Болючий захист персональних даних: нові проблеми українського бізнесу через зміну правил ЄС
Щодня кожен із нас користується інтернетом – ми перевіряємо пошту і новини, заходимо в соціальні мережі, завантажуємо додатки на смартфон, користуємося послугами таксі, онлайн-банкінгу, замовляємо піцу і відправляємо посилки поштою. Зараз кожна із цих дій передбачає персоналізацію – потрібно вказати свої дані або дати доступ до даних зі своїх соціальних мереж.
Усі звикли, не замислюючись, ставити галочку в графі "Згода на обробку персональних даних", а потім дивуватися: "Хто і на яких підставах дає мій номер рекламним службам?". І це лише найменші проблеми. У 2017 році витік персональних даних стався в найбільшому банку України, а в 2018-м – в найпопулярнішій у світі соціальній мережі, найпоширенішій службі таксі й найбільшому сервісі доставки в Україні.
Ця проблема актуальна і для ЄС. Однак Європейський парламент змінив правила гри.
27 квітня 2016 року Європарламент прийняв General Data Protection Regulation (GDPR). А 25 травня цього року Загальний регламент Європейського Союзу про захист даних (Регламент) набув чинності.
Що ухвалив ЄС?
Регламент – обов'язковий документ, в ньому закріплені юридичні зобов'язання і фінансова відповідальність за його порушення. Регламент містить чіткі вимоги щодо звітності, портативності даних (data portability), негайного оповіщення про витік персональних даних.
Поняття "персональні дані" охоплює будь-яку інформацію, яка стосується фізичних осіб. Відповідно, такі дані можуть включати ім'я, фотографії, електронну адресу, відомості про банківські рахунки, IP-адресу і навіть публікації в соціальних мережах.
В межах персональних даних виділяють особливу категорію – чутливі дані, так звані "sensitive personal data", які включають біометричні дані, расову, релігійну, етнічну приналежність, філософські погляди, участь у некомерційних організаціях, дані про здоров'я. З метою охорони таких даних встановлюються більш суворі правила збору і обробки інформації.
Регламентом вводиться так зване "Право на забуття", згідно з яким, на вимогу суб'єкта персональних даних, компанія зобов'язана припинити використовувати і видалити його дані. Пріоритетна вимога Регламенту, яка резюмує всі нововведення – це максимальна прозорість процесу збору та обробки персональних даних, а також забезпечення їх надійного захисту.
Регламент поширюється на так званих "контролерів" і "процесорів". Контролери – це всі, хто збирає персональні дані: банки, соціальні мережі, інтернет-магазини, онлайн-сервіси продажу квитків, інформаційні ресурси, які передбачають реєстрацію користувачів... А процесори – це сервіси, які контролери використовують для зберігання, сортування, переведення даних у цифровий вигляд: хмарні сервіси, сервіси автоматичного розсилання електронної пошти або смс-повідомлень, програмне забезпечення для сортування інформації.
На кого це вплине в Україні?
Окрім європейських компаній, Регламент також може застосовуватися до іноземних компаній, в тому числі й до українських. Компанія, яка використовує персональні дані фізичних осіб, повинна здійснювати діяльність відповідно до Регламенту, якщо: заснована і зареєстрована в ЄС; або ж територіально розташована в ЄС; або її діяльність пов'язана з пропозицією товарів чи послуг європейцям або з моніторингом їхньої поведінки.
Як зрозуміти, чи відповідає компанія третьому критерію? Про це може свідчити наявність сайту англійською мовою (або будь-якою іншою мовою європейських держав), продаж товарів в інтернет-магазинах, покупку в яких може зробити європеєць, продаж додатків для смартфонів і т.д.
Проаналізувавши дані критерії, можна визначити, які українські компанії вже сьогодні повинні діяти відповідно до Регламенту.
До цієї категорії належать дочірні компанії європейських організацій; компанії, філії яких знаходяться в ЄС і поставляють товари або послуги європейським споживачам; IT-компанії, розробники програмного забезпечення, мобільних додатків, програм; інтернет-магазини; фінансові установи; нафтогазові компанії; фармацевтичні компанії; компанії кіноіндустрії; компанії, які проводять реєстрацію користувачів веб-ресурсів, тобто обробляють велику кількість персональних даних; авіакомпанії; компанії, чия діяльність пов'язана з працевлаштуванням в ЄС; і нарешті – компанії, які використовують на веб-сайтах так звані "cookies" – з метою аутентифікації користувача і моніторингу його дій.
Що для українських компаній означає потрапляння під дію регламенту ЄС?
Тепер до цих компаній можуть подавати позови про компенсацію матеріальної чи моральної шкоди, завданої у зв'язку з порушенням положень Регламенту. Порушення прав суб'єктів персональних даних тягне за собою штраф у розмірі до 20 млн євро або до 4% річного обороту за попередній фінансовий рік.
Крім того, судові суперечки у сфері захисту персональних даних можуть виникати не тільки внаслідок невиконання вимог Регламенту, а й у зв'язку з розширенням прав фізичних осіб на захист персональних даних.
Більше того, згідно з вимогами Регламенту, компанія повинна в обов'язковому порядку негайно сповіщати про будь-який витік інформації, яка містить персональні дані. Оповіщення про витік інформації може завдати значної шкоди репутації компанії.
У зв'язку з цим компанії, які піддаються ризику, повинні точно визначити, чи охоплюють вимоги Регламенту їхню діяльність, і негайно вжити заходів щодо імплементації нових внутрішніх політик обробки персональних даних. "Контролерам" і "процесорам" персональних даних в Україні слід поставитися до цих змін уважно через значні фінансові ризики для бізнесу.
Матеріал написаний у співавторстві з Олегом Котляром, юристом практики податкового і митного права INTEGRITES
Публікації в рубриці "Експертна думка" не є редакційними статтями і відображають винятково точку зору автора