Кочетков e1603892139334Кочетков Владимир

Старший юрист практики ІТ-права

09.12.2020

 

Что такое GDPR?

Можно смело утверждать, что проблема защиты персональных данных в глобальных сетях существовала еще до их изобретения — в работах философов XVII – XIX столетий, футурологов середины XX века и фантастов 1980-х.

С распространением компьютерных технологий уже реальные злоупотребления при использовании личной информации стали причиной шантажа, мошенничества и кибератак на базе социального инжиниринга. Европейский регулятор оперативно отреагировал на онлайн-вольницу и принял Директиву Защиты Данных 1995 года, призванную регламентировать безопасность и конфиденциальность хранения и обработки персональных данных. Документ был своевременным и прогрессивным… но не работал, так как не предусматривал механизма своего обеспечения. Индустрия восприняла Директиву 1995 года скорее как рекомендацию, чем как обязательство. Замена этого документа назревала 20 лет.

Регламент Европейского Парламента и Совета Европейского Союза 2016/679, сейчас более известный как GDPR, или General Data Protection Regulation, заменивший собой неэффективную Директиву Защиты Данных, вступил в силу 25 мая 2018 года. Крупный европейский бизнес знал о новом Регламенте еще за два года и подготовился к введению новых требований с тевтонской обстоятельностью. Но для некоторых участников рынка Регламент стал неожиданностью, и в первый же день его действия начались преследования нарушителей.

Ответственность

Первыми на себе «обкатали» новую нормативную базу австрийские владельцы внешних камер наблюдения, объективы которых зафиксировали прохожих на тротуарах. Также под горячую руку попал венгерский автолюбитель за установку видеорегистратора в своей машине. При этом до начала действия Регламента полиция вела дело по регистратору уже полторы недели, но не могла предъявить претензию. А получив обвинение, нарушитель был вынужден еще четыре месяца участвовать в судебном процессе, чтобы уменьшить свою ответственность до штрафа в 300 евро.

Государственные организации и органы власти тоже привлекаются к ответственности за нарушение GDPR. Важным прецедентом стало первое решение бельгийского органа по защите персональных данных, когда глава небольшой деревни был оштрафован на 2000 евро за то, что отправил агитационные материалы на электронные адреса, взятые из заявлений граждан о разрешении на строительство — очевидно, без разрешения получателей.

Формально максимальный размер штрафа, установленный Европарламентом, составляет 20 млн евро или до 4% общего годового оборота нарушителя, если это большая компания. На практике же штраф варьируется от 28 евро (решение от 16 июля 2020 года касательно Google Ireland Ltd.) до 50 млн евро (решение от 21 января 2019 года касательно Google Inc.) и зависит от наличия умысла, тяжести нарушения, сотрудничества с контролирующими органами и количества пострадавших граждан ЕС.

Depositphotos 192066534 l 2015 1

Применение GDPR украинскими предприятиями

Казалось бы, европейцы придумали сами для себя сердитый, почти религиозный ритуал, прославляющий персональные данные. Какое же отношение он имеет к украинским проектам? На самом деле — непосредственное. Уже лет 15 как моветон утверждать, что с появлением информационных технологий множество сфер деятельности стали транснациональными и безграничными: онлайн-услуги может предлагать любое лицо из любой юрисдикции, часто из нерегулируемого офшора. «Дикий Запад» мирового рынка потребовал эффективного регулирования, поэтому основные юрисдикции и международные организации сейчас глобально пересматривают все институты права в сторону применения права клиента, а не поставщика услуги. Сегодня в основных юрисдикциях нормы, закрепляющие непрямое налогообложение (НДС и налог с продаж) и фундаментальные права на неприкосновенность личной жизни (GDPR, CCPA, российский закон «О персональных данных» и т.п.), имеют экстерриториальное применение. Они привязываются не к месту, где находится поставщик услуги или товара (местонахождению компании), а к месту потребления услуг или товаров (резидентности конечного пользователя).

Следовательно, украинский бизнес с клиентами в различных юрисдикциях должен соответствовать не только закону Украины «О защите персональных данных», но и нормативной базе по защите персональных данных, которая действует в юрисдикции клиентов. Соответствие GDPR можно считать «золотым стандартом» обеспечения сохранности персональных данных, и в юрисдикциях за пределами ЕС его стоит лишь дополнять «местным колоритом» вроде регистрации у регулятора.

Итак, любая украинская компания перед сбором и обработкой любых персональных данных должна:

  1. Определить перечень собираемых и обрабатываемых персональных данных.
  2. Определить основные юрисдикции клиентов на основе локализации продуктов, статистики или анализа определенного рынка.
  3. Оценить, представляет ли ее деятельность особый риск для прав и свобод субъектов персональных данных (в соответствии с инструкциями Омбудсмена Украины).
  4. Определить характер обработки персональных данных.
  5. Указать перечень сотрудников, имеющих доступ к персональным данным.
  6. Определить список третьих лиц (провайдеры услуг, технические исполнители), которые имеют доступ к каким-либо данным.

Затем, если проект выходит на европейский рынок, потребуется:

  1. Определить целевые рынки проекта.
  2. Подсчитать общее количество сотрудников.
  3. Оценить, является ли обработка данных основной деятельностью компании (к этой группе принадлежат посреднические услуги, базы данных физических лиц, социальные сети).
  4. Определить, относятся ли персональные данные к особой категории — «чувствительным» (sensitive) данным — согласно Статье 4 GDPR.

Уже исходя из результатов внутренней проверки и оценки своей работы по упомянутым критериям, компания обязана внедрить адекватный правовой и технический режим обработки персональных данных и уведомить контролирующие органы о своей деятельности, когда закон это прямо предписывает. Как правило, проектам со штатом до 250 сотрудников лучше доверить оценку бизнеса и разработку его политик специализированным юридическим компаниям, так как у их собственных юристов возникает конфликт интересов между обеспечением простоты деятельности компании, избавлением руководства от забот и соблюдением законодательных требований. Depositphotos 80147336 l 2015cop

Примеры законной работы с персональными данными

Любая обработка персональных данных (сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование, распространение, обезличивание и уничтожение) возможна исключительно в соответствии с применимым законом, т.е. при наличии согласия на обработку персональных данных, взятого перед их обработкой, кроме случаев, когда от этого явно зависят жизнь и здоровье.

Эта обработка происходит даже в таких тривиальных случаях, как:

  1. Продажа или доставка товара на дом. В этом случае обрабатываются контактные данные и место пребывания клиента. Данные должны использоваться только для обработки заказа. Передача персональных данных маркетологам или спам sms-сообщениями не входит в безусловное согласие получателя.
  2. Курьерская и почтовая доставка. Операторы курьерских служб для упрощения обработки отправок собирают досье на своих клиентов — отправителей и адресатов. Но даже уважаемым почтовым операторам нужно самостоятельно ограничивать обработку персональных данных. Интересен прецедент, когда австрийскую государственную почтовую службу Post AG признали виновной в незаконной обработке специальных категорий данных, поскольку она интерпретировала политические предпочтения клиентов, используя их почтовые предпочтения. На момент написания статьи штраф в 18 млн евро еще оспаривался.
  3. Запись ребенка в школу или спортивную секцию. В таком случае обрабатываются данные несовершеннолетнего, на что необходимо согласие родителя, опекуна или попечителя. То есть нужно согласие на обработку данных сразу двух лиц — взрослого и ребенка.
  4. Продажа билета на самолет. Оператору таких услуг нужно уведомить Омбудсмена Украины об обработке данных о местонахождении и путях передвижения клиентов. А если авиалинии имеют сообщение с ЕС, им стоит позаботиться о соответствии GDPR.
  5. Запись на прием к врачу. Уведомление о приеме у врача так или иначе подразумевает раскрытие информации о здоровье пациента. Такому бизнесу тоже требуется уведомлять Омбудсмена Украины. А если деятельность ведется в ЕС, нужно ввести в штат Data Protection Officer и европейского представителя в соответствии со Статьей 27 GDPR.

Итак, согласие на обработку персональных данные необходимо везде, где фигурируют имя человека или его контактные данные, и в каждом случае эта процедура требует уникального подхода. Не исключено, что скоро даже визитные карточки мы будем вручать под расписку об условиях обработки информации!

Как быть с персональными данными сотрудников?

В области обработки персональных данных в трудовых отношениях украинское право, к сожалению, отстает от мирового — законодатель просто забыл упомянуть эту процедуру в нормативной базе! Следовательно, законность и объем обработки данных во время трудоустройства и после его окончания никак не определены и не регламентированы. Поэтому советуем внести в трудовые договоры с работниками обширный раздел, включающий:

  • Согласие на обработку персональных данных как обязательное условие трудоустройства.
  • Цели обработки данных: финансовые платежи, обеспечение договорных обязательств, предоставление доверенностей, несение ответственности за имущество, архивирование информации и т.п.
  • Сроки обработки данных. Рекомендуем делать их неограниченными, ссылаясь на необходимость архивирования информации, восстановления трудовых книжек, подтверждения пенсионного стажа и прочие административные обязательства, требующие долгосрочного хранения и обработки информации.

Компания ВигоЛекс настоятельно рекомендует включать во все договора раздел с согласием на обработку персональных данных с обширными оговорками насчет целей использования информации. Объем обработки личных данных «по умолчанию» законом не предусмотрен, а значит, ее незаконность без явного согласия –— сомнительна.

GDPR-комплаенс — зачем и кому нужен?

К сожалению, в Украине институт защиты персональных данных не развит, деятельность Омбудсмена как органа контроля безопасности персональных данных недофинансирована, а суды не имеют устоявшейся практики работы с такими делами.

Скорее всего, украинскому бизнесу придется столкнуться с обвинениями в незаконной обработке персональных данных не только и не столько из-за нарушения прав физических лиц, сколько из-за злоупотребления этим институтом права для шантажа недобросовестных конкурентов и недовольных бывших сотрудников.

С другой стороны, выход на глобальный рынок делает критически важным пересмотр внутренних и внешних политик и процедур, ведь иначе компаниям грозят срывы контрактов, ограничение доступа к рынкам и даже штрафы.

Специалисты ВигоЛекс обеспечат вашей компании соответствие режиму защиты персональных данных во всех основных юрисдикциях. Мы уверены: комплаенс ударит по бизнесу гораздо меньше, чем кажется на первый взгляд, а ваша спокойная работа стоит двух недель, потраченных на доработку документов.