GDPR-комплаєнс: Ключові овації

Oлена ЛИННИК,
керуючий партнер Gryphon Group

Про ключові новації та правничі інструменти, які стануть у нагоді задля узгодження діяльності бізнесу з нормами Регламенту GDPR

Із наближенням травня 2018 року захист персональних даних став однією з найбільш хвилюючих, обговорюваних та дещо болючих тем у межах бізнесового середовища. Причина дискусій — введення в дію General Data Protection Regulation (Загального регламенту із захисту персональних даних), відомого як GDPR. Відповідна подія спровокувала перехід на суттєво вагоміше та детальніше регулювання механізмів роботи із персональними даними: Регламент передбачає якісно інший рівень захисту персональних даних (як з юридичної, так і з технічної та організаційної точок зору), а також підхід до ролі суб’єкта даних (погляд на бізнес-процеси через призму захисту й поваги до волевиявлення користувача).

 

Відповідь на тенденції

Розуміння значимості захисту персональних даних в умовах все більшої інформатизації суспільства і стало мотивацією таких змін: опрацювання персональних даних — основа функціонування абсолютної більшості систем сьогодення, а власне персональні дані вже давно стали об’єктом прибутку. Усі структури — як комерційні, так і некомерційні: чи то лікарня, аеропорт, чи то соціальна мережа, онлайн-платформа/сервіс: від офіційних державних до ігрових — так чи інакше (під впливом конкуренції, задля поліпшення функціонування сервісу, полегшення користування конкретною умовною платформою самим же споживачем тощо) — мають потребу, зокрема, в аналізі поведінки користувачів, послуговуючись у своїй діяльності великою кількістю персональних даних. Раніше така діяльність не мала чіткого регулювання, відтак великі обсяги персональних даних опрацьовувалися без повідомлення та належного дозволу користувача, який опинявся в ситуації відсутності реального вибору: відмова від опрацювання власних персональних даних на умовах конкретного сервісу фактично означала неможливість користування певною послугою, задля якої останній і вступав у відповідні правовідносини. Таким чином, прийняття Регламенту є своєрідною відповіддю на ті тенденції та процеси, що знаменують собою результат розвитку суспільства та інформаційних технологій, більше того — на ту закономірну складову відповідного розвитку, яка відображається й у масштабному негативному досвіді глобальних втрат, зламів, витоку даних користувачів тощо.

Таким чином, враховуючи, що GDPR, відтак і всебічний захист персональних даних, стали нашим сьогоденням, а також суми штрафів, застосовні у разі його ­недотримання, які, як зазначається у тексті документа, за сукупності певних чинників та порушень можуть становити близько 4 % річного обороту компанії, необхідно якнайшвидше зрозуміти, який стосунок до Регламенту має конкретний бізнес та які дії необхідно здійснити задля відповідного узгодження.

 

Предмет дії GDPR

Спробуймо дати стислі відповіді на низку актуальних питань. У першу чергу: яких бізнесів стосується Регламент № 2016/679 Європейського парламенту та Ради Європейського Союзу від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних? Текст документа свідчить про те, що для керівника компанії, що має бізнес, пов’язаний, так чи інакше, з ЄС, може бути корисним проаналізувати здійснюване опрацювання персональних даних на предмет відповідності таким критеріям: чи опрацьовуються його або її бізнесом персональні дані суб’єктів даних (фізичних осіб, яких, прямо чи ­опосередковано, можна ідентифікувати), які перебувають на території ЄС? Якщо відповідь «так», то надалі треба ідентифікувати, чи опрацювання таких даних пов’язане із постачанням товарів, наданням послуг вищевказаним суб’єктам даних, незалежно від оплатності, або моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах європростору.

У разі якщо на всі питання ви відповіли «так», то ваша бізнес-структура є об’єктом моніторингу GDPR-compliance. Відтак, вищезазначене свідчить про передбачений Регламентом принцип екстериторіальності. Відповідно, дія положень GDPR поширюється не тільки на розташовані на території ЄС компанії або представництва, а й також на ті компанії або їхні структурні підрозділи, що знаходяться поза ме­жами ЄС, незалежно від того, чи вони виступають у ролі контролерів (визначають цілі та засоби опрацювання персональних даних), чи операторів (здійснюють опрацювання від імені контролера). До предмета ж дії та регулювання GDPR, як свідчать положення Регламенту, належать, передусім, персональні дані про фізичних осіб, що включені та задіяні (у контексті будь-якої операції з такими даними: збирання, доступу, зберігання, структурування, аналізу, модифікації тощо) у структурі компанії та/або її представництва.

Персональними даними Регламентом визначено будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати (зокрема, за допомогою таких ідентифікаторів, як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи).

Таким чином, до персональних даних також належать дані про сімейних стан, стан здоров’я людини, орієнтацію, генетичні, біометричні дані, інформація, що стосується судимостей і кримінальних злочинів, а також дані про політичні погляди — себто інформація, за яку партію та/або політичного діяча зазвичай голосує людина.

Проте наведені вище категорії даних, згідно з положеннями Рег­ламенту, може опрацьовувати лише відповідним чином кваліфікований фахівець, згідно з зазначеним у Регламенті переліком цілей збору інформації, із призначенням співробітника з питань захисту даних. Як бачимо, перелік критеріїв та глибина обробки персональної інформації достатньо великі і можуть стосуватись доволі чутливих тем та складових бізнесу. У такому світлі актуальним може бути відповідь на питання: «а як же зробити так, щоб надання суб’єктом даних своєї персональної інформації було чітко регламентованим і, говорячи тривіальною мовою, не стало проблемою, пов’язаною з незаконним використанням таких даних»?

 

Права суб’єкта даних

З огляду на наявність обмежень щодо опрацювання спеціальних категорій даних, обов’язків здійснювати технічні (використання псевдонімів, шифрування тощо) та організаційні (влаштування нав­чальних семінарів для працівників тощо) заходи захисту персональних даних, а також складність уніфікування міріади бізнес-процесів у певний загальний алгоритм, єдиного універсального інструмента захисту компаній від невідповідності/порушення Регламенту на цей момент немає. Відповідно, жодна стаття GDPR не дасть на наведене вище запитання точної та вичерпної відповіді із чітким планом дій.

Утім, є певні ключові новели та правничі інструменти, на які потрібно звернути увагу задля узгодження діяльності бізнесу із нормами Регламенту, зокрема: перегляд формату отримання згоди (особливо щодо дитини) та політики приватності (конфіденційності) у бік зрозумілого, простого, ­чіткого, ­диференційованого від інших питань, доступного користувачеві зазначення щодо переліку, обсягу персональних даних (не більш ніж потрібно з огляду на мету), кола прав суб’єкта даних, цілей, періоду опрацювання, джерела походження, одержувачів таких даних (третіх осіб), порядку комунікації (відповіді на запити, повідомлення суб’єкта даних про порушення захисту персональних даних) та вирішення спорів, особи контролера; аналіз здійснюваних технічних та організаційних заходів безпеки, співпраця із наглядовими органами (нотифікація про порушення захисту персональних даних, належне реагування на запити тощо).

Регламентом суттєво розширена правова основа щодо механізмів контролю суб’єктами даних надання доступу до своїх персональних даних.

Серед нововведень — право запитувати інформацію про категорії даних, що обробляються, місце збереження, а також третіх осіб, яким надається доступ до персональних даних. З моменту введення у дію Регламенту, особи мають право робити запити щодо періоду обробки персональних даних, джерела отримання їх персональних даних, а також права на підтвердження факту їх обробки. Окрім цього, GDPR встановлює чіткі критерії до форми отримання згоди особи на опрацювання відповідної персональної інформації. Згідно з його положеннями, така згода має бути матеріалізована у вигляді ствердження, підтвердження або у формі «чітких активних дій надавача інформації», стосуватися кожної конкретної мети опрацювання.

Заслуговує на увагу і положення про те, що згода на обробку персональних даних має бути добровільною: буде недійсною у разі, якщо у суб’єкта даних не було вибору, можливості відізвати надання згоди «без заподіяння шкоди самому собі» (безпосередній послузі тощо, задля якої останній вступив у відповідні правовідносини). Варто згадати і про той факт, що згода на опрацювання персональних даних не може бути наданою у результаті дії/дій, що ґрунтуються на принципі «мовчазної згоди» — так званих конклюдентних дій.

 

Представник бізнесу

У Регламенті за суб’єктами даних закріплене так зване право бути забутим (right to be forgotten). Так, суб’єкти даних мають право на видалення персональної інформації, себто персональних даних особи, яке безпосередньо співвідноситься з обов’язком контролера здійснити видалення таких даних. Відповідно до положень Регламенту, будь-яка компанія, яка здійснює опрацювання персональних даних, зобов’язана у разі надходження відповідного запиту клієнта видалити із бази даних таку інформацію, якщо, як стверджується у Регламенті, її видалення не суперечить загальносуспільним інтересам або не становить шкоди фундаментальним правам людини і громадянина.

Зручною правовою новелою Регламенту може вважатись right to data portability — право на мобільність даних. Сутність цієї норми полягає у тому, що бізнес, який здійснює опрацювання персональних даних, зобов’язаний у відповідь на запит суб’єкта даних на безоплатній основі надати копію персональних даних у такому електронному форматі, що дає змогу здійснювати використання відповідних персональних даних на інших платформах/ресурсах/сервісах, тобто передати іншому конт­ролеру.

Згідно з GDPR, у разі розпов­сюдження на організаційну структуру бізнесу відповідних положень Регламенту, при тому, що головний офіс розташований не в європейському економічному просторі, необхідною складовою успішної роботи вашої компанії є наявність представника такого бізнесу на території ЄС та країн економічного простору Європи. Такою контакт­ною особою з питань комплаєнсу може бути як фізична, так і юридична особа.

Ключовими вимогами до відповідного представника є: постійне перебування в одній із країн, де перебувають особи, персональні дані яких піддаються опрацюванню та отриманню «мандату» від конт­ролера або оператора. Ситуація у такому світлі спрощується тим, що Регламент не містить чітких приписів щодо того, чи відповідна авторизована особа повинна мати диплом правника із відповідним кваліфікаційним стажем. Таким чином, якщо ви керуєте певною компанією, що на постійній основі здійснює бізнес-діяльність із ЄС (у розумінні принципу екстериторіальності зокрема), вам, високовірогідно, було б зручно укласти договір з юридичною чи фізичною особою, що здійснюватиме постійне представництво та захист інтересів в одній із країн, де знаходяться суб’єкти, персональні дані яких опрацьовуються.

-->