Кочетков e1603891521334

Кочетков Володимир

Старший юрист практики ІТ-права

09.12.2020

 

Що таке GDPR?

Можна сміливо стверджувати, що проблема захисту персональних даних у глобальних мережах існувала ще до їх винайдення — у працях філософів XVII – XIX століть, футурологів середини XX століття и фантастів 1980-х.
З поширенням комп’ютерних технологій вже реальні зловживання під час роботи з особистою інформацією стали причиною шантажу, шахрайства і кібератак на основі соціального інжинірингу. Європейський регулятор оперативно відреагував на онлайн-вольницю і прийняв Директиву Захисту Даних 1995 року, покликану регламентувати безпеку і конфіденційність зберігання і обробки персональних даних. Документ був своєчасним і прогресивним… але не працював, бо не передбачав механізму свого забезпечення. Індустрія сприйняла Директиву 1995 року скоріше як рекомендацію, аніж як зобов’язання. Заміна цього документу назрівала 20 років.

Регламент Європейського Парламенту і Ради Європейського Союзу 2016/679, що зараз більше відомий як GDPR, або General Data Protection Regulation і замінив собою неефективну Директиву Захисту Даних, набув чинності 25 травня 2018 року. Великий європейський бізнес знав про новий регламент ще за два роки і підготувався до введення нових вимог з тевтонською розважливістю. Але для деяких учасників ринку Регламент став несподіванкою, і в перший же день його дії почалися переслідування порушників.

Відповідальність

Першими на собі «обкатали» нову нормативну базу австрійські власники зовнішніх камер спостереження, чиї об’єктиви зафіксували перехожих на тротуарах. Також під гарячу руку потрапив угорський автолюбитель за встановлення відеореєстратора у своїй машині. При цьому до початку дії Регламенту поліція вела справу за реєстратором вже півтора тижні, але не могла пред’явити претензію. А отримавши звинувачення, порушник був змушений ще чотири місяці брати участь в судовому процесі, щоб зменшити свою відповідальність до штрафу в 300 євро.
Державні організації й органи влади теж притягаються до відповідальності за порушення GDPR. Важливим прецедентом стало перше рішення бельгійського органу з захисту персональних даних, коли голову невеликого села було оштрафовано на 200 євро за те, що він відправив агітаційні матеріали на електронні адреси, взяті із заяв громадян про дозвіл на будівництво — очевидно, без згоди одержувачів.
Формально максимальний розмір штрафу, встановлений Європарламентом, складає 20 млн євро або до 4% загального річного обороту порушника, якщо це велика компанія. На практиці ж штраф варіюється від 28 євро (рішення від 16 липня 2020 року щодо Google Ireland Ltd.) до 50 млн євро (рішення від 21 січня 2019 року щодо Google Inc.) і залежить від навмисності, тяжкості порушення, співробітництва з контролюючими органами і кількості постраждалих громадян ЄС.

Depositphotos 192066534 l 2015 1

Застосування GDPR українськими підприємствами

Здавалося б, європейці вигадали самі для себе сердитий, майже релігійний ритуал, що прославляє персональні дані. До чого тут українські проєкти? Насправді ж, зв’язок безпосередній. Вже 15 років як моветон стверджувати, що з появою інформаційних технологій багато сфер діяльності стали транснаціональними і безмежними: онлайн-послуги може пропонувати будь-яка особа з будь-якої юрисдикції, часто з неконтрольованого офшору. «Дикий Захід» світового ринку поставив за вимогу його ефективне регулювання, тому головні юрисдикції й міжнародні організації зараз глобально переглядають усі інститути права в бік застосування права клієнта, а не надавача послуги. Сьогодні в головних юрисдикціях норми, що закріплюють непряме оподаткування (ПДВ і податок з продажів) і фундаментальні права на недоторканність особистого життя (GDPR, CCPA, російський закон «Про персональні дані» і т.п.), застосовуються екстериторіально. Вони прив’язані не до місця, де знаходиться той, хто надає послуги або товар (місцезнаходження компанії), а до місця, де товар чи послуга споживається (резидентність кінцевого споживача).

Таким чином, український бізнес з клієнтами у різних юрисдикціях має відповідати не лише закону України «Про захист персональних даних», а й нормативній базі з захисту персональних даних, що діє в юрисдикції клієнта. Відповідність GDPR можна вважати «золотим стандартом» дотримання безпеки персональних даних, і в юрисдикціях за межами ЄС його можна лише доповнювати «місцевим колоритом» на кшталт реєстрації в регулятора.

Отже, будь-яка українська компанія перед тим, як збирати і обробляти персональні дані, має:

  1. Визначити перелік персональних даних, які вона збирає і обробляє.
  2. Визначити основні юрисдикції клієнтів на основі локалізації продуктів, статистики чи аналізу того чи іншого ринку.
  3. Оцінити, чи є її діяльність особливо ризикованою для прав і свобод суб’єктів персональних даних (згідно з інструкціями Омбудсмена України).
  4. Визначити характер обробки персональних даних.
  5. Створити перелік співробітників, що мають доступ до персональних даних.
  6. Визначити список третіх осіб (провайдери послуг, технічні виконавці), що мають доступ до будь-яких даних.

Далі, якщо проєкт виходить на європейський ринок, потрібно:

  1. Визначити цільові ринки проєкту.
  2. Підрахувати загальну кількість співробітників.
  3. Оцінити, чи є обробка даних основною діяльністю компанії (до цієї групи належать посередницькі послуги, бази даних фізичних осіб, соціальні мережі).
  4. Визначити, чи відносяться персональні дані до особливої категорії — «чутливих» (sensitive) даних — згідно зі Статтею 4 GDPR.

Вже виходячи з результатів внутрішньої перевірки й оцінювання своєї роботи за згаданими критеріями, компанія зобов’язана впровадити адекватний правовий і технічний режим обробки персональних даних і повідомити контролюючі органи про свою діяльність, коли закон це прямо наказує. Як правило, проєктам зі штатом до 250 співробітників краще довірити оцінювання бізнесу і розробку його політик спеціалізованим юридичним компаніям, оскільки в їхніх власних юристів виникає конфлікт інтересів між забезпеченням простоти діяльності компанії, позбавленням керівництва від клопотів і дотриманням законодавчих вимог. Depositphotos 80147336 l 2015cop

Приклади законної роботи з персональними даними

Будь-яка обробка персональних даних (збір, реєстрація, накопичення, адаптування, зміна, поновлення, використання, поширення, знеособлення і знищення) можлива виключно у відповідності з застосовним законом, тобто за наявності згоди на обробку персональних даних, що була отримана перед їх обробкою, крім випадків, коли від цього явно залежать життя і здоров’я.
Ця обробка відбувається навіть у таких тривіальних випадках, як:

  1. Продаж чи доставка товару додому. В цьому випадку обробляються контактні дані й місце перебування клієнта. Дані повинні використовуватися тільки для обробки замовлення. Передавання персональних даних маркетологам або спам sms-повідомленнями не входить до безумовної згоди одержувача.
  2. Кур’єрська і поштова доставка. Оператори кур’єрських служб для спрощення обробки відправок збирають досьє на своїх клієнтів — відправників і адресатів. Але навіть поважним поштовим операторам потрібно самостійно обмежувати обробку персональних даних. Цікавим є прецедент, коли австрійську державну поштову службу Post AG визнали винною в незаконній обробці спеціальних категорій даних, бо вона інтерпретувала політичні вподобання клієнтів, використовуючи їхні поштові вподобання. На момент написання статті штраф у 18 млн євро ще оскаржувався.
  3. Запис дитини до школи чи спортивної секції. В такому випадку оброблюються дані неповнолітнього, на що потрібна згода батьків, опікуна чи піклувальника. Тобто потрібна згода на обробку даних одразу двох осіб — дорослого і дитини.
  4. Продаж квитка на літак. Оператору таких послуг треба повідомити Омбудсмена України про обробку даних щодо місцезнаходження і шляхів пересування клієнтів. А якщо авіалінії мають сполучення з ЄС, їм також потрібно забезпечити відповідність GDPR.
  5. Запис на прийом до лікаря. Повідомлення про прийом у лікаря так чи інакше передбачає розкриття інформації про здоров’я пацієнта. Такий бізнес теж має повідомляти про свою роботу Омбудсмена України. А якщо діяльність ведеться в ЄС, потрібно додати до штату Data Protection Officer і європейського представника згідно зі Статтею 27 GDPR.

Таким чином, згода на обробку персональних даних потрібна усюди, де фігурує ім’я людини або її контактні дані, і в кожному випадку ця процедура потребує унікального підходу. Не виключено, що скоро навіть візитні картки ми будемо вручати під розписку про умови обробки інформації!

Як бути з персональними даними співробітників?

В галузі обробки персональних даних в трудових відносинах українське право, на жаль, відстає від світового — законодавець просто забув згадати цю процедуру в нормативній базі! А отже, законність і об’єм обробки даних під час працевлаштування ніяк не визначені і не регламентовані. Тому радимо додати до трудових договорів з робітниками розлогий розділ, що включає:

  • Згоду на обробку персональних даних як обов’язкову умову працевлаштування.
  • Мету обробки даних: фінансові платежі, забезпечення договірних зобов’язань, відповідальність за майно, архівування інформації і т.п.
  • Строки обробки даних. Радимо робити їх необмеженими з посиланням на необхідність архівування інформації, відновлення трудових книжок, підтвердження пенсійного стажу й інші адміністративні зобов’язання, що вимагають довгострокового зберігання і обробки інформації.

Компанія ВігоЛекс настійно рекомендує включати до всіх договорів розділ зі згодою на обробку персональних даних з розлогими зауваженнями щодо мети використання інформації. Об’єм обробки особистих даних «без обумовлення» законом не передбачений, а значить, її незаконність без явної згоди — сумнівна.

GDPR-комплаєнс — навіщо і кому потрібен?

На жаль, в Україні інститут персональних даних не розвинений, діяльність Омбудсмена як органу контролю безпеки персональних даних недофінансована, а суди не мають усталеної практики роботи з такими справами.
Скоріш за все, українському бізнесу доведеться зіткнутися зі звинуваченнями в незаконній обробці персональних даних не тільки й не стільки через порушення прав фізичних осіб, скільки через зловживання цим інститутом права для шантажу недобросовісних конкурентів і незадоволених колишніх співробітників.
З іншого боку, вихід на глобальний ринок робить критично важливим перегляд внутрішніх і зовнішніх політик і процедур, бо інакше компаніям загрожують зриви контрактів, обмеження доступу до ринків і навіть штрафи.
Спеціалісти ВігоЛекс забезпечать вашій компанії відповідність режиму захисту персональних даних у всіх основних юрисдикціях. Ми впевнені: комплаєнс вдарить по бізнесу набагато менше, ніж здається на перший погляд, а ваша спокійна робота варта двох тижнів, що будуть витрачені на доопрацювання документів.