29 листопада 2017, 12:04

GDPR – нові виклики для обробників персональних даних в Україні

Опубліковано в №48 (598)

Катерина Тищенко
Катерина Тищенко «Jurimex, ЮК» юрист-аналітик

EU General Data Protection Regulation (GDPR) – новий Регламент про персональні дані, який несе радикально оновлену філософію щодо їх охорони. Регламент матиме вплив на осіб, що обробляють персональні дані громадян Євросоюзу (не лише в ЄС, але й поза його межами).


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


Що ж принципово нового передбачає Регламент? Чому українській бізнес-спільноті варто взяти його до уваги? Які можуть бути наслідки ігнорування цього Регламенту?

Незважаючи на те, що Регламент вже набув чинності, кінцевою датою, з якої він почне застосовуватися до всіх суб’єктів, що підпадають під його регулювання, є 25.05.2018 р. До настання цієї дати необхідно готуватися, адже за нею слідуватимуть санкції за порушення нових вимог у сфері персональних даних.

Види відповідальності варіюються від штрафів у розмірі до 20 млн євро або 4% від щорічного світового обігу компанії (контролера або обробника) до кримінальної відповідальності (залежно від національного законодавства), а також шкоди репутації. Поки що незрозуміло, яким саме чином ці заходи відповідальності можуть бути застосовані в Україні, проте з огляду на європейський курс нашої держави, на нашу думку, відповідний спосіб буде розроблений вже найближчим часом.

Предметом регулювання GDPR є персональні дані – по суті вся інформація, що стосується особи, за якою її прямо чи опосередковано можна ідентифікувати. До прикладу, GDPR до персональних даних відносить ІР-адреси або навіть філософські й політичні погляди, не кажучи вже про традиційні для України персональні дані (сімейний стан, орієнтація тощо).

Загалом, визначення персональних даних у GDPR не надто відрізняється від попереднього законодавства про захист персональних даних. Проте відчувається «осучаснення» правового регулювання. Зокрема, окремо виділяються «спеціальні категорії персональних даних» – так звані конфіденційні (делікатні) дані, серед яких генетичні чи біометричні дані, інші унікальні ідентифікатори особи.

У ЄС норми Регламенту мають пряму дію та обов’язкові до застосування в усіх державах-членах.

На компанії-нерезиденти ЄС, у тому числі українські, вимоги розповсюджуються у таких випадках:

  • компанія має співробітників з ЄС;
  • компанія проводить маркетингові чи інші дослідження суб’єктів ринку у ЄС;
  • компанія здійснює діяльність (постачає товари / виконує роботи / надає послуги) громадянам ЄС;
  • компанія використовує інформацію громадян ЄС у своїх власних продуктах.

Найбільше нові вимоги торкнуться компаній, що мають клієнтів з ЄС або постачають товари/послуги в ЄС. Це можуть бути IT-компанії, туристичні агентства, дизайнерські фірми тощо.

GDPR розповсюджується на «контролерів» та «обробників». Перші – особи, які вирішують, як і коли збирати персональні дані. Другі – особи, які діють на виконання вказівок контролера. Контролером, наприклад, є банк, який збирає персональні дані своїх клієнтів, коли вони відкривають рахунки, тоді як обробляти ці дані (тобто зберігати, оцифровувати тощо) може інша організація – обробник.

Серед основних важливих нововведень GDPR, які торкнуться бізнесу в Україні, варто згадати про наступні:

Необхідність запровадження нової посади в компанії – Data Protection Officer

Йдеться про обов’язкове призначення відповідального за захист персональних даних працівника всіма компаніями, що мають справу зі значним обсягом персональних даних або зі «спеціальними» категоріями таких даних. Він може виконувати свої обов’язки як за трудовим договором, так і на підставі цивільно-правової угоди.

Officer повинен мати відповідний обсяг знань у галузі охорони персональних даних. Група компаній може мати одного відповідального за умови забезпечення безперешкодного доступу до діяльності кожного члена групи. Так, він може працювати в компанії або за основним місцем роботи, або за сумісництвом.

Завданням Data Protection Officer є допомога у виконанні всіх вимог законодавства у сфері охорони персональних даних (він проводить навчання серед працівників, контролює відповідність діяльності компанії певним стандартам, надає консультації з фахових питань). Також він може бути представником компанії перед органами, уповноваженими у сфері персональних даних.

Регламент встановлює, що порушення вимоги про призначення Data Protection Officer може тягнути за собою відповідальність у вигляді штрафу до 10 млн євро або 2% від річного світового обігу компанії.

Необхідність представника (представництва) в ЄС

Згідно з новими правилами, якщо ваша компанія підпадає під дію GDPR і розташована не в ЄС, необхідною є наявність офіційного представника компанії в ЄС. Представник повинен бути призначений як контактна особа з усіх питань охорони персональних даних громадян ЄС для уповноважених органів влади. Це може бути як фізична, так і юридична особа.

Серед обов’язкових вимог до представника – бути заснованим (для ЮО) чи перебувати (для ФО) в одній з тих країн, громадянами якої є особи, персональні дані яких обробляються або поведінка яких досліджується. Інших вимог немає (наприклад, що це повинні бути юристи за фахом тощо). Тобто, якщо у вас туристична фірма, потрібно укласти договір з юридичною чи фізичною особою, яка має можливість на постійній основі представляти ваші інтереси, в одній з тих країн, де збираються персональні дані. Оформляються відносини між компанією та представником шляхом укладення письмового договору.

Виняток із цього правила встановлюється у таких випадках: якщо обробка даних не є постійною; якщо персональні дані, що обробляються, не належать до «спеціальних» категорій (як вже зазначалося вище, сюди належать, зокрема, генетичні, біометричні дані), стосуються кримінальних проваджень чи обвинувачень; якщо характер даних свідчить про неможливість значного порушення прав особи у разі їх витоку (не важко припустити, що учасники ринку, які не мають наміру з тих чи інших причин виконувати цю вимогу Регламенту, спробують використовувати таке оціночне формулювання для ухилення від її виконання).

Демонстрація (доведення) відповідності вимогам GDPR

Регламент встановлює обов’язок довести відповідність діяльності компанії новим вимогам. Для кожної компанії рівень відповідності може бути різним. Все залежить від того, настільки компанія є великою, скільки осіб мають доступ до персональних даних, наскільки великий ризик витоку тощо.

Для того, щоб довести відповідність, обробники повинні зберігати всю інформацію, що стосується діяльності з персональними даними (про контролера, операції з передачі даних тощо). При цьому контролер повинен запровадити відповідну внутрішню політику, що на практиці означає мінімізацію обробки персональних даних, псевдонімізацію тощо, та зберігати інформацію про співпрацю з обробником. Як для обробників, так і для контролерів встановлюється вимога щодо необхідності забезпечення повної секретності та конфіденційності персональних даних.

Наразі немає чіткого механізму підтвердження відповідності вимогам GDPR (наприклад, шляхом отримання сертифіката відповідного рівня), проте згідно з Регламентом він буде створений в майбутньому. Передбачено, що проходження цієї процедури відбуватиметься добровільно.

Підвищення рівня безпеки персональних даних

Регламент не встановлює чітких критеріїв, за якими оцінюватиметься рівень відповідності вимогам безпеки. Натомість він оперує оціночними категоріями, з яких випливає, що контролери та обробники повинні забезпечувати найвищий можливий для них рівень захисту інформації, в тому числі впроваджувати належні технічні та організаційні заходи для забезпечення високого рівня безпеки інформації.

Заходи безпеки можуть бути досить різноманітними. Це залежить від того, які саме дані обробляються, від їхньої кількості, можливості витоку тощо. Як приклад заходів, які можуть застосовуватися, Регламент наводить псевдонімізацію та шифрування. Загальними заходами є підписання договорів про обробку персональних даних чи внесення у договори вимоги про видалення персональних даних, які стали відомі з договору, одразу після його виконання.

Запровадження контролю за передачею персональних даних за межі Європейського економічного простору

Згідно із загальним правилом, персональні дані з ЄЕП можуть передаватися у треті країни лише за наявності позитивного висновку Єврокомісії щодо відповідності країни високим стандартам захисту персональних даних. Висновок оформлюється у вигляді акту за результатами всебічної перевірки юрисдикції.

Якщо такого висновку немає, діє презумпція того, що компанії виконають вимоги Регламенту та зможуть забезпечити належний рівень охорони даних. Це повинно проявлятися у використанні належних забезпечень. Найприйнятнішим для України буде використання стандартних умов договору, затверджених Єврокомісією.

Обмеження можливості використання хмарних сховищ для розміщення персональних даних

З норм Регламенту випливає, що розміщення персональних даних на хмарних сховищах (cloud storage) вважається їх передачею третім особам. Варто остерігатися сховищ з низьким рівнем захисту, а також обмежити розміщення на них персональних даних. При цьому, якщо передача даних за допомогою хмарного сховища відбувається за межі ЄС без належних забезпечень (псевдонімізації, шифрування, засекречування у будь-який інший спосіб), такі дії є порушенням норм законодавства ЄС.

Загальне підвищення рівня забезпечення приватності

Регламент передбачає необхідність посилення приватності. Окрім стандартного найвищого рівня приватності за замовчуванням (наприклад, у соціальних мережах), у перспективі може бути необхідним збирання згоди суб’єкта на обробку кожного окремого пункту інформації, який він вводить.

Цей висновок випливає з норм Регламенту, де вказано, що фізичні особи повинні знати про ризики, правила, забезпечення, власні права у зв’язку з обробкою персональних даних. Зокрема, особа повинна знати мету обробки персональних даних вже на етапі її збору. Якщо збір даних відбувається в результаті волевиявлення особи, контролер повинен продемонструвати, що вона тут і зараз надає свої персональні дані. Хоча в Україні наразі діють подібні норми, правознавці з ЄС вказують, що нинішнього рівня обізнаності користувачів не достатньо, а соціальні мережі разом із прийняттям Регламенту зміняться до непізнаваності.

У цьому аспекті є цікавими положення Регламенту, в якому вказано, що держави-члени ЄС повинні забезпечити приватність на робочому місці. Зокрема, якщо роботодавець контролює працівників шляхом встановлення камер, працівник повинен про це знати та надати згоду на обробку персональних даних. Таке правило також застосовуватиметься в Україні, якщо працівник є громадянином ЄС.

Вдосконалена процедура повідомлення про витік даних

Якщо стався витік персональних даних, обробник повинен негайно повідомити про це контролера, щоб спільними зусиллями зменшити можливі негативні наслідки. Якщо витік інформації є значним, обробник повинен протягом 72 годин з його моменту повідомити особу, якій належать персональні дані, та уповноважений орган влади. Особа, якій належать дані, не повідомляється, лише якщо контролер доклав достатніх зусиль для унеможливлення порушення її прав, має належну систему захисту даних, а також якщо об’єктивно повідомлення є невиправданим.

Зміцнення контролю у відносинах між контролерами та обробниками

Насамперед, мова йде про самоконтроль, який є основою для діяльності з персональними даними. Так, обробники інформації можуть діяти виключно в межах, встановлених контролером. Водночас контролери зобов’язані впевнитися в тому, що обробники здатні беззаперечно гарантувати наявність технічних та організаційних засобів, достатніх для безпеки персональних даних.

Всі дії, які уповноважений здійснювати обробник, у повному обсязі повинні бути прописані у договорі з контролером. Крім того, має бути визначено строк договору, природу і мету обробки, вид даних, що обробляються, права та обов’язки контролера. Також повинні бути визначені інші умови, спрямовані на співпрацю між контролером та обробником (наприклад, щодо обов’язку повідомлення контролера, якщо обробник вважає його вказівки неналежними з позиції захисту персональних даних).

Обмеження можливості залучення субобробників

Субобробниками є особи, яким обробники можуть передати частину своїх зобов’язань за контрактом з контролером. Регламент встановлює, що для реалізації такої передачі необхідний письмовий дозвіл контролера. Передаючи частину зобов’язань, обробник обов’язково повинен забезпечити той рівень безпеки, що був передбачений у контракті з контролером.

З моменту набуття Регламентом чинності кожен громадянин ЄС матиме розширений перелік прав у сфері захисту персональних даних, а обов’язком контролерів та обробників буде забезпечення дотримання таких прав. Це означає, що з-поміж загальних вимог Регламенту необхідно звернути увагу на механізми забезпечення прав.

Cеред основних прав, які були вдосконалені Регламентом, варто виділити наступні:

  • Право бути поінформованим. Якщо інформація збирається безпосередньо від індивіда, необхідним є його оповіщення про це та отримання однозначної згоди. Згода повинна бути відкритою, явно вираженою та незавуальованою (наприклад, на практиці може виражатися як проставляння галочки біля кожного пункту персональних даних, що вводяться у мобільному додатку виклику таксі). Згода не може бути мовчазною та повинна бути відділена від інших умов договору (в тому числі приєднання як terms and conditions в соціальних мережах);
  • Право на видалення (право бути забутим). За запитом суб’єкта, вся інформація про нього повинна бути видалена. Цього правила можна не дотримуватися, якщо інформація необхідна для реалізації права на інформацію, виконання норм чинного законодавства, забезпечення громадського здоров’я, наукової, історичної чи статистичної мети, вирішення правових спорів. Компанії, які можуть розміщувати інформацію користувачів онлайн, повинні за запитом особи видаляти не лише інформацію, а й посилання на неї чи будь-які можливі копії;
  • Право на заборону обробки. Компанія зобов’язана відмовитися від обробки персональних даних на вимогу суб’єкта. Методами, за допомогою яких компанія може це здійснити, є унеможливлення доступу третіх осіб до даних, видалення їх з веб-сайту тощо.

Для того, щоб відповідати вимогам GDPR, компанія повинна вдосконалити договори, розроблені всередині компанії (трудові чи цивільно-правові) та з третіми особами чи партнерами, враховуючи законодавство ЄС.

Компанія може проводити внутрішні аудити персональних даних, призначити інспектора з захисту персональних даних, який слідкуватиме за відповідністю діяльності компанії вимогам GDPR, провести навчання співробітників. Відтепер потрібен особливо ретельний моніторинг за персональними даними, що зберігаються. Важливо залишати у своєму розпорядженні лише мінімум даних, необхідних у роботі компанії. Також варто заздалегідь подумати про призначення представника в Євросоюзі.

Однак найголовніше – потрібно мати належні технічні та організаційні засоби, для того щоб знати, які дані збираються, їхній обсяг, строк зберігання тощо, а також мати можливість відреагувати на будь-який витік даних від випадкового відправлення контактних даних на неправильний e-mail до хакерської атаки та викрадення даних користувачів.

0
0

Додати коментар

Відмінити Опублікувати