Нещодавно в Євросоюзі став діяти новий регламент під назвою GDPR - General Data Protection Regulation. Це правовий акт, який має посилити контроль над процесом збирання, оброблення та передавання персональних даних резидентів і громадян ЄС на території Європейського Союзу та за його межами. Як діятиме чи вже діє новий регламент? Який вплив він матиме на роботу вітчизняних компаній, що є експортерами або імпортерами, та як кардинально зміняться правила гри на різних ринках?
Оновлені правила оброблення персональних даних встановлені Загальним регламентом щодо захисту даних. Цей регламент діятиме в усіх 28 країнах ЄС і змінить рамкову Директиву про захист персональних даних від 24 жовтня 1995 року. Як ці нововведення позначаться на Україні та вітчизняних компаніях, що працюють зі споживачами на європейському ринку, а також іноземних фірмах, що працюють у нашій країні?
«Метою ухвалення GDPR, що набув чинності 25 травня 2018 р. і прийшов на зміну DataProtectionDirective (діяла з 13 грудня 1995 р.), є оновлення законодавства Європейського Союзу щодо захисту персональних даних резидентів ЄС.
Розробники GDPR зазначають, що вони мали на меті вдосконалити захист персональних даних, а також розширити права громадян щодо оброблення їхніх персональних даних», – говорить Економічним новинам Артур Савін, юрист Lavrynovych & Partners Law Firm.
Незважаючи на те, що регулювання ухвалено в ЄС, його дія поширюється далеко за його межі. Відповідати нововстановленим вимогам повинні будуть усі компанії, що здійснюватимуть/здійснюють збирання й оброблення (контролер і процесор, відповідно) персональних даних.
Тому українські компанії, які, так чи інакше, стикаються зі збиранням або з обробленням персональних даних резидентів ЄС, мають відповідати встановленим вимогам та дотримуватися їх. До персональних даних можна зарахувати будь-яку інформацію, за якою можна прямо або опосередковано визначити конкретну особу/суб’єкта даних (ім’я, дані про місце розташування, онлайн-ідентифікатор, фізичні, генетичні, соціальні й інші дані).
«GDPR у будь-якому разі посилює контроль над процесом збирання й оброблення персональних даних, бо значно розширює права громадян і резидентів ЄС з контролю за своїми даними: вони зможуть подавати звернення щодо факту оброблення своїх даних, мети такого оброблення, кому розкриваються такі дані тощо. Тобто, наприклад, у разі виникнення будь-якої суперечливої ситуації, фізична особа завжди зможе простежити, хто, коли й навіщо збирав, обробляв і розкривав його персональні дані», – зазначає адвокат ЮФ «Ілляшев та Партнери» Марія Коваль.
Які зміни несе GDPR? По-перше, це потреба отримання повної згоди на оброблення персональних даних від особи, дані якої оброблятимуть (для дітей до 16 років потрібна згода батьків). Якщо згоду отримано не було, то в такому разі є всі підстави вважати, що дані використовують неправомірно і вони мають бути видалені.
«По-друге, компанії, які збирають дані, мають надати зрозумілу інформацію щодо того, хто і з якою метою ці дані використовуватиме. По-третє, особа повинна мати доступ до інформації про неї та матиме право вимагати виправлення інформації (компанія має надати контакти, куди зможуть звертатися особи з питань оброблення та зберігання своїх персональних даних», – уважає Артур Савін.
Також зазначимо важливий момент – особа має право відкликати будь-якої миті згоду на оброблення її персональних даних та вимагати видалення даних, якщо вони зберігаються/обробляються незаконно. Крім того, компанії, які здійснюють збирання або процесинг (оброблення) даних, мають імплементувати у свою роботу надійний технологічний захист даних з використанням шифрування й інших способів захисту.
Важливим є й те, що також значно збільшено суми штрафів за розголошення, витік та неправомірне використання персональних даних.
На думку пана Савіна, що стосується санкцій, то вони можуть досягати до 4% річної виручки компанії або до 20 мільйонів євро в разі незабезпечення безпеки персональних даних, і до 2% або до 10 мільйонів євро в разі, якщо під час витоку даних контролер не повідомив про це регулятора чи фізичних осіб.
Це, безумовно, змусить компанії ставитися до питання збирання персональних даних набагато серйозніше, тобто, наприклад, спам-розсилання стане значно менше або воно зникне зовсім.
Регламент має екстериторіальний принцип дії. А це означає, що він діятиме щодо українських компаній, які збирають і обробляють персональні дані громадян та резидентів Європейського Союзу. Майже всі українські компанії, які працюють з громадянами ЄС, уже були змушені до набрання Регламентом чинності приводити свої політики конфіденційності в повну відповідність до нього та викласти їх простішою та зрозумілішою для фізичної особи мовою.
«У будь-якому разі українські компанії будуть змушені передусім модернізувати системи своєї інформаційної безпеки для їхнього безпечного зберігання та недопущення витоку даних, що неминуче спричинить додаткові витрати. Вони дотримуватимуться єдиного набору правил у своїй діяльності, щоб не підпасти під відповідальність, передбачену за невиконання положень GDPR. Зважаючи на це, тепер і українським користувачам (споживачам) буде зрозуміліше, з якою метою вони надають свої персональні дані та як їх використовують», – зазначає Марія Коваль.
У цьому контексті зазначимо, що українські компанії хоч-не-хоч почнуть ставитись уважніше до збереження та нерозголошення персональних даних також і українських громадян, що, безумовно, позитивно позначиться на звичайних українцях. Компанії згодом не запитуватимуть у простих українських громадян «зайвих» персональних даних, тобто тих, що збирають на цей момент з метою маркетингу та просування продажів товарів компаніями (наприклад, під час видачі карток постійних покупців тощо).
Українські компанії будуть змушені насамперед модернізувати системи своєї інформаційної безпеки для недопущення витоку даних та їхнього безпечного зберігання, що означає додаткові витрати. Крім того, компанії змушені переписувати свої політики конфіденційності, а це може означати додаткові обсяги робіт і витрат на залучення юристів, часто зовнішніх. Також це додаткові витрати на оплату послуг зовнішніх фірм – контролерів даних.
Артур Савін також уважає, що залежно від спектра та виду оброблення даних компанії повинні будуть призначити інспектора з GDPR (у разі оброблення великого масиву даних чи певних видів персональних даних) або представника в ЄС для контактів з компанією щодо оброблення даних. На практиці, має бути підписано договір з іншою компанією).
Ці правила регламентують здійснення так званого моніторингу поведінки. Під ним мається на увазі будь-яке відстеження дій суб’єкта, наприклад, відомості про відвідування будь-яких місць. Як це все відстежуватимуть і вноситимуть, і куди? Чи не йде це врозріз з основними конституційними правами громадян ЄС і українських громадян, яких зачепить GDPR?
GDPR не зазначає, як саме відбувається відстеження, але, як правило, таке відстеження відбувається за допомогою різних інструментів, здебільшого аналітичних файлів cookie з метою створення профайла фізичної особи, зокрема, для ухвалення рішення щодо неї для здійснення будь-якого аналізу. Зберігається така інформація зазвичай на серверах компанії, яка й здійснює такий моніторинг.
Марія Коваль особливо зазначає, що моніторинг може здійснюватися тільки за наявності недвозначної згоди користувача, і він має чітко розуміти, з якою метою (законною) такий моніторинг здійснюється, тож про порушення конституційних прав громадян тут не йдеться. Водночас, як ми зазначали вище, користувач може в будь-який час заборонити проводити моніторинг своєї поведінки, відкликавши свою згоду або надіславши компанії повідомлення про бажання припинити відстеження своєї поведінки.
Загалом, як зазначають експерти, GDPR у силі відіграти свою позитивну роль на українському ринку – може позитивно вплинути на технологічний розвиток українських компаній та на захист персональних даних громадян України. Тож GDPR будуть раді і компанії, і звичайні громадяни нашої країни.