Майже кожна українська компанія працює з персональними даними клієнтів. Правила вимагають від них дбайливо ставитися до охорони персональних даних, запитувати лише необхідну інформацію, а також прописувати зрозумілі політики по роботі з даними.
ІТ-адвокат Сергій Барбашин з Trustme Law Firm працює із ІТ та сервісними компаніями, майже кожного тижня готуючи необхідні GDPR- та AML-політики. У своїй статті він розповідає про GDPR, чи діють норми на український бізнес та як уникнути можливих штрафів.
GDPR — загальний регламент захисту персональних даних Європейського союзу, що діє з 25 травня 2018 року. Фактично, це правила із зберігання та обробки персональних даних фізичних осіб. Фізичні особи регулярно надають свої персональні дані іншим особами для того, щоб отримати певні товари, послуги тощо. Тому, GDPR — обов’язкові нормативи для отримувачів цих даних, щоб підвищити рівень їх захисту від витоку та/або несанкціонованого використання.
Функції цих трьох ролей може виконувати, як одна, так і різні особи.
Це є ключовим фактором тому, що компанії не мають права обробляти персональні дані без отримання відповідної згоди.При цьому, прохання надати згоду має бути чітким та зрозумілим. Прикладом належного отримання згоди є погодження у вигляді однозначної вказівки за допомогою заяви або чіткої позитивної дії.
Зробивши позначку в полі «Я згоден» (I accept), суб’єкт даних здійснює чітку позитивну дію, що засвідчує згоду на обробку її персональних даних.
Прикладом неналежного отримання згоди є надання абстрактної інформації для ознайомлення, використання таких слів як «можливо», «певний», «часто» та складні звороти, що можуть заплутати особу. Інколи компанії порушують принципи відкритості та надання вільної згоди, що полягає в змушуванні клієнтів/користувачів надавати свої персональні дані та згоду на їх опрацювання тим сервісам компанії, яким не потрібна така інформація.
Існують три умови, коли на вашу діяльність поширюються норми GDPR:
Фактично, якщо бізнес зареєстровано на території ЄС або збираються персональні дані громадян ЄС, то така діяльність підпадає під дію GDPR. Наприклад, якщо компанія зареєстрована в Литві, а працівники та засновники з України, вважається, що компанія функціонує на території ЄС, тому підпадає під дію регламенту. У випадку, якщо така компанія надає послуги лише клієнтам з СНД або не збирає персональних даних, то вона також має відповідати нормам GDPR.
У випадку, якщо українська компанія надає (або може надавати) послуги громадянам та резидентам ЄС, така компанія повинна відповідати нормам GDPR, бо обробляються персональні дані громадян ЄС.
Останньою умовою є дослідження поведінки суб’єктів даних в межах ЄС із застосуванням файлів сookie. Це може здійснюватися з метою вивчення ринку послуг і товарів або в маркетингових цілях. До моніторингової діяльності можна віднести відеоспостереження, відстеження геолокації, персоналізовані послуги аналізу щодо здоров’я в інтернеті, поведінкова реклама тощо.
Наприклад, компанія, що створена в Мексиці, надає консультації у галузі торгівлі в супермаркетах в Іспанії, аналізуючи переміщення споживачів по магазину із застосуванням мережі Wi-Fi. Аналіз переміщення клієнтів у супермаркеті за допомогою відстеження Wi-Fi буде вважатися моніторингом поведінки людей, адже відстеження поведінки відбувається у ЄС. Подібна діяльність повинна відповідати нормам GDPR.
Спершу рекомендуємо пройти звірку на відповідність регламенту. За результатами можна створити карту руху персональних даних і скласти gap assessment — документ у якому зазначається те, чого недостатньо компанії, щоб відповідати нормам GDPR в межах бізнес-процесів.
Проведення звірки для компанії є надзвичайно важливим, адже це дає можливість визначити чи необхідний GDPR взагалі та які саме процеси потрібно привести у відповідність з регламентом. GDPR-аудит дозволить структурувати (інвентаризувати) персональні дані.
Важливим кроком адаптації компанії до правил регламенту є внесення змін до внутрішньої документації компанії у відповідність до вимог GDPR. Компанія зобов’язана розробити та запровадити комплекс документів, які будуть регламентувати процеси в середині компанії, що пов’язані з обробкою та захистом персональних даних.
Відповідно до пояснень статті 29 регламенту, прикладами таких документів є:
Компанії повинні запровадити зрозумілий та доступний порядок одержання згоди на збирання та обробку персональних даних. Згідно регламенту користувач спочатку має погодитися з політикою конфіденційності на сайті, де вказується перелік даних та мета обробки, а вже після цього мати можливість залишити свої персональні дані. Згода користувачів на обробку даних має бути виражена активною дією. Збирати дані за замовчуванням не можна. Текст політики конфіденційності повинен мати просту форму й інформувати про те, хто збирає дані, які саме дані, на який строк тощо.
Окрім цього, організації мають забезпечити високий рівень обізнаності свого персоналу та осіб, які залучаються компанією в рамках питань, пов’язаних із захистом персональних даних. Стаття 37 регламенту зобов’язує призначити особу, відповідальну за імплементацію вимог GDPR в компанії (Data Protection Officer). Таку посаду потрібно вводити у державних установах, в компаніях, де опрацювання персональних даних проводиться систематично у великих масштабах. Вимогою на посаду є відмінне знання законодавства та практики у сфері захисту персональних даних.
Найбільш поширені порушення GDPR:
Особливістю правового регулювання GDPR є запровадження значних сум штрафів: до 20 млн. євро або до 4 % річного обороту компанії за минулий фінансовий рік. Оскільки потенційні суми штрафів є суттєвими, тому така система покарання виступає додатковою мотивацією у дотриманні норм регламенту. Штрафи в більших розмірах можуть накладатися в тих випадках, коли порушення стосуються або великих обсягів персональних даних, або чутливих персональних даних (інформації про стан здоров’я, расову приналежність).
У якості прикладів відповідальності, можна навести наступні:
Українське законодавство також не стає осторонь процесів захисту персональних даних. Визначено, що для опрацювання особистих даних необхідна конкретна мета, яка сформульована в положеннях чи установчих документах компаній.
Персональні дані обробляються у формі, що допускає ідентифікацію особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. Опрацьовувати та поширювати персональні дані дозволяється без згоди особи лише в особливих випадках для захисту його/її життєво важливих інтересів чи в інтересах національної безпеки.
Особисті дані видаляються або знищуються у разі закінчення строку їх зберігання, припинення відносин між суб’єктом персональних даних (працівником) та компанією чи набрання законної сили рішенням суду щодо їх видалення. В органах державної влади, органах місцевого самоврядування створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом даних при їх обробці. Фізичні особи-підприємці самостійно забезпечують захист персональних даних, якими вони володіють.
Прикладом порушення може слугувати справа № 361/1579/20. Відповідно до рішення, голова правління садового товариства поширила в загальному чаті звернення потерпілої. Окрім ПІБ, звернення містило інформацію про адресу, номер телефона та електронну адресу заявниці. Обвинувачена не визнала свою вину, натомість пояснила, що розголошена нею інформація і раніше була відома всім учасникам чату, а тому в її діях відсутній склад адміністративного правопорушення.
Суд не погодився з цією позицією та зазначив, що навіть у разі необхідності ознайомлення інших учасників товариства зі змістом звернення потерпілої перед оприлюдненням персональні дані особи мають бути заретушовані, а заявниця – знеособлена. За результатом розгляду справи суд першої інстанції наклав на голову правління товариства стягнення в розмірі 5 100, 00 грн. Згодом це рішення підтримав також Київський апеляційний суд.
Рекомендуємо українським компаніям поступово впроваджувати норми регламенту у свою діяльність. Адже за систематичне порушення норм щодо захисту персональних даних компанії ризикують втратити довіру клієнтів, бізнес-партнерів та отримати штрафні санкції.
Звертаємо увагу, що норми GDPR поширюються на компанії ЄС, а також на випадки відносин з надання послуг за участю резидента ЄС або відстеження поведінки споживачів в ЄС. Враховуючи процеси глобалізації, особливістю GDPR є те, що його норми поширюються на значну кількість компаній не тільки в ЄС.
Для уникнення відповідальності, слід ретельно перевірити діяльність на відповідність вимогам регламенту. Як мінімум, слід запровадити:
Ми підготували опитувальник по відповідності GDPR. Може бути у нагоді, якщо маєте бажання самостійно здійснити перевірку або звернутися за професійною допомогою.
Матеріал підготовлений для ain.ua
Автор матеріалу:
Сергій Барбашин, адвокат, керуючий партнер Trustme Law Firm, експерт з інтелектуальної власності