Приховувати вік стане простіше. Чому світ говорить про GDPR і що про це треба знати
Багато інтернет-користувачів помітили, що їм на пошту почали приходити повідомлення від різних сервісів про зміну правил обробки персональних даних.
Хвилюватися не варто — компанії по всьому світу оновлюють свої системи захисту та обробки персональних даних.
Підштовхнув їх до цього не черговий вірус, вразливість або скандал, а GDPR — General Data Protection Regulation. Ця назва нового регламенту Євросоюзу, який починає діяти 25 травня 2018 року.
ЕП розбиралася, що це таке, як це вплине на діяльність європейських компаній та життя європейців і як зачепить Україну.
Що це?
GDPR — правовий акт, який повинен посилити контроль за процесом збору, обробки і передавання персональних даних резидентів і громадян ЄС на території Євросоюзу і за його межами.
Оновлені правила обробки персональних даних встановлені Загальним регламентом щодо захисту даних.
Цей регламент буде діяти у всіх 28 країнах ЄС і замінить рамкову Директиву про захист персональних даних від 24 жовтня 1995 року.
Що зміниться?
Громадяни ЄС отримують повний контроль над своїми персональними даними.
Наприклад, громадянин не хоче, щоб його колеги знали, коли у нього день народження і скільки йому років. Згідно з новими правилами, він має право вимагати від роботодавця зберігати цю інформацію в таємниці.
З набуттям новими правилами чинності посилюється і відповідальність за їх порушення. Штрафи сягають 20 млн євро або 4% річного глобального доходу компанії залежно від того, що більше.
"Як буде застосовуватися GDPR щодо українських компаній, поки ніхто не знає. Ми про це і не дізнаємося, поки не побачимо перший тестовий приклад", — зазначає адвокат, директор ЮК "Софоклеус і партнери консалтинг" Олексія Овдієнко.
Кому варто хвилюватися?
ЄС ухвалив акт для європейців, та зачепить він кожного через важливий нюанс нової регуляторної політики — екстериторіальний принцип дії.
GDPR застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від їх місця розташування.
Філії українських компаній на території ЄС також повинні відповідати новим вимогам.
Навіть якщо компанія перебуває на території України, але продає товари і послуги користувачам з країн ЄС онлайн, надаючи їх локальними мовами, у місцевих валютах або використовуючи національні домени верхнього рівня країн ЄС, вона все одно підпадає під дію GDPR.
Більше того, під дію нового регламенту підпадають усі організації, які обробляють персональні дані європейців.
Якщо європеєць купує квитки на поїзд "Укрзалізниці", то УЗ підпадає під дію GDPR і зобов'язана виконувати нові європейські правила обробки персональних даних.
Умовно кажучи, під GDPR підпадає все, до чого торкаються громадяни Євросоюзу.
І все?
Ні. Крім обробки персональних даних, у GDPR використовується поняття "моніторинг поведінки суб'єктів даних". Тобто під дію нових правил потрапляють організації, створені за межами ЄС, але які "контролюють" поведінку жителів союзу.
Під моніторингом поведінки мається на увазі будь-яке відстеження дій суб'єкта, наприклад, відомості про відвідування будь-яких місць.
"Самі дії повинні відбуватися на території ЄС. Не важливо, буде такий суб'єкт даних громадянином ЄС або українцем у відрядженні", — відзначає партнер і співзасновник юридичної фірми Axon Partners Денис Береговий.
За його словами, збір історії відвідувань певних заходів або сайтів — моніторинг у розумінні GDPR. Таким чином, будь-який міжнародний сервіс бронювання житла підпадає під GDPR, в тому числі через те, що моніторить активність користувачів.
Що таке персональні дані?
Персональні дані — це будь-яка інформація про суб'єкта, за якою його можна прямо або побічно визначити.
Згідно з документом, це один або кілька чинників, характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності фізичної особи.
Сюди належать: ПІБ, номер телефону, адреса електронної пошти та проживання, реєстраційний номер і марка автомобіля, відомості про національність, політичні або релігійні погляди, сексуальну орієнтацію, номер банківського рахунку, номер банківської картки і строк її дії, історію хвороб, дані про групу крові, інформація про членів сім'ї, фото, біометричні дані, паспортні дані, ідентифікаційний код, підпис, інформація про рівень особистих доходів.
До персональних даних також належить інформація про місце перебування, IP-адреса і навіть онлайн-ідентифікатор.
Як можуть обробляти дані?
Під обробкою персональних даних маються на увазі будь-які операції, які виконуються з персональними даними, незалежно від того, здійснюються вони автоматичними засобами чи будь-яким іншим способом.
Отримання доступу до персональних даних, навіть без збереження їх на будь-якому електронно-обчислювальному пристрої, буде вважатися обробкою, на яку поширюється дія регламенту.
Обробка даних повинна здійснюватися за такими правилами.
Перше. Дані повинні оброблятися законно, справедливо і прозоро. Користувач зобов'язаний отримати інформацію про цілі, методи та обсяги обробки його персональних даних в максимально доступній формі.
Друге. Дані повинні збиратися і використовуватися лише в тих цілях, які заявлені компанією або онлайн-сервісом.
Третє. Не можна збирати більше даних, ніж необхідно для цілей обробки.
Четверте. Неточні особисті дані повинні бути видалені або виправлені на вимогу користувача.
П'яте. Особисті дані повинні зберігатися не довше, ніж це необхідно для цілей обробки.
Шосте. При обробці даних компанії зобов'язані забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.
Як зазначає партнер юридичної фірми Expatpro Платон Даниленко, для повної відповідності цим вимогам компаніям необхідно об'єднати технічні та організаційно-юридичні засоби, спрямовані на посилення захисту персональних даних.
Що це дає?
Більше прав
GDPR значно розширює права громадян і резидентів ЄС з контролю над їх персональними даними.
Європейські користувачі зможуть запитувати підтвердження факту обробки їх даних, місце і мету обробки, категорії оброблюваних персональних даних, яким третім особам дані розкриваються, період, протягом якого вони будуть оброблятися, а також уточнювати джерело отримання організацією персональних даних та вимагати їх виправлення.
Також користувач має право вимагати припинення обробки своїх даних.
Крім того, GDPR передбачає "право на забуття", яке дає європейцям можливість видаляти свої особисті дані за запитом, щоб уникнути їх поширення або передавання третім особам.
До того ж користувачі отримують право на перенесення даних. Його суть у тому, що компанії зобов'язані безкоштовно надавати електронну копію персональних даних користувача іншої компанії на вимогу самого користувача.
Наприклад, суб'єкт даних користується сервісом онлайн-перегляду фільмів "А". Якщо у нього виникає бажання змінити сервіс на "Б", у нього є право перенести свої дані, наприклад, список улюблених фільмів та інформацію про жанрові уподобання, з одного сервісу на інший.
Повідомлення про порушення
Компанії зобов'язані повідомляти регуляторним органам про будь-які порушення, пов'язані з персональними даними, протягом 72 годин після виявлення таких порушень.
Якби GDPR почав діяти раніше, то після новини про приховування протягом року компанією Uber хакерської атаки і крадіжки персональних даних користувачів і водіїв сервісу довелось би заплатити велику суму.
Згода на обробку
Згідно з новими правилами, користувач повинен дати чітку згоду на обробку персональних даних. Мовчання чи бездіяльність знаком згоди не вважаються.
Поля з поставленою галочкою поруч з прийняттям в угоді для користувача та інші обхідні шляхи отримання згоди використовувати не рекомендується, інакше компанії може загрожувати штраф.
Згода на обробку персональних даних не буде дійсною, якщо у користувача не було вибору або можливості без втрат відкликати свою згоду.
Мета обробки даних повинна бути чітко вказана в угоді, а сама угода повинна бути простою і зрозумілою. Інформація про порядок відкликання згоди на обробку даних повинна бути доступною, інакше компанії може загрожувати штраф.
Особливий захист дітей
Дитячі персональні дані перебувають під особливим захистом, тому згода на їх обробку повинна додатково авторизуватися батьками або законними представниками дитини.
Віковий поріг для батьківської авторизації встановлюється державами-членами ЄС окремо — від 13 років до 16 років.
Призначення відповідального за захист персональних даних
Компанії, які працюють з великими обсягами даних або обробляють чутливі персональні дані, наприклад, медичні записи або відомості про судимість, повинні призначити окремого співробітника щодо захисту даних — Data Protection Officer, DPO, який контролюватиме дотримання вимог GDPR.
Призначати DPO не потрібно, якщо обробка даних здійснюється епізодично, в малих обсягах і не стосується спеціальних категорій персональних даних.
Як це вплине на Україну?
На бізнес
Жоден український бізнес не застрахований від візиту "випадкового" громадянина ЄС.
Проблеми можуть виникнути навіть у власника київського пабу. Уже через кілька днів туди перед матчем Ліги чемпіонів може зайти іспанець і розплатитися карткою. У той же момент паб підпадає під дію нового регламенту.
Щоб визначити, чи стосується GDPR того чи іншого бізнесу, потрібно врахувати його специфіку, а при наявності сумнівів — проконсультуватися з юристами та фахівцями у сфері персональних даних.
"Якщо GDPR стосується компанії, треба привести бізнес у відповідність з правилами — на рівні юридичних документів і на технічному рівні. Слід розібратися, які персональні дані збирає та обробляє компанія, де вони лежать, з якими сторонніми продуктами взаємодіють, куди далі передаються, хто до них має доступ", — зазначає Береговий.
За його словами, виходячи з цього, потрібно будувати політики і процеси, за якими компанія працює з персональними даними.
Окремо стоїть питання кібербезпеки — GDPR вимагає безпечного поводження з даними і швидкого реагування на кіберзагрози.
В цілому для дотримання GDPR компаніям доведеться модернізувати внутрішню систему збирання, обробки та передавання даних, посилити безпеку зберігання даних і знайти кваліфікованих співробітників.
"Усе це буде сприяти технологічному розвитку компаній, які підпадуть під дію GDPR, модернізації їх систем IT-безпеки, впровадженню нових технологій, що дозволить захищати персональні дані не тільки громадян ЄС, а й українців", — вважає Овдієнко.
Необхідність впровадження нових технологій спричинить стрімкий розвиток українських компаній, переконана вона.
"Поява на ринку нових технологій і продуктів позитивно вплине і на роботу сектору державного управління, діяльність якого останнім часом все більш інтенсивно переводиться в електронний формат", — зазначає Овдієнко.
На користувачів
Звичайні українці дізналися про GDPR з вікон, що виринають, у Gmail, Twitter та інших іноземних сервісах. Вони почали масово попереджати про зміни в політиці конфіденційності і нових інструментах управління збором даних.
За твердженням Берегового, читати такі повідомлення корисно. Чому?
Користувач зможе більш якісно контролювати, що відбувається з його даними. До того ж, не виключено, що деякі сервіси будуть видаляти всі дані, якщо користувач не перейде за посиланням і не погодиться з новими політиками.
"Для нас, пересічних клієнтів компаній, GDPR вигідний, адже ми отримуємо більше контролю за нашими даними. Юристів змусили писати більш зрозумілі політики конфіденційності.
Інша річ, що для багатьох сервісів GDPR означає лише те, що тепер ми віддаємо їм свої дані більш усвідомлено. Відмовлятися від їх використання ми навряд чи будемо, адже цифрова економіка нікуди не зникне", — зазначає Береговий.
Загалом, на думку експертів, GDPR може позитивно вплинути на технологічний розвиток українських компаній і на захист персональних даних громадян України.