Жорстка політика персональних даних або до 20 млн євро штрафу
Як правильно працювати з персональними даними громадян ЄС, щоб запобігти багатомільйонним штрафам.
У 2020-2021 роках значно підвищилась законотворча активність представників КМУ та ВР України щодо діджиталізації та унормування всіх сфер взаємодії держави та бізнесу з фізичними особами.
З огляду на це, особливо чутливим є питання захисту персональних даних громадян України. Ця проблема не нова для Європейського Союзу та інших країн світу.
Зокрема, свого часу чималого розголосу вже набули відомі гучні кейси щодо застосування багатомільйонних санкцій, передбачених Регламентом Європейського парламенту і Ради Європи про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних від 27.04.2016, більш відомого як GDPR, який вступив в силу у травні 2018 року (далі – "Регламент").
Зараз ми не будемо зупинятися, що є персональними даними та які процеси включає обробка таких даних.
Натомість в цій статті хотілось б звернути увагу, як і коли застосовується Регламент, який хоч і прийнятий в Європі, але розповсюдив свою дію на територію інших держав, аргументуючи, в першу чергу, тим, що забезпечує захист персональних даних своїх громадян.
Україна, в свою чергу, в рамках асоціації з ЄС, взяла на себе, поміж інших, зобов’язання щодо забезпечення захисту даних.
Отже, всі українські компанії, які мають намір працювати та продовжити співпрацю з європейцями, щоб убезпечити себе від значних штрафних санкцій, вимушені відповідати вимогам Регламенту в тих випадках, які до них застосовні.
Регламент розповсюджується на той бізнес, який обробляє персональні дані європейців на території ЄС незалежно від його основного місця реєстрації.
Компанія може бути зареєстрована в Україні, але пропонувати товари через свій сайт широкому колу осіб з використанням технологій щодо відстежування та дії користувачів на сайті, локацію користувачів сайту, реєстрація облікового запису користувачів через сайт, або безпосередньо онлайн продаж товарів.
Отже, у випадку ведення діяльності, орієнтованої на ринок Європи, існує велика ймовірність підпадати під вимоги, встановленні Регламентом щодо обробки персональних даних європейських суб’єктів даних.
Щоб більше зрозуміти, в яких випадках виникає законодавча потреба відповідати вимогам Регламенту, варто звернутись до практичних рекомендацій Європейської ради із захисту даних.
По-перше, Регламент розповсюджується на компанії, які мають свій осередок в Європі через представництво, філіал, або іншу організаційну форму, тобто відповідати за територіальним принципом (establishment).
По-друге, Регламент розповсюджується на компанії, які можуть і не знаходитись в Європі, але здійснюють таргетування суб’єктів даних, так би мовити "критерій націлювання" щодо суб'єктів даних, які перебувають у Союзі.
Застосування цього критерію може бути викликано двома різними та альтернативними видами діяльності, що здійснюються контролером (з точки зору українського законодавства – володілець персональних даних) або процесором (з точки зору українського законодавства – розпорядник персональних даних), а саме здійснення моніторингу поведінки суб’єктів даних та/або надання пропозицій щодо товарів та послуг в країни ЄС.
Європейська рада із захисту даних рекомендує подвійний підхід: спочатку визначити чи відбувається обробка персональних даних, а потім визначитися чи стосується вона пропозицій товарів та послуг, або моніторингу поведінки.
Під наданням пропозицій товарів та послуг розуміється будь-яка маркетингова, рекламна діяльність спрямована на аудиторію ЄС. В той же час це може бути застосування пошукових систем компанією, щоб полегшити доступ до її сайту для споживачів в ЄС.
Міжнародний характер діяльності компанії або згадка про міжнародну клієнтурі, що складається з клієнтів, які проживають в різних країнах-членах ЄС буде слугувати критеріями, за яких Регламент буде розповсюджуватись на таку діяльність такої компанії.
Це дуже широкий спектр діяльності: соцмережі, туристичні фірми, готельний бізнес, медичний бізнес, страхування, всі фінансові структури, онлайн-майданчики, електронна комерція і цей список можна продовжувати ще дуже довго.
Стосовно діяльності з обробки, яку можна вважати моніторингом, спочатку потрібно визначитись із наступним.
Чи є фізичні особи об’єктами відстежування в інтернеті, у тому числі, чи може мати місце подальше використання методик опрацювання персональних даних, що складаються з профайлінгу фізичної особи, зокрема для прийняття рішення щодо неї або нього чи для проведення аналізу, або передбачення її або його особистих переваг, поведінки чи ставлення. Тобто, до уваги береться мета відстеження та способи опрацювання.
Не дивлячись на те, що Регламент стосується виключно моніторингу поведінки шляхом відстеження людини в інтернеті, Європейська рада із захисту даних вважає, що відстеження через інші типи мережі або технології, що включає особисті дані, також повинні братись до уваги.
Таким чином, під моніторингом розуміється онлайн-відстеження за допомогою файлів cookie або інших методів відстеження, поведінкова реклама, геолокаційні заходи, зокрема, в маркетингових цілях, огляди ринку та інші поведінкові дослідження, засновані на індивідуальних профілях, фізичне відстеження через відеокамери.
Отже, з аналізу вище зрозуміло, що діяльність українських компаній може вимагати впровадження вимог Регламенту та бути GDPR-compliant.
Поступово компанії починають усвідомлювати необхідність впровадження GDPR. Особливо відкриті в цьому питанні ті, хто давно працюють з європейськими ринками.
Мотиви прості – в першу чергу це репутація, завдяки якій вони далі зможуть рухатися і підкорювати ЄС. Одним із основних запитань, які виникають у бізнесу з цього приводу, скільки буде коштувати впровадження вимог Регламенту.
Насправді витрати не настільки великі, як здається на перший погляд.
Мінімальний план дій може виглядати так:
- IT-фахівці повинні забезпечити технічні заходи, на кшталт системи шифрування даних і псевдонімізаціі. Таким чином, забезпечується захищеність даних від витоку і пошкоджень.
- Юридична команда повинна розробити організаційні заходи, у вигляді розробки та впровадження документації. Це, в першу чергу, побудова політики конфіденційності, щоб співробітники розуміли, як працює захист даних і чому необхідно дотримуватися певних правил.
- Рекомендовано вести реєстр персональних даних. У нього потрібно заносити інформацію про те, які дані збирають, з якою метою, де їх зберігають, скільки і як обробляють. Це значно спростить життя, в разі звернень користувача або наглядового органу.
- Особливу увагу варто приділити договірним взаємовідносинам з контрагентами. Коли їм передаються дані, в договорі необхідно прописати правильні формулювання, розподілити зобов'язання сторін і чітко вказати, хто за що несе відповідальність.
- Також важливо проводити тренінги для відповідальних осіб, які працюють з персональними даними. Вони повинні розуміти, як вести себе в разі звернення користувача і яку інформацію можна надавати.
В той же час, якщо не впровадити організаційних та технічних заходів, фінансові витрати можуть бути занадто значними.
Регламент встановив відповідальність у вигляді адміністративних штрафів сумою до 10 млн євро або 2% від загального глобального річного обігу за попередній фінансовий рік за порушення, серед інших, обов'язків контролера та процесора, та 20 млн євро або, у випадку підприємства, до 4% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за порушення, серед інших, основних принципів опрацювання та прав суб'єктів даних.
І тенденція йде на збільшення, тому що, чим більше суб'єкти даних інформуються та ознайомлені зі своїми правами, тим більше вони вимагають їх дотримання, а в іншому випадку звертаються до оскарження. І практика доводить, що їм це успішно вдається.
Наразі, профільними робочими комітетами ВРУ розпочинаються публічні обговорення нового законопроєкту про захист персональних даних, яким будуть також впроваджені вимоги Регламенту, а штрафи за порушення встановлені у мільйонах в гривні.
Тому, на мій погляд, в Україні жорсткі заходи щодо збереження даних українців скоро запрацюють на законодавчому рівні, і тоді їх дотримуватись доведеться всім без винятків.