Ми продовжуємо розкривати «таємниці» регулювання відносин у сфері персональних даних GDPR.

Прийняттям більш жорсткого регулювання відносин у сфері персональних даних, держави-члени ЄС гарантували безпеку не тільки між собою, а й при співпраці з особами поза межами Європейського Союзу.

Оскільки Україна в питанні захисту персональних даних спирається на міжнародний досвід та має забезпечити відповідність національного законодавства законодавству ЄС, розробляється законопроект, який стане (як очікують) таким собі українським аналогом GDPR.

Пропонуємо не занурюватися у близьке фантастичне майбутнє, а розібратися із базою, яка присутня на даний момент в Україні та проблемами, які можуть виникнути на стику національного законодавства у сфері захисту персональних даних і нововведеннями GDPR.

 

1. Компанії не мають права передавати персональні дані користувачів до країн, де рівень захисту нижчий, ніж в ЄС.
   Зараз це положення стосується й України, тому процес співпраці з європейськими партнерами ускладняється. Ситуація покращиться тільки після отримання дозволу та висновку про адекватний рівень захисту персональних даних в Україні від Європейської Комісії.
    
2. Українське законодавство не має чіткої класифікації персональних даних, а основною проблемою у процесі запровадження класифікації персональних даних, котра вимагає адекватного правового рішення, є те, що часто одні й ті ж персональні дані можуть бути одночасно віднесені до декількох видів.
   
   В свою чергу GDPR поділяє дані за критерієм «чутливості» на дані загального характеру і спеціальні особові дані. Згідно до поділу до вразливих спеціальних даних застосовуються більш жорсткі процедури щодо їх обробки, збирання, зберігання, та передачі третім особам (наприклад, по відношенню до генетичних, біометричних даних або таких, що стосуються здоров’я).
    
3. Новий регламент вимагає перевірки віку дитини та забезпечення згоди батьків / опікунів на обробку даних. Так, підтверджувати дозвіл на обробку персональних даних тепер можна не з 13, а з 16 років. Залежно від віку дитини, може бути обов'язковим також виклад інформації для дитини на легкій для розуміння мові.
   
   Взагалі питання згоди на обробку даних є одним з ключових питань європейського документу. Встановлюються чіткі вимоги до процедури та форми надання згоди, її відкликання. В свою чергу Закон України «Про захист персональних даних» надає тільки загальне уявлення про зміст такої згоди, вже не кажучи про відсутність:
   • заборони на згоду за замовчуванням,
   • можливості відкликати згоду в будь-який момент,
   • встановленого віку, з якого з’являється можливість надання дозволу на обробку, персональних даних.
   
    
4. Встановлення та розмежування понять Privacy Policy (внутрішній документ, який встановлює правила збору і обробки персональних даних користувачів на певному веб-ресурсі) та Privacy Note (адресований суб'єктам персональних даних та в якому власник персональних даних вказує, яким чином він збирає, використовує, передає персональні дані)
   
   Українське законодавство ж, хоч і потребує написання політики приватності для компанії, оминається такий важливий показник GDPR-комплаенсу, як Privacy Note (обов’язковий для ознайомлення особою, що надає дозвіл). Саме він став важливими, оскільки його дуже легко ідентифікувати як користувачам, так і контролюючим органам, а також через те, що навколо інформування суб’єктів та отримання згоди на обробку даних зазвичай і концентрується значна частина оцінки та приведення процесів обробки даних у відповідність до вимог GDPR.
   
   Дехто може стверджувати, що за своєю суттю Privacy Notice є європейським аналогом української згоди на обробку персональних даних. Але це не так. Потрібно пам'ятати, що згода - це тільки одна з підстав для обробки персональних даних. В рамках обробки персональних даних власник персональних даних може і не використовувати згоду як підставу для обробки, а покладатися на інші передбачені підстави. В останньому випадку в privacy notice нічого не буде сказано про згоду. Якщо власник персональних даних все ж покладається на згоду в якості підстави для обробки, тоді privacy notice може бути викладено таким чином, щоб отримувати запит надати згоду.
   
   Натискання електронної кнопки "Я згоден" допускається GDPR, але за певних умов. На виконання вимог ч. 2 ст. 7 GDPR потрібно, щоб запит на згоду був чітко відділений від іншої інформації. З іншого боку, якщо власник персональних даних запитує згоду на обробку окремо від Privacy Notice (наприклад, запит за електронною поштою), тоді він повинен надати посилання на privacy notice.
    
5. Окремо слід згадати файли cookies . У поєднанні з іншою інформацією такі файли дають змогу ідентифікувати особу, отже становлять персональні дані
   
   Сookies — шматки комп’ютерного коду, які встановлюються на комп’ютері чи мобільному пристрої користувача, коли він відвідує той чи інший веб-сайт, збирають інформацію про користувача та передають її різним одержувачам в інтернеті.
   
   Наразі, окрім того, що про використання cookies треба повідомити користувача, перед цим потрібно отримати його виразну згоду на їх встановлення. При цьому, користувачеві слід повідомити, які види cookies збираються на сайті, для чого вони потрібні. Наприклад, сьогодні на нашому сайті ви зможете побачити рекламу офісного крісла, навіть якщо ви вже забули, що шукали зручне крісло для свого офісу тиждень тому. Ви не хоче отримувати жодних таргетованих реклам про офісні крісла через cookies, однак ви також не хочете кожного разу логінитися на веб-сайті після того, як ви ненароком закриваєте вкладку з ним. За ці функції відповідають різні види файлів cookies і користувач повинен мати можливість відмовитися від одних та погодитися на використання інших.
    
6. Право бути забутим (фізичне видалення даних з усіх серверів)
   
   Не дивлячись на те, що кожен має право на вільний доступ до інформації, кожен має право і на недоторканість приватного життя, що виражається і в можливості видалити із пошукових систем посилання на ресурси, що містять небажану для людини інформацію. Компанії, володільці інформації, зобов’язані опублікувати форму, що може використовуватися для формування запиту про видалення інформації. Наприклад, компанія Google опублікувала онлайн-форму, що може використовуватися для формування запиту про видалення із результатів пошуку посилань, якщо вони містять «недоречну, неактуальну чи невідповідну меті обробки» інформацію («під час розгляду Вашого запиту ми оцінюємо чи є інформація застарілою, а також чи є суспільний інтерес в інформації»).
   
   Цікаво, що в національному законодавстві відшукати норми, які б закріплювали дане право неможливо. Так, видалення даних доступне тільки після набрання законної сили рішення суду щодо їх видалення або знищення.
    

Отже, хоча й Верховна Рада не приймала GDPR, компанії мають підлаштовувати свою діяльність відповідно до його вимог (екстериторіальний принцип дії) та чекати на встановлення нової правової бази, що полегшить співпрацю с державами ЄС.

Спеціалісти юридичної компанії Арбітрум проводять аналіз ризиків та надають консультації щодо можливого впливу GDPR на діяльність компанії, яка здійснює діяльність на території ЄС. Ми проводимо аудит документів та руху інформаційних потоків з метою виявлення потенційних ризиків витоку персональної інформації та надаємо рекомендації для запобігання порушення правил щодо захисту персональних даних та захисту інформації.

 

 

адвокат Карелов К.Ю.
за участі Копейчикової Т.В.