General Data Protection Regulation

На перший погляд незрозуміло – яке відношення має GDPR до України? Але важливою особливістю регламенту є принцип екстериторіальної дії його норм (ст.3 GDPR). Тому компаніям, які обробляють персональні дані резидентів ЄС, незалежно від місцезнаходження таких компаній, слід привернути особливу увагу до регламенту, аби уникнути негативних наслідків його порушення.

GDPR замінила рамкову Директиву 95/46/ЕС, яка не мала імперативного характеру та початково була спрямована на гармонізацію фундаментальних прав і свобод людини у сфері захисту персональних даних, а також на забезпечення вільного обміну даними між резидентами ЄС. Але стрімкий розвиток інформаційних технології, глобалізація та перехід бізнесу в цифровий простір ставлять нові виклики перед засобами захисту персональних даних. Ці чинники і стали першочерговою причиною перегляду регуляторних вимог до обробки і захисту персональних даних, та, як наслідок, європейські парламентарі розробили GDPR.

Яку мету переслідує регламент?

Головна мета GDPR – гарантія захисту персональних даних громадян ЄС без прив’язки до того, на території якої держави вони зберігаються. Акт спрямований на підсилення та уніфікацію захисту персональних даних. Тому основною вимога до компаній, які працюють з такими даними, – надійно захищати їх конфіденційність. GDPR не встановлює прив’язки до конкретних прийомів та методів захисту персональних даних, а залишає це право, і, в той же час, обов’язок за компаніями.

Дія принципу екстериторіальності. Як зазначалося раніше, регламент поширює свою дію не тільки на компанії, що знаходяться на території ЄС, а й на ті, що знаходяться поза межами Союзу. В яких випадках це відбувається:

1) компанія є оператором персональних даних або обробляє персональні дані та знаходиться на території ЄС;

2) компанія розташована за межами ЄС, але обробляє персональні дані громадян ЄС. Це також стосується випадків, коли компанія займається продажом товарів або послуг та здійснює моніторинг поведінки користувачів, що перебувають на території ЄС.

Виникає питання щодо другого пункту, як дізнатися, що компанія пропонує товари або послуги громадянам ЄС? GDPR встановив, коли: 1) використовується мова або валюта, а також національні домени однієї чи декількох держав-членів ЄС та надається допомога особам, які проживають в ЄС, щодо ознайомлення з офертами компанії; 2) компанією згадуються клієнти чи користувачі, що перебувають на території ЄС; 3) цілеспрямовано пропонуються товари або послуги громадянам ЄС.

Першочергові заходи, яких слід вжити компаніям.

Дієвим кроком для адаптації до нових вимог Європарламенту є проведення загального аудиту щодо персональних даних, з якими компанія прямо чи опосередковано пов’язана. В рамках аудиту слід встановити: 1) які персональні дані збираються, зберігаються та обробляються; 2) яким суб’єктам такі дані передаються, в тому числі хто з контрагентів має доступ до персональних даних; 3) який існує рівень ризику та які джерела витоку персональних даних; 4) хто є відповідальним в компанії за захист та обробку персональних даних та які саме заходи застосовуються такою особою. Після загального аудиту потрібно перевірити, чи відповідає вимогам GDPR політика приватності (Privacy Policy), яку компанія пропонує своїм клієнтам. У ній слід зазначити: перелік даних, що збираються, мета обробки, права клієнтів щодо своїх даних, порядок надання відповідей на скарги.

Нові суб’єкти в сфері захисту і обробки персональних даних.

Регламент вводить нові поняття до суб’єктного складу в сфері захисту і обробки персональних даних: «Controller», «Processor», «Data Protection Officer». Щоб чітко розмежувати поняття «контролер» та «процесор», слід відштовхуватися від мети обробки персональних даних. Якщо компанія встановлює мету і засоби обробки персональних даних, то це контролер (володілець даних). Якщо компанія обробляє дані за дорученням контролера, то вона є процесором (розпорядник даних). Як правило, компанії з ЄС виступають контролерами і наділяють українські чи інші компанії повноваженнями процесора. В той же час можливий варіант, коли українська компанія є контролером, відповідно і обов’язків на таку компанію покладається більше. Що робити, якщо компанія – процесор? В даному випадку можливі кілька варіантів:

1) укласти стандартні договори про обробку персональних даних (Data Protection Acts), в яких встановити чіткі вимоги стосовно технічних та організаційних заходів, які слід вчинити «процесору»;

2) провести сертифікацію процесора, яка підтвердить відповідність/невідповідність суб’єкта вимогам які ставляться до процесора;

3) розробити корпоративні правила, що затверджуються контролюючим органом компанії з ЄС.

Дійсно, GDPR встановлює вимогу призначати відповідальних за обробку персональних даних (Data Protection Officer). Але, звичайно, не всі компанії зобов’язані мати такого суб’єкта в штаті. Згідно з GDPR, офіцер має призначатися лише тоді, коли: 1) обробку здійснює орган державної влади; 2) компанія, яка здійснює регулярний та систематичний моніторинг фізичних осіб, використовуючи значні масиви персональних даних; 3) компанія, яка здійснює обробку «sensitive data», таких як дані про стан здоров’я, расове чи етнічне походження, біометричні дані, відомості про судимість тощо. В будь-якому випадку, компанія може добровільно призначити співробітника з захисту персональних даних для управління процесами обробки даних користувачів і контролю за дотриманням вимог GDPR. В такому випадку компанія публікує інформацію про такого співробітника та повідомляє про це національного регулятора з захисту персональних даних відповідної держави-члена ЄС.

Права суб’єкта даних.

Регламент значно розширив права резидентів ЄС в сфері контролю за їхніми персональними даними. Серед нововведень, зокрема: право запитувати інформацію про місце і мету обробки даних, категорію даних, що обробляються, третіх осіб  яким надаються персональні дані, період обробки персональних даних, джерела отримання персональних даних, а також право на підтвердження факту обробки персональних даних особи.

У GDPR закріплено за субєктами даних «право бути забутим» (right to be forgotten) або «право на забуття» (right to be erasure). Це право дублюється з Директиви 95/46/ЕС. Суб’єкти даних мають право на видалення будь-якої інформації про персональні дані особи (в тому числі, будь-яка інформація з результатів пошуку, посилання, повідомлення тощо). Таке право суб’єктів персональних даних кореспондується обов’язком контролера здійснити видалення подібної інформації. Будь-яка компанія, що обробляє персональні дані, зобов’язана видаляти такі дані за запитом суб’єкта таких даних, якщо це не суперечить інтересам суспільства або іншим фундаментальним правам людини.

Однією з новацій, введених GDPR, є право на переносимість даних (right to data portability). Це право полягає в тому, що компанії зобов’язані надавати на безоплатній основі електронну копію персональних даних іншій компанії на вимогу самого суб’єкта персональних даних. Наприклад, суб’єкт даних користується сервісом «carsharing» Компанії № 1 і через деякий час суб’єкт даних виявив намір припинити користуватися послугами компанії № 1 і почав користуватися послугами «carsharing» Компанії № 2. В такому випадку право на переносимість дозволяє отримати персональні дані від Компанії №1 та передати їх іншому сервісу, наприклад, Компанії №2.

Порядок отримання згоди на використання персональних даних.

GDPR встановлює вимоги щодо форми отримання згоди на обробку даних. Згода особи на обробку персональних даних повинна мати вираження у формі ствердження або в формі чітких активних дій користувача. Згода на обробку буде недійсною , якщо у користувача не було вибору або не було можливості відкликати свою згоду без завдання шкоди собі самому. Згода також не може виражатися у вигляді мовчазної дії, так званих, конклюдентних дій. Якщо особа виявила намір відкликати згоду на обробку персональних даних, то в такому випадку інформація про процедуру відкликання має бути розміщена таким чином, щоб користувач зміг її знайти без зайвих зусиль.

Повідомлення про порушення GDPR. У випадку виявлення порушень Регламенту, компанії зобов’язані повідомити контролюючі органи про будь-які порушення, пов’язані з захистом і обробкою персональних даних протягом 72 годин після виявлення подібного порушення. Загальноєвропейським контролюючим органом є Європейська рада з захисту даних (European Data Protection Board). Також окремо на рівні держав-членів ЄС діють регулюючі органи, які виступають національними регуляторами в сфері захисту персональних даних.

Які штрафні санкції передбачає GDPR за її порушення?

За «незначні» порушення вимог GDPR штраф може складати до 10 мільйонів євро або 2% від річного світового обороту (в залежності від того, яка сума є більшою). За більш серйозні порушення (наприклад, за недотримання принципів захисту даних) передбачений більш високий розмір штрафу – до 20 мільйонів євро або 4% від річного світового обороту (також в залежності від того, яка сума є більшою). Штрафні санкції будуть застосовуватися по відношенню до юридичних осіб, які зареєстровані у відповідних державах-членах ЄС. Якщо компанія-порушник не має офіційного представництва на території ЄС, то штрафні санкції можуть бути застосовані по відношенню до компанії, яка розташована за межами ЄС.

GDPR – це прогресивний нормативний документ, який суттєво підвищить рівень захисту персональних даних як в ЄС, так і за його межами. Регламент поновлює довіру користувача, що дозволяє бізнесу максимально швидко використати можливості на єдиному європейському ринку товарів і послуг, зокрема, в сфері інформаційних технологій. Більше того, важливим є  екстериторіальність дії регламенту. Це дозволяє застосувати норми GDPR на практиці щодо великої кількості суб’єктів, починаючи від суб’єктів даних, закінчуючи компаніями-порушниками правил захисту і обробки персональних даних. GDPR дозволить об’єднати безмежну кількість правил, які раніше регулювали питання захисту і обробки персональних даних в один уніфікований акт.

Стаття опублікована у виданні "Закон і Бізнес"

Автор публікації: Валентин Гвоздій

Валентин Гвоздій

Заступник Голови НААУ, РАУ