Майже кожна українська компанія працює з персональними даними клієнтів. Правила вимагають від них дбайливо ставитися до охорони персональних даних, запитувати лише необхідну інформацію, а також прописувати зрозумілі політики по роботі з даними.
ІТ-адвокат Сергій Барбашин з Trustme Law Firm працює із ІТ та сервісними компаніями, майже кожного тижня готуючи необхідні GDPR- та AML-політики. У своїй статті він розповідає GDPR, чи діють норми на український бізнес та як уникнути можливих штрафів.
Що собою являє GDPR
GDPR — загальний регламент захисту персональних даних Європейського союзу, що діє з 25 травня 2018 року. Фактично, це правила із зберігання та обробки персональних даних фізичних осіб. Фізичні особи регулярно надають свої персональні дані іншим особами для того, щоб отримати певні товари, послуги тощо. Тому, GDPR — обов’язкові нормативи для отримувачів цих даних, щоб підвищити рівень їх захисту від витоку та/або несанкціонованого використання.
Основні елементи GDPR
1. Суб’єкти. Правилами визначено таких основних розпорядників даних, як:
- «Контролер» — особа, яка збирає дані від резидентів ЄС, гарантує обробку даних відповідно до вимог GDPR, а також несе відповідальність за порушення норм. Контролем може бути, наприклад, сайт на якому зроблене замовлення чи надається послуги споживачам.
- «Процесор» — особа, яка опрацьовує дані від імені контролера і так само буде відповідати за порушення норм GDPR. Процесором може бути, наприклад, постачальник хмарних послуг.
- «Отримувач» — особа, якій розкриваються персональні дані.
Функції цих трьох ролей може виконувати, як одна, так і різні особи.
2. Принципи. При роботі з персональними даними компанії повинні дотримуватися таких основних принципів:
- Цільове визначення. Фізична особа має бути повідомлена про конкретні цілі збирання її персональних даних та для чого вони будуть використовуватися.
- Мінімізація даних. Не можна запитувати дані, які не є необхідними для цілей їхньої обробки.
- Точність. Персональні дані мають бути актуальними та точними, а не точні дані повинні видалятися.
- Цілісність і конфіденційність. Спосіб обробки має гарантувати безпеку персональних даних від їх втрати, витоку, пошкодження, знищення.
3. Згода фізичної особи на обробку персональних даних
Це є ключовим фактором тому, що компанії не мають права обробляти персональні дані без отримання відповідної згоди.При цьому, прохання надати згоду має бути чітким та зрозумілим. Прикладом належного отримання згоди є погодження у вигляді однозначної вказівки за допомогою заяви або чіткої позитивної дії.
Зробивши позначку в полі «Я згоден» (I accept), суб’єкт даних здійснює чітку позитивну дію, що засвідчує згоду на обробку її персональних даних.
Прикладом неналежного отримання згоди є надання абстрактної інформації для ознайомлення, використання таких слів як «можливо», «певний», «часто» та складні звороти, що можуть заплутати особу. Інколи компанії порушують принципи відкритості та надання вільної згоди, що полягає в змушуванні клієнтів/користувачів надавати свої персональні дані та згоду на їх опрацювання тим сервісам компанії, яким не потрібна така інформація.
4. Мета. Обробка персональних даних визнається законною, якщо вона здійснюється у таких випадках:
- надання даних необхідно для виконання договору, де прямо чи опосередковано є ваша компанія та споживач;
- обробка потрібна для захисту публічних інтересів;
- споживач погодився на опрацювання персональних даних для чітких цілей;
- одержання персональних даних потрібно для захисту життєво важливих інтересів.
Чи поширюється GDPR на українські компанії?
Існують три умови, коли на вашу діяльність поширюються норми GDPR:
- Відбувається робота з персональними даними громадян ЄС
- Реєстрація на території ЄС компанії, що є контролером, процесором або отримувачем даних.
- Відстежується поведінка суб’єктів даних в межах ЄС.
Фактично, якщо бізнес зареєстровано на території ЄС або збираються персональні дані громадян ЄС, то така діяльність підпадає під дію GDPR. Наприклад, якщо компанія зареєстрована в Литві, а працівники та засновники з України, вважається, що компанія функціонує на території ЄС, тому підпадає під дію регламенту. У випадку, якщо така компанія надає послуги лише клієнтам з СНД або не збирає персональних даних, то вона також має відповідати нормам GDPR.
У випадку, якщо українська компанія надає (або може надавати) послуги громадянам та резидентам ЄС, така компанія повинна відповідати нормам GDPR, бо обробляються персональні дані громадян ЄС.
Останньою умовою є дослідження поведінки суб’єктів даних в межах ЄС із застосуванням файлів сookie. Це може здійснюватися з метою вивчення ринку послуг і товарів або в маркетингових цілях. До моніторингової діяльності можна віднести відеоспостереження, відстеження геолокації, персоналізовані послуги аналізу щодо здоров’я в інтернеті, поведінкова реклама тощо.
Наприклад, компанія, що створена в Мексиці, надає консультації у галузі торгівлі в супермаркетах в Іспанії, аналізуючи переміщення споживачів по магазину із застосуванням мережі Wi-Fi. Аналіз переміщення клієнтів у супермаркеті за допомогою відстеження Wi-Fi буде вважатися моніторингом поведінки людей, адже відстеження поведінки відбувається у ЄС. Подібна діяльність повинна відповідати нормам GDPR.
Що необхідно бізнесу, щоб відповідати GDPR
Спершу рекомендуємо пройти звірку на відповідність регламенту. За результатами можна створити карту руху персональних даних і скласти gap assessment — документ у якому зазначається те, чого недостатньо компанії, щоб відповідати нормам GDPR в межах бізнес-процесів.
Проведення звірки для компанії є надзвичайно важливим, адже це дає можливість визначити чи необхідний GDPR взагалі та які саме процеси потрібно привести у відповідність з регламентом. GDPR-аудит дозволить структурувати (інвентаризувати) персональні дані.
Важливим кроком адаптації компанії до правил регламенту є внесення змін до внутрішньої документації компанії у відповідність до вимог GDPR. Компанія зобов’язана розробити та запровадити комплекс документів, які будуть регламентувати процеси в середині компанії, що пов’язані з обробкою та захистом персональних даних.
Відповідно до пояснень статті 29 регламенту, прикладами таких документів є:
- Privacy Policy — документ для повідомлення суб’єктів даних про порядок опрацювання компанією їх персональних даних;
- GDPR Controller/Processor Agreement Policy — документ, що регулює порядок укладення договорів між компанією та особами, які обробляють персональні дані та вказує на основні моменти таких домовленостей;
- Privacy Notice Procedure — процедура сповіщення суб’єктів даних про особливості обробки їх персональних даних;
- Data Subject Request Procedure & Complaints Procedure — визначає дії компанії у разі звернення суб’єкта даних зі скаргою чи запитом;
- Preparation Project Plan — розкриває заходи, які проводяться компанією для досягнення відповідності правилам;
- Roles and Responsibilities — встановлює обов’язкові дії для керівництва компанії та працівників у галузі опрацювання персональних даних.
Компанії повинні запровадити зрозумілий та доступний порядок одержання згоди на збирання та обробку персональних даних. Згідно регламенту користувач спочатку має погодитися з політикою конфіденційності на сайті, де вказується перелік даних та мета обробки, а вже після цього мати можливість залишити свої персональні дані. Згода користувачів на обробку даних має бути виражена активною дією. Збирати дані за замовчуванням не можна. Текст політики конфіденційності повинен мати просту форму й інформувати про те, хто збирає дані, які саме дані, на який строк тощо.
Окрім цього, організації мають забезпечити високий рівень обізнаності свого персоналу та осіб, які залучаються компанією в рамках питань, пов’язаних із захистом персональних даних. Стаття 37 регламенту зобов’язує призначити особу, відповідальну за імплементацію вимог GDPR в компанії (Data Protection Officer). Таку посаду потрібно вводити у державних установах, в компаніях, де опрацювання персональних даних проводиться систематично у великих масштабах. Вимогою на посаду є відмінне знання законодавства та практики у сфері захисту персональних даних.
Відповідальність
Найбільш поширені порушення GDPR:
- Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки.
- Порушення засад опрацювання даних.
- Виконання інформаційних зобов’язань не у повному обсязі.
- Недостатність юридичної бази для обробки даних.
Особливістю правового регулювання GDPR є запровадження значних сум штрафів: до 20 млн. євро або до 4 % річного обороту компанії за минулий фінансовий рік. Оскільки потенційні суми штрафів є суттєвими, тому така система покарання виступає додатковою мотивацією у дотриманні норм регламенту. Штрафи в більших розмірах можуть накладатися в тих випадках, коли порушення стосуються або великих обсягів персональних даних, або чутливих персональних даних (інформації про стан здоров’я, расову приналежність).
У якості прикладів відповідальності, можна навести наступні:
- Орган із захисту персональних даних Франції (CNIL) оштрафувала Google на 50 млн євро у січні 2019 року. Причинами стали відсутність прозорості, недостатнє інформування та відсутність фактичної згоди на обробку та застосування особистих даних. Усі претензії до компанії детально розписані на сайті регулятора. Google надавала користувачам недостатньо відомостей, коли отримувала згоду на обробку особистих даних. Компанія подала апеляцію на рішення регулятора до Вищого адміністративного суду Франції, проте заява була відхилена.
- У жовтні 2020 року регулятор захисту даних Великобританії наклав штраф на 20 млн фунтів стерлінгів на компанію British Airways за те, що особисті та фінансові дані (дані платіжних карток, імена та адреси мандрівників) понад 400 000 своїх клієнтів потрапили до рук хакерів.
Українське законодавство також не стає осторонь процесів захисту персональних даних. Визначено, що для опрацювання особистих даних необхідна конкретна мета, яка сформульована в положеннях чи установчих документах компаній.
Персональні дані обробляються у формі, що допускає ідентифікацію особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. Опрацьовувати та поширювати персональні дані дозволяється без згоди особи лише в особливих випадках для захисту його/її життєво важливих інтересів чи в інтересах національної безпеки.
Особисті дані видаляються або знищуються у разі закінчення строку їх зберігання, припинення відносин між суб’єктом персональних даних (працівником) та компанією чи набрання законної сили рішенням суду щодо їх видалення. В органах державної влади, органах місцевого самоврядування створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом даних при їх обробці. Фізичні особи-підприємці самостійно забезпечують захист персональних даних, якими вони володіють.
Прикладом порушення може слугувати справа № 361/1579/20. Відповідно до рішення, голова правління садового товариства поширила в загальному чаті звернення потерпілої. Окрім ПІБ, звернення містило інформацію про адресу, номер телефона та електронну адресу заявниці. Обвинувачена не визнала свою вину, натомість пояснила, що розголошена нею інформація і раніше була відома всім учасникам чату, а тому в її діях відсутній склад адміністративного правопорушення.
Суд не погодився з цією позицією та зазначив, що навіть у разі необхідності ознайомлення інших учасників товариства зі змістом звернення потерпілої перед оприлюдненням персональні дані особи мають бути заретушовані, а заявниця – знеособлена. За результатом розгляду справи суд першої інстанції наклав на голову правління товариства стягнення в розмірі 5 100, 00 грн. Згодом це рішення підтримав також Київський апеляційний суд.
Висновок
Рекомендуємо українським компаніям поступово впроваджувати норми регламенту у свою діяльність. Адже за систематичне порушення норм щодо захисту персональних даних компанії ризикують втратити довіру клієнтів, бізнес-партнерів та отримати штрафні санкції.
Звертаємо увагу, що норми GDPR поширюються на компанії ЄС, а також на випадки відносин з надання послуг за участю резидента ЄС або відстеження поведінки споживачів в ЄС. Враховуючи процеси глобалізації, особливістю GDPR є те, що його норми поширюються на значну кількість компаній не тільки в ЄС.
Для уникнення відповідальності, слід ретельно перевірити діяльність на відповідність вимогам регламенту. Як мінімум, слід запровадити:
- чіткий запит для одержання згоди на веб-сайті, сервісі, застосунку;
- оформити політику конфіденційності (Privacy Policy) та інші необхідні документи;
- отримувати та зберігати лише ті дані, які вам потрібні, вчасно їх видаляти;
- призначити відповідальну особу, яка буде стежити за дотриманням правил регламенту, якщо більшість ваших клієнтів-громадяни країн ЄС.
Ми підготували опитувальник по відповідності GDPR. Може бути у нагоді, якщо маєте бажання самостійно здійснити перевірку або звернутися за професійною допомогою.
Автор: Сергій Барбашин, ІТ-адвокат Trustme Law Firm