнтів, вона має призначити свого представника в ЄС. На практиці така компанія має підписати письмовий договір з іншою компанією в ЄС, яка буде основним контактом у випадку, якщо контролюючим органам ЄС буде потрібно зв’язатися з контролером даних у зв’язку з питаннями відповідності діяльності вимогам GDPR.
Якщо дані передаються НЕ в Україну
Якщо компанія зареєстрована не в Україні (наприклад, у США), то необхідність підписання стандартних договорів на передачу даних від клієнтів нікуди не зникає, адже США (як і більшість країн, де інкорпорований ІТ-бізнес) не міститься у списку, про який написано вище. А як тоді бути з Privacy Shield, спитаєте ви.
А я відповім, що Privacy Shield насправді є своєрідним umbrella agreement. Тобто передання даних компаніям, які зареєструвалися як учасники Privacy Shield (так, для цього потрібно окремо реєструватися та платити як за реєстрацію, так і за підтримку свого статусу), вважалося належним переданням даних з ЄС. При цьому за умови реєстрації у Privacy Shield компанія зобов’язана укладати договори з підрядниками та клієнтами, враховуючи умови Privacy Shield. Наразі проблема полягає в тому, що Privacy Shield був прийнятий до того, як прийняли GDPR, тому існує велика ймовірність, що вимоги до американських компаній, які є його учасниками, будуть суворішими. Однак з репутаційного боку участь у цьому «щиті» є важливою для компаній з ЄС, хоча й передбачає витрати на реєстрацію та підзвітність Департаменту торгівлі та федеральній торговій комісії США.
Нещодавній скандал навколо продажу в мережі даних клієнтів «Нової пошти» показує, що тема захисту персональних даних в Україні на фоні набуття чинності GDPR набуватиме популярності. Хороша для нас новина – українським ІТ-компаніям, які орієнтуються на ринок ЄС і хоча б якось мають справу з персональними даними, знадобиться юрист. Не колись в майбутньому, а вже зараз потрібно провести GDPR-check. Штрафи для не GDPR-комплаєнт компаній набагато вищі, ніж в Україні. Однак я не буду нагнітати ситуацію штрафами, порядок застосування яких ще дуже туманний навіть в ЄС. Завершу на мажорній ноті: ситуація з GDPR надає можливість розширення компетенції, завдяки чому, принаймні перші півроку після набуття чинності GDPR, можна буде з упевненістю і правильно козиряти цією абревіатурою не лише тому, що вона у всіх на слуху, але й тому, що у вас є реальна експертиза забезпечити GDPR-комплаєнс клієнта.