В том прекрасном мире четвертой индустриальной революции, который нам уже долгое время рисуют технократы и популярные СМИ, инновации развиваются по экспоненте. Big Data, интернет вещей, нейронные сети и искусственный интеллект давно перестали быть узкоупотребляемыми терминами и входят в поле зрения почти любого современного бизнеса. Уследить за ними тяжело, и все же такие технологии, помимо очевидных преимуществ, иногда вызывают вопросы. Поэтому, вопрос, когда данные технологии войдут в ФОКУС внимания мировых регуляторов, не заставил себя долго ждать. Первыми в очередь выстроились вопросы по персональным данным.
Данные – главная движущая сила всего того, что принято объединять названием future of technologies, и основной актив больших технологических компаний. На обмене данных между умными устройствами завязан интернет вещей. Именно с помощью данных, которые огромными массивами пропускаются через нейронную сеть, ИИ натренировался до того, что победил чемпиона игры в го. Все чаще можно услышать, что гиганты IT-индустрии делятся своими разработками в области искусственного интеллекта, однако для того, чтобы в полной мере раскрыть потенциал таких решений, нам понадобятся данные. Огромный массив данных.
В связи с проникновением технологий в наш быт, право на неприкосновенность частной жизни становится одним из краеугольных камней развития таких инноваций. Люди начинают осознавать тот колоссальный объем информации, которая собирается о них даже без участия самого человека. Об этом, в частности, говорит недавняя нашумевшая ситуация с Tinder. Если данные считают новой нефтью, то приватность — это новый товар, добавочная стоимость новых технологий (privacy is the next commodity). В будущем приоритет будет отдаваться тем умным устройствам, которые могут гарантировать безопасность хранимых данных.
Первыми протоптать дорожку в защите прав своих граждан в информационную эпоху решила Европейская комиссия. Уже 23 мая 2018 года в ЕС вступает в силу новый регуляторный акт, широко обсуждаемый GDPR – General Data Protection Regulation. Если вы до сих пор не знаете отличие DPA от DPO, какое отношение к нам имеет регуляторка ЕС и почему во встречах на фейсбуке то и дело можно увидеть различные мероприятия на эту тему, тогда эта статья для вас.
Почему об этом все говорят и для кого это актуально? И почему никому не интересные ранее персональные данные вдруг привлекают столько внимания?
Обозначим несколько ключевых моментов. Новый акт сдвигает горизонт того, как государства раньше подходили к регулированию этой сферы. В GDPR есть масса интересных деталей, однако основных изменений, по мнению автора, всего два.
Первое – более широкое и гибкое толкование того, что следует относить к персональным данным. Второе – действие GDPR выходит за пределы стран Евросоюза. К этому также можно добавить то, что уже знакомые нам права субъектов персональных данных снабдили вполне конкретным механизмом их реализации, который, в свою очередь, опирается на вполне осязаемые санкции за нарушение таких прав. Многие большие компании всерьез обеспокоились тем, что за неправильно полученное согласие на обработку персональных данных пользователя теперь можно влететь на штраф до 4% с оборота. Да, за те самые галочки, которые мы заполняем в онлайн-форме, когда регистрируемся на любом сайте.
Гибкость, а также идущая бок о бок с ней неясность пронизывают весь текст документа. Отход от формализма кажется хорошим подходом, однако оценочные понятия вроде «явное согласие», «объяснить в понятной форме», «эффективные/разумные меры защиты» всегда будут скользкой темой в любом законодательном акте. Местные органы по защите персональных данных в странах ЕС сейчас разрываются от потока вопросов бизнеса, на которые у них пока нет ответов. Потому сообщество с нетерпением ждет дорожных карт и разъяснений касательно того, как правильно применять инструмент, заложенный в GDPR.
Как определяются персональные данные в GDPR?
Это любые данные, которые идентифицируют пользователя, либо же с помощью которых пользователь может быть идентифицирован. Те, кто уже имел дело с законами в сфере защиты персональных данных, не найдет ничего нового в таком подходе. В похожей форме он используется и в законе Украины «О защите персональных данных».
Другие, скорее всего, возразят – ничего ведь не понятно. Так о каких конкретно данных идет речь? Конкретного перечня нет, и не будет. Максимум, на что можно надеяться от регулятора, это перечисление в своих разъяснениях тех видов данных, которые точно являются персональными. Сам же список никогда не будет исчерпывающим.
В разных случаях одни и те же данные могут быть персональными, а могут и не быть. Иногда эти же данные можно отнести к категории данных, которые составляют особенный риск (sensitive data) – к ним закон еще более строг. Не в последнюю очередь это происходит благодаря новым передовым технологиям, например, image recognition и big data.
Не будем приводить в качестве примеров паспортные данные, связки имя-фамилия-имейл-телефон-адрес проживания, которые очевидно являются персональными. К слову, IP-адреса, идентификаторы устройств и т. д., если кто-то до этого сомневался, теперь однозначно отнесли к персональным данным.
В качестве примера возьмем тот, который вызвал дискуссию в зале во время одного из мероприятий на эту тему. Видеокамера снимает входящих в помещение клиентов банка и, соответственно, может запечатлеть лица вполне конкретных людей. Является ли изображение человека персональными данными? Скорее всего нет, если цель обработки – поддержание уже привычного нам уровня безопасности, и банк не располагает другой информацией, которая поможет опознать конкретного человека. А что если к камере добавить технологию распознавания лиц, сопоставить с базой данных банка и использовать для коммерческих целей? Без сомнений, перед нами персональные данные.
Пойдем еще дальше, и представим эту продвинутую камеру в медицинском учреждении, а именно – в отделении, где лечат вполне конкретные болезни. На мой взгляд, теперь перед нами sensitive data. Новым в подходе европейцев можно считать то, что под регулирование теперь подпадает и отслеживание поведения пользователей и его предпочтений (profiling).
Что делать в таком случае? Существует мнение, что всегда разумно позаботиться о том, чтобы не случилось худшего, а лучшее само себя найдет. Взяв на вооружение такой подход, многие компании единолично принимают решение считать определенные виды данных персональными и относиться к ним с более повышенным уровнем защиты.
На кого распространяется GDPR?
У нового регуляторного акта – экстерриториальный характер. Его действие распространяется потенциально на компании, которые находятся где угодно, если они хранят данные европейских граждан и предлагают им товары/услуги или отслеживают их поведение в сети. Такой подход не новый. К примеру, его уже практиковала Канада в своем антиспам-законе CASL. Однако, GDPR увеличивает масштаб и последствия применения такого механизма.
Таким образом, вариации при которых GDPR будет актуальным для бизнеса в Украине, могут быть самыми разными. Хранение персональных данных в облаке европейского провайдера, при котором данные находятся на серверах ЕС. Предоставление услуг пользователям из ЕС с использованием SaaS-модели. Или же вы облачный провайдер и предоставляете инфраструктуру для размещения SaaS-решения, конечными пользователями которого будут жители из ЕС. Это же касается бизнес-аналитики, предметом которой является мониторинг поведения жителей ЕС. Кстати, само по себе размещение персональных данных в облаке уже является их передачей третьему лицу.
Такие возможные варианты пересечений подводят нас к двум видам субъектов, которые выделяет и разграничивает GDPR – контроллер и процессор данных. Контроллер – любой из тех, кто определяет цель и способы обработки персональных данных. Процессор – тот, кто осуществляет обработку персональных данных для контроллера. Ими могут быть как физические и юридические лица, так и государственные органы.
Традиционно, основные обязательства будут возлагаться на контроллера, однако в этой связи интересными будут требования к процессорам. Часть из них они делят совместно с контроллером, например, по уведомлению компетентных органов о взломе, назначении специального сотрудника DPO – об этом еще будет речь чуть ниже. Среди специфических требований процессора – обеспечение обязательств о конфиденциальности среди своих сотрудников, соблюдение правил по назначению субпроцессоров, поддержка контроллера при получении разрешений от местных ведомств по защите персональных данных, а также предоставление данных, демонстрирующих комплаенс с GDPR по требованию контроллера.
Что нового от нас требует GDPR?
Полный перечень изменений навряд ли получилось бы уместить в одной обзорной статье, не говоря уже об имплементации ее положений, что может занять у некоторых компаний не один месяц. Главная причина, по которой комплаенс с GDPR может занять столь много времени, заключается в том, что в этот раз законодатель старается приблизится к корню проблемы. Он требует проведения комплекса мероприятий, как организационных, так и технических, для того, чтобы по существу изменить то, как компания относится и работает с данными. Просто обложиться документацией и собрать подписи сотрудников о том, что они ознакомлены с бесчисленным количеством политик в компании теперь не будет достаточно (хотя работу на этом уровне никто не отменял).
Закрепленные в GDPR принципы privacy by default и privacy by design требуют уже на этапе разработки закладывать соответствующую законодательству механику работы софта. Ограниченнее доступа к персональным данным должно быть в любом сервисе опцией по умолчанию, а не дополнительной кнопкой, которую пользователь может включить по своему усмотрению. Отдельные положения GDPR говорят нам об анонимизации некоторых видов данных, а если в целях безопасности хранить определенные виды данных следует раздельно, значит необходимо хранить их в разных местах.
Политика, которую читает пользователь, соглашаясь на обработку данных должна быть выражена в понятной и легко усваиваемой форме. То, что мало кто читает 20-страничные документы, изложенные сухим канцелярским языком, где в каждом предложении встречается очередной длинный дисклеймер с обилием “и/или”, многие компании уже давно начали замечать. Хорошим тоном стали более дружелюбные к пользователю “Политики конфиденциальности”. Однако, последние требования европейского законодателя задают новую планку в этом вопросе. Возможно, через некоторое время лаконичным документом в инфостиле уже никого не удивишь, а информировать пользователя о сборе данных будут с помощью продуманного интерфейса с интерактивом.
Согласие, которое дает пользователь, должно быть обязательно выражено в активном действии. На практике это может проявляться в совсем незначительной, на первый взгляд, мелочи – флажок напротив известной нам фразы «Согласен с обработкой данных и ознакомился с Правилами ресурса» не должен быть предварительно проставлен. Кстати, в конкретных случаях, когда есть неравенство в положении компании, запрашивающей персональные данные, и пользователя, который их предоставляет, согласие могут признать недействительным. И даже, если оно было получено правомерно, это не отменяет требований GDPR о разумном объеме запрашиваемых данных, который должен соответствовать целям обработки.
На деле это значит, что даже если пользователь добровольно сдал свои данные «на кабальных» согласно GDPR условиях и дал разрешение делать с ними, что угодно, это вовсе не дает права, тому кто их получил, поступать именно так. Точно так же, сомнительной будет выглядеть попытка получить согласие на передачу данных третьим лицам, без указания конкретных субъектов. Чтобы дать согласие на передачу своих данных кому-либо, пользователь должен этого кого-либо увидеть.
Остановимся на правах субъектов персональных данных по GDPR. Свое отображение в них нашли права быть забытым или право на забвение. Помимо этого, довольно интересным является новое право пользователя на мобильность (portability) его персональных данных. Законодатель закрепил возможность пользователя извлечь свои персональные данные у текущего контроллера и передать их на хранение другому. Как именно это будет происходить на практике, особенно по части обязательств текущего контроллера, вопрос крайне интересный.
К особенностям GDPR также следует отнести обязательство проводить оценку влияния, оказываемого на защиту данных, например, при внедрении новой технологии, которые касаются автоматизированной обработки данных, большого объема особых категорий данных или же мониторинга публично доступных мест. В ряде случаев, в компании необходимо будет учредить позицию Data Protection Officer (DPO) – сотрудника, который будет ответственен за законную обработку и защищенность данных. Особо важным является Data Breach Notification – уведомление о взломе, который ставит под удар безопасность персональных данных, должно быть отправлено компетентному органу незамедлительно, но не позже 72 часов, равно, как и пользователю, чьи права это может затронуть.
Многие вещи уже не новы, и находили свое выражение в разрозненном законодательстве других прогрессивных стран, либо же в форме судебных решений в правовых системах общего права. Заслуга GDPR – кристаллизация всех наработок в единый акт и подкрепление его, пускай пока еще не до конца понятным, но все же новым механизмом.
Выводы
Все вышеописанное – лишь вершина айсберга, которая неизбежно должна вызвать множество вполне справедливых вопросов, на которые без разъяснений DPA (Data Protection Authority) и будущей практики правоприменения, точные ответы дать будет очень трудно. Вполне вероятно, что в скором времени наряду с техническими стандартами безопасности ISO, появятся и стандарты GDPR вместе со своими сертифицированными провайдерами.
Многие крупные компании уже всерьез готовятся к грядущим изменениям, учитывая цену ошибки по новым правилам игры. Кто-то пересматривает контракты с подрядчиками, а транснациональные гиганты уже наверняка ломают голову над data mapping и создают дорожную карту того, какие данные, из какого филиала и на какой сервер у них курсируют. Ведь потом их необходимо будет завернуть в красивую упаковочку и быть готовым предоставить по запросу DPA – еще одно обязательство по GDPR.
Ниже приведу несколько причин, почему и всем остальным стоит задуматься о комплаенсе с GDPR.
- Конкурентное преимущество. Вспоминаем про то, что приватность – добавочная стоимость продукта и всегда хороший тон перед клиентом.
- Работа на перспективу. Лучше уже сейчас закладывать в свой продукт те вещи, которые работают по новым правилам игры, нежели потом все переделывать.
- Европейский стандарт качества. Весьма вероятно, что рано или поздно Украина попытается перенять опыт европейских соседей.
Автор: Александр Шуляр, юрист практики ТМТ юридической компании “Юскутум”