Мы продолжаем раскрывать «тайны» регулирования отношений в сфере персональных данных GDPR.

Принятием более жесткого регулирования отношений в сфере персональных данных, государства-члены ЕС гарантировали безопасность не только между собой, но и при сотрудничестве с лицами за пределами Европейского Союза.

Поскольку Украина в вопросе защиты персональных данных опирается на международный опыт и должна обеспечить соответствие национального законодательства законодательству ЕС, разрабатывается законопроект, который станет (как ожидается) неким украинским аналогом GDPR.

Предлагаем не погружаться в ближайшее фантастическое будущее, а разобраться с базой, которая присутствует сейчас в Украине и проблемами, которые могут возникнуть на стыке национального законодательства в сфере защиты персональных данных и нововведениями GDPR.

 

1. Компании не имеют права передавать персональные данные пользователей в страны, где уровень защиты ниже, чем в ЕС.
   Сейчас это положение касается и Украины, поэтому процесс сотрудничества с европейскими партнерами усложняется. Ситуация улучшится только после получения разрешения и заключения об адекватном уровне защиты персональных данных в Украине от Европейской Комиссии.
    
2. Украинское законодательство не имеет четкой классификации персональных данных, а основной проблемой в процессе внедрения классификации персональных данных, которая требует адекватного правового решения, является то, что часто одни и те же персональные данные могут быть одновременно отнесены к нескольким видам.
   
   В свою очередь GDPR разделяет данные по критерию «чувствительности» на данные общие и специальные личные данные. Согласно разделению в уязвимых специальных данных применяются более жесткие процедуры по их обработке, сборке, хранению и передаче третьим лицам (например, по отношению к генетическим, биометрическим данным или таким, которые касаются здоровья).
    
3. Новый регламент требует проверки возраста ребенка и обеспечение согласия родителей / опекунов на обработку данных. Так, подтверждать разрешение на обработку персональных данных теперь можно не с 13, а с 16 лет. В зависимости от возраста ребенка, может быть обязательным также изложение информации для ребенка на легком для понимания языке.
   
   Вообще вопрос согласия на обработку данных является одним из ключевых вопросов европейского документа. Устанавливаются четкие требования к процедуре и форме предоставления согласия, ее отзыва. В свою очередь Закон Украины «О защите персональных данных» дает только общее представление о содержании такого согласия, не говоря об отсутствии:
   • запрета на согласие по умолчанию,
   • возможности отозвать согласие в любой момент,
   • установленного возраста, с которого появляется возможность предоставления разрешения на обработку, персональных данных.
   
    
4. Установление и разграничение понятий Privacy Policy (внутренний документ, устанавливающий правила сбора и обработки персональных данных пользователей на определенном веб-ресурсе) и Privacy Note (подходит субъектам персональных данных и в которых владелец персональных данных указывает, каким образом он собирает, использует, передает персональные данные)
   
   Украинское законодательство же, хотя и требует написания политики приватности для компании, обходится такой важный показатель GDPR-комплаенс, как Privacy Note (обязательный для ознакомления лицом, оказывающим разрешение). Именно он стал важным, поскольку его очень легко идентифицировать как пользователям, так и контролирующим органам, а также из-за того, что вокруг информирования субъектов и получения согласия на обработку данных обычно концентрируется значительная часть оценки и приведения процессов обработки данных в соответствие с требованиями GDPR.
   
   Некоторые могут утверждать, что по своей сути Privacy Notice является европейским аналогом украинского согласия на обработку персональных данных. Но это не так. Нужно помнить, что согласие - это только одно из оснований для обработки персональных данных. В рамках обработки персональных данных владелец персональных данных может и не использовать согласие как основание для обработки, а полагаться на другие предусмотренные основания. В последнем случае в privacy notice ничего не будет сказано о согласии. Если владелец персональных данных все же возлагается на согласие в качестве основания для обработки, тогда privacy notice может быть изложены таким образом, чтобы получать запрос предоставить согласие.
   
   Нажатие электронной кнопки "Я согласен" допускается GDPR, но при определенных условиях. Во исполнение требований ч. 2 ст. 7 GDPR нужно, чтобы запрос на согласие был четко отделен от остальной информации. С другой стороны, если владелец персональных данных запрашивает согласие на обработку отдельно от Privacy Notice (например, запрос по электронной почте), он должен предоставить ссылки на privacy notice.
    
5. Отдельно следует упомянуть файлы cookies. В сочетании с другой информацией такие файлы позволяют идентифицировать лицо, следовательно составляют персональные данные.
   
   Cookies - куски компьютерного кода, которые устанавливаются на компьютере или мобильном устройстве пользователя, когда он посещает тот или иной сайт, собирают информацию о пользователе и передают ее различным получателям в интернете.
   
   Сейчас кроме того, что об использовании cookies надо уведомить пользователя, перед этим нужно получить его выразительное согласие на их установку. При этом, пользователю следует сообщить, какие виды cookies собираются на сайте, для чего они нужны. Например, сегодня на нашем сайте вы сможете увидеть рекламу офисного кресла, даже если вы уже забыли, что искали удобное кресло для своего офиса неделю назад. Вы не хотите получать никакой таргетированной рекламы об офисныобх креслах через cookies, однако вы также не хотите каждый раз логиниться на сайте после того, как вы ненароком закрываете вкладку с ним. За эти функции отвечают разные виды файлов cookies и пользователь должен иметь возможность отказаться от одних и согласиться на использование других.
    
6. Право быть забытым (физическое удаление данных из всех серверов)
   
   Несмотря на то, что каждый имеет право на свободный доступ к информации, каждый имеет право и на неприкосновенность частной жизни, выражается и в возможности удалить из поисковых систем ссылки на ресурсы, содержащие нежелательную для человека информацию. Компании, владельцы информации, обязаны опубликовать форму, которая может использоваться для формирования запроса об удалении информации. Например, компания Google опубликовала онлайн-форму, которая может использоваться для формирования запроса об удалении из результатов поиска ссылок, если они содержат «неуместную, неактуальную или несоответствующую цели обработки» информацию ( «при рассмотрении Вашего запроса мы оцениваем является ли информация устаревшей, а также есть ли общественный интерес в информации »).
   
   Интересно, что в национальном законодательстве отыскать нормы, которые закрепляли это право невозможно. Так, удаление данных доступно только после вступления в законную силу решения суда по их удалению или уничтожению.
    

Итак, хотя и Верховная Рада не принимала GDPR, компании должны подстраивать свою деятельность в соответствии с его требованиями (экстерриториальный принцип действия) и ждать установления новой правовой базы, которая облегчит сотрудничество с государствами ЕС.

Специалисты юридической компании Арбитрум проводят анализ рисков и предоставляют консультации относительно возможного влияния GDPR на деятельность компании, которая осуществляет деятельность на территории ЕС. Мы проводим аудит документов и движения информационных потоков с целью выявления потенциальных рисков утечки персональной информации и предоставляем рекомендации для предотвращения нарушения правил по защите персональных данных и защиты информации.

 

 

адвокат Карелов К.Ю.
при участии Копейчиковой Т.В.