Недавно в Евросоюзе стал действовать новый регламент, именуемый GDPR — General Data Protection Regulation. Это правовой акт, который должен усилить контроль над процессом сбора, обработки и передачи персональных данных резидентов и граждан ЕС на территории Европейского Союза и за его пределами. Как будет действовать, или уже действует новый регламент? Какое влияние он окажет на работу отечественных компаний, которые являются экспортерами или импортерами и вообще как кардинально изменяться правила игры на разных рынках?
Обновленные правила обработки персональных данных установлены Общим регламентом по защите данных. Этот регламент будет действовать во всех 28 странах ЕС и заменит рамочную Директиву о защите персональных данных от 24 октября 1995 года. Как эти новшества скажутся на Украине и отечественных компаниях, которые работают с потребителя на европейском рынке, а также иностранных фирмах, которые работают в нашей стране?
«Целью принятия GDPR, которая вступила в силу с 25 мая 2018 года и пришла на смену DataProtectionDirective (действовала с 13 декабря 1995 года), является обновление законодательства Европейского Союза относительно защиты персональных данных резидентов ЕС.
Разработчики GDPR отмечают, что они преследовали цель усовершенствовать защиту персональных данных, а также расширить права граждан, относительно обработки их персональных данных», — говорит Экономическим новостям Артур Савин, юрист Lavrynovych & Partners Law Firm.
Несмотря на то, что регулирование принято в ЕС, его действие распространяется далеко за его пределы. Соответствовать ново-установленным требованиям должны будут все компании, которые будут совершать/совершают сбор и обработку (контроллер и процессор, соответственно) персональных данных.
Поэтому, украинские компании, которые, так или иначе, сталкиваются со сбором или с обработкой персональных данных резидентов ЕС, должны соответствовать установленным требованиям и соблюдать их. К персональным данным можно отнести какую-либо информацию, по которой можно прямо или опосредованно определить конкретное лицо/субъекта данных (имя, данные о месте расположения, онлайн-идентификатор, физические, генетические, социальные и прочие данные).
«GDPR в любом случае усиливает контроль над процессом сбора и обработки персональных данных, поскольку значительно расширяет права граждан и резидентов ЕС по контролю за своими данными: они смогут подавать обращения в отношении факта обработки своих данных, цели такой обработки, кому раскрываются такие данные и т.п. Т.е., например, в случае возникновения какой-либо спорной ситуации, физическое лицо всегда сможет проследить, кто, когда и зачем собирал, обрабатывали и раскрывал его персональные данные», — отмечает адвокат ЮФ «Ильяшев и Партнеры» Мария Коваль.
Какие изменения несет в себе GDPR? Во-первых, это необходимость получения полного согласия на обработку персональных данных от лица, данные которого будут обрабатываться (для детей до 16-ти лет необходимо согласие со стороны родителей). Если же согласие получено не было, то в таком случае есть все основания полагать, что они используются неправомерно и должны быть удалены.
«Во-вторых, компании, которые собирают данные, должны предоставить понятную информацию касательно того, кто и в каких целях эти данные будут использовать. В-третьих, лицо должно иметь доступ к информации о нем, и будет иметь право требовать исправления информации (компанией должны быть предоставлены контакты, куда смогут обращаться лица по вопросам обработки и хранения своих персональных данных», — считает Артур Савин.
Также нужно отметить немаловажный момент — лицо имеет право отозвать в любой момент согласие на обработку его персональных данных и требовать удаления данных, если они хранятся/обрабатываются незаконно. Более того, компании, которые осуществляют сбор или процессинг (обработку) данных, должны имплементировать в свою работу надежную технологическую защиту данных с использованием шифрования и прочих способов защиты.
Важным является и то, что также значительно увеличены суммы штрафов за разглашение, утечку и неправомерное использование персональных данных.
По мнению господина Савина, что касается санкций, то они могут достигать до 4% годовой выручки компании или до 20 миллионов евро в случае не обеспечения безопасности персональных данных, и до 2% или до 10 миллионов евро в случае, если при утечке данных контролер не уведомил об этом регулятора либо физических лиц.
Это, безусловно, заставит компании относиться к вопросу сбора персональных данных намного серьезнее, т.е., например, спам-рассылок станет намного меньше или они исчезнут совсем.
Регламент имеет экстерриториальный принцип действия. А это означает, что он будет действовать в отношении украинских компаний, которые собирают и обрабатывают персональные данные граждан и резидентов Европейского Союза. Практически все украинские компании, которые работают с гражданами ЕС, уже были вынуждены до вступления Регламента в силу приводить свои политики конфиденциальности в полное соответствие с ним, и, в свою очередь, изложить их более простым и понятным для физического лица языком.
«В любом случае украинские компании будут вынуждены в первую очередь модернизировать системы своей информационной безопасности для их безопасного хранения и недопущения утечки данных, что неизбежно повлечет дополнительные расходы. Они будут придерживаться единого набора правил в своей деятельности, дабы не подпасть под ответственность, предусмотренную за невыполнение положений GDPR. В связи с этим теперь и украинским пользователям (потребителям) будет более понятно, для каких целей они предоставляют свои персональные данные и как они используются», – отмечает Мария Коваль.
В этом контексте нужно заметить, что, украинские компании волей-неволей начнут относиться более внимательно к сохранности и неразглашению персональных данных также и украинских граждан, что, безусловно, положительно скажется на рядовых украинцах. Компании со временем перестанут запрашивать у рядовых украинских граждан «избыточные» персональные данные, т.е. те, которые собираются на данный момент для целей маркетинга и продвижения продаж товаров компаниями (например, при выдаче карточек постоянных покупателей и т.п.).
Украинские компании будут вынуждены в первую очередь модернизировать системы своей информационной безопасности для недопущения утечки данных и их безопасного хранения, что означает дополнительные расходы. Более того, компании вынуждены переписывать свои политики конфиденциальности, а это может означать дополнительные объемы работ и расходов на привлечение юристов, зачастую внешних. Также это дополнительные расходы на оплату услуг внешних фирм- контролеров данных.
Артур Савин также считает, что в зависимости от спектра и вида обработки данных, компании должны будут назначить инспектора по GDPR (в случае обработки большого массива данных либо определенных видов персональных данных), либо представителя в ЕС для контактов с компанией на предмет обработки данных. На практике, должен быть подписан договор с другой компанией).
Эти правила регламентируют проведение так называемого мониторинга поведения. Под ним подразумевается любое отслеживание действий субъекта, например, сведения о посещении каких-либо мест. Как это все будет отслеживаться и вноситься и куда? Не идет ли это в разрез с основными конституционными правами граждан ЕС и украинских граждан, которых заденет GDPR?
GDPR не указывает, как именно происходит отслеживание, но, как правило, такое отслеживание происходит с помощью различных инструментов, в основном аналитических файлов cookie для целей создания профайла физического лица, в частности для принятия решения по нему для проведения какого-либо анализа. Хранится такая информация обычно на серверах компании, которая и осуществляет такой мониторинг.
Мария Коваль особо отмечает, что мониторинг может осуществляться только при наличии недвусмысленного согласия пользователя, и он должен четко понимать, для каких целей (законных) такой мониторинг проводится, то о нарушении конституционных прав граждан здесь речь не идет. В тоже время, как мы указывали выше, пользователь может в любое время запретить проводить мониторинг своего поведения, отозвав свое согласие или направив компании уведомление о желании прекратить отслеживание своего поведения.
В целом, как отмечают эксперты, GDPR в силе сыграть свою положительную роль на украинском рынке — может позитивно повлиять на технологическое развитие украинских компаний и на защиту персональных данных граждан Украины. Так что GDPR будут рады и компании, и рядовые граждане нашей страны.
