Закон і Бізнес


Мовчання не знак згоди

Новели захисту персональних даних: прозорість, конфіденційність, звітність


№21 (1371) 26.05—01.06.0218
Максим ХОДАК, адвокат Адвокатської контори Law & More (Нідерланди), для «Юрліги»
2414

З 25 травня цього року в законодавстві Європейського Співтовариства в галузі захисту персональних даних відбулися найбільші за останні 2 десятиліття зміни. Набули чинності нові правила обробки інформації. Вони зачеплять й українські компанії, що працюють на європейському ринку.


Від імен до кукі

Для захисту прав фізичних осіб стосовно персональних даних на зміну чинній директиві щодо захисту даних №95/46/EC прийде новий законодавчий акт — загальний регламент ЄС щодо захисту персональних даних (GDPR, Regulation (EU) 2016/679). Він має на меті не просто посилити захист і розширити права всіх громадян ЄС щодо недоторканності персональних даних. Також вимагається узгодження законів про недоторканність даних на території ЄС та зміни підходу організацій у всьому регіоні до проблеми конфіденційності персональної інформації.

Так, під дію регламенту підпадатиме більш широкий перелік видів підприємницької діяльності. Якщо раніше персональними даними вважалися тільки документи, що містять імена, адреси й т.ін., то надалі це визначення було розширено. Дані, пов’язані з IP-адресами, MAC-адресами, cookie-файли, що зберігають суто індивідуальну інформацію про користувача мережі, тощо також охоплюються положеннями регламенту.

Його дія поширюватиметься не лише на компанії, розташовані в ЄС, а  й на підприємства країн, які пропонують товари або послуги суб’єктам персональних даних у європейських країнах або стежать за поведінкою суб’єктів даних (за умови, що така поведінка має місце в межах ЄС). Інакше кажучи, будь-яка обробка персональних даних людей, які перебуватимуть в ЄС, потраплятиме під дію норм, установлених новим регламентом.

Це нововведення дуже важливе для українських компаній, оскільки навіть організації, в яких немає офісу або дочірньої компанії на території ЄС, але які надають послуги на цьому ринку, зазнають впливу регламенту. Таким чином, будь-які дії, що включають у себе обробку персональних даних, ретельно моніторитимуться.

Регламент установив нові правила одержання згоди на обробку персональних даних. Попередня директива вже впровадила правило, що згода має завжди бути отримана, але тепер вона повинна бути однозначною та підтвердженою. Тобто «мовчання, попередньо відмічені галочкою поля чи бездіяльність» не вважатимуться легітимною згодою на обробку персональних даних.

7 принципів обробки

Регламент запроваджує кілька основних принципів обробки персональних даних. І від компаній вимагатиметься продемонструвати, як вони додержуються цих принципів.

Принцип законності, справедливості та прозорості потребує не тільки одержання згоди на обробку даних, а й поінформованості суб’єкта про тип оброблюваних даних. Інформація має бути надана їй/йому в доступній формі й викладена зрозумілою та простою мовою. Зокрема, щоб досягти прозорості, суб’єкт повинен одержати інформацію про особу контролера, мету збору інформації, а також має бути обізнаний про ризики, закони, захисні заходи та свої права стосовно обробки даних.

Персональні дані можуть бути оброблені лише для точно позначених і законних цілей. Якщо ж із первісної мети випливатиме інша, то згоду має бути дано для обох. Однак за цим принципом криється безліч інших аспектів. Наприклад, чим більше суб’єктів обробки даних охоплено, тим точніше має бути описано мету.

Особисті дані повинні відповідати меті, з якою вони обробляються. Це положення повертає до цільового обмеження збору й обробки персональних даних. Такий принцип повинен призвести до скорочення збору даних до мінімально можливого рівня.

Персональні дані мають бути точними й актуальними. Застарілі та неточні дані необхідно виправляти або видаляти.

Відомості повинні зберігатися рівно стільки, скільки необхідно для тих цілей, для яких їх було зібрано. Якщо ж зберігання більше не потрібне, то підприємства мусять видаляти ці дані. Регламент також уточнює, що компанії мають проводити регулярні перевірки з метою чищення носіїв інформації.

Відповідно до принципу цілісності й конфіденційності контролер повинен упевнитися, що дані захищені від несанкціонованої та незаконної обробки.

Принцип звітності, установлений новим регламентом, зобов’язує компанії дотримуватися всіх вищезгаданих правил. Компанії мають упевнитися, що дотримуються всіх технічних та організаційних вимог, і уповноважені організації мають право вимагати від організацій усіх звітів про обробку персональних даних. Збільшення уваги до дотримання вимог, що випливають із цього принципу, виявилося однією з найбільш значущих змін.

Захист приватного

Регламент наділяє приватних осіб низкою нових прав, а також змінює деякі, що існували в межах попередньої директиви. Так, запроваджується право приватних осіб на отримання, копіювання та перенесення їхніх персональних даних до баз іншого контролера та/або обробників даних. Це правило було внесене з метою захисту прав споживачів і спричиняє значні зусилля з боку організації-контролера, що обробляє дані.

Регламент дозволяє приватним особам заперечувати проти певних видів обробки їхніх персональних даних:

• прямого маркетингу (безпосереднього звернення до осіб через електронну пошту або рекламні оголошення на веб-сайтах);

• обробки з метою захисту законних інтересів або виконання будь-якого завдання в суспільних інтересах / реалізації владних повноважень;

• обробки даних із дослідницькою чи статистичною метою.

Приватні особи отримають право вимагати знищення або видалення їхніх персональних даних, якщо останні більше не потрібні для тих цілей, для яких їх було зібрано, об’єкт обробки заперечує або інформацію було оброблено незаконно. Регламент гарантує, що при накладенні обмеження на обробку ПД компаніям дозволяється їх зберігати, але не обробляти.

Якщо приватна особа не знає, що її дані обробляються, та того, як вони обробляються, то не зможе здійснювати всі інші права. Таким чином, організація повинна відповідати на будь-які запити об’єкта обробки про зібрані про нього дані.

У разі витоку персональних даних контролер зобов’язаний довести цей факт до відома комітету із захисту персональних даних (регулятора) не пізніше ніж через 72 год. після того, як йому стало відомо про таку подію. Це правило може не дотримуватися тільки в разі, якщо малоймовірно, що права та свободи людей буде порушено.

Водночас згідно з регламентом компанії зобов’язані документувати факти витоку даних, навіть якщо про такі витоки не повідомляється комітет. Організації-контролери до того ж зобов’язані вести внутрішній журнал обліку випадків злому ключів захисту даних.

Якщо ж буде встановлено порушення будь-якої статті регламенту, це може призвести до штрафу в розмірі до €20 млн або до 4% від річного обороту компанії.

Плюси й мінуси гармонізації

В основному регламент уплине позитивно на розвиток бізнесу, але також може зумовити певні перешкоди. Нині 28 держав — членів ЄС мають різні та суперечливі закони про захист персональних даних, що ускладнює роботу компаній. Завдяки появі регламенту ці акти будуть гармонізовані й нічим не відрізнятимуться.

Водночас закон дуже часто зазнає критики, оскільки безліч правил видаються занадто суворими й залишається багато місця для інтерпретації.

Проте новий регламент — серйозна спроба Євросоюзу на шляху до забезпечення надійного захисту недоторканності хиткого сьогодні приватного життя та персональних даних громадян ЄС і людей, які перебувають у країнах Старого світу.

На перший погляд, новий регламент може видатися надто складним і таким, що спричиняє дуже серйозні наслідки, оскільки також зачіпає українські компанії. Утім, найбільшою перевагою документа є потенційне впорядкування розрізнених норм і правил. Дотепер компаніям доводилося враховувати правила щодо захисту даних 28 різних держав — членів ЄС.

Отже, щоб закон і можливі штрафи ніяк не торкнулись українських компаній, дуже важливо спланувати детальну стратегію та пройти етапи підготовки до дотримання вимог нового регламенту.