Вступ
У травні цього року законодавство Європейської Спільноти в області захисту персональних даних (далі - ПД) чекають найбільші зміни за останні два десятиліття. Діючі правила були сформульовані ще в 90-і роки минулого століття, але об'єм цифрової інформації, яку ми створюємо, отримуємо і зберігаємо, відтоді значно зріс. В результаті існуючий на сьогодні режим роботи з інформацією перестав відповідати поставленим цілям. Додамо до цього, що для різних організацій ЄС усього більшого значення набувають питання кібербезпеки.
В цілях захисту прав фізичних осіб відносно їх персональних даних на зміну діючій Директиві по захисту даних 95/46/EC прийде новий законодавчий акт - Загальний регламент ЄС по захисту персональних даних. Головним завданням Регламенту є не просто посилити захист і розширити права усіх громадян ЄС по забезпеченню недоторканості їх персональних даних, він вимагає узгодження законів про недоторканість даних на території Європейської Спільноти, а також зміни підходу організацій в усьому регіоні до проблеми недоторканості даних. Новий Регламент безпосередньо торкається українських компаній, працюючих на європейських ринках. Тому в цій статті будуть розглянуті головні положення цього законодавчого акту. Увага, зокрема, буде приділена важливим змінам, що сталися в європейському законодавстві в області захисту ПД.
Імплементація в національне законодавство
Незважаючи на те що Регламент матиме пряму дію в усіх державах - членах ЄС, в їх національні закони необхідно внести поправки для узгодження з деякими положеннями Регламенту, який, зокрема, містить ряд "відкритих" понять і норм, що вимагають чіткішого формулювання для їх застосування на практиці.
До речі, в Нідерландах вже опублікований перший варіант проекту законодавчих змін в національній системі права. Якщо парламент, а потім і сенат Нідерландів, проголосують за його прийняття, то закон про введення в дію Регламенту ЄС набуде чинності на території держави.
|
Максим Ходак |
Переваги і недоліки нового закону
Введення Регламенту в дію, безумовно, справить позитивне враження, але можливі і певні проблеми. Найголовніше перевага Регламенту - гармонізація існуючих в законодательствах країн ЄС правив, які сьогодні фрагментовані і суперечні. Отже, компаніям доводилося враховувати відмінності в правилах по захисту даних 28 держав - членів ЄС. Проте, незважаючи на ряд позитивних нововведень, реалізованих в Регламенті, він все ж піддався серйозній критиці. Регламент залишає місце для різних тлумачень і доки неясно, як його норми будуть перетворені в законах різних країн.
Головні нововведення
Нове законодавче положення матиме важливі наслідки не лише для фізичних осіб, але і для компаній, що займаються бізнесом в зоні ЄС.
Отже, шість найбільш значущих новацій обговорюваного Регламенту полягають в наступному:
1. У сферу дії Регламенту потрапляє більший перелік видів підприємницької діяльності. Засадниче поняття "Персональні дані" в Регламенті тлумачиться дуже широко. Окрім документів, що містять імена, адреси і т. п., під визначення персональних даних згідно з Регламентом потрапляють дані, пов'язані з IP- адресами, MAC- адресами, cookies- файли, що зберігають суто індивідуальну інформацію про користувача мережі, і т. д.;
2. Новий Регламент розширює сферу дії європейського законодавства в області захисту персональних даних на компанії за межами ЄС. Так, підприємства з країн, що не входять в ЄС, пропонуючі товари або послуги суб'єктам персональних даних в ЄС або що стежать за поведінкою суб'єктів даних (за умови, що така поведінка має місце в межах ЄС), будуть мониториться, і відносно отриманих даних ці підприємства будуть зобов'язані дотримувати вимоги Регламенту, навіть якщо у них немає офісу або дочірньої компанії на території ЄС. Це дуже важливе нововведення, що безпосередньо до того ж зачіпає українські компанії, для яких країни ЄС є ринком збуту;
3. Згідно з Регламентом від фізичних осіб необхідно отримувати згоду для обгрунтування використання їх персональних даних. Проте умови його отримання сталі строгішими. Згода має бути однозначною і підтвердженою;
4. Регламент вводить декілька основних принципів і вимагає від компаній продемонструвати, як вони їх наслідують.
Перший принцип: законність, справедливість і прозорість
Регламент вимагає від контролера ПД надавати самому суб'єктові персональних даних в прозорій і доступній формі інформацію про обробку його даних, викладену зрозумілим і звичною мовою. Прозорість досягається шляхом інформування приватних осіб до настання моменту збору даних, а також після внесення будь-яких подальших змін. Регламент містить перелік видів інформації, яка в обов'язковому порядку повинна надаватися фізичним особам з метою їх повідомлення про отримання їх персональних даних прямо або опосередковано.
Другий принцип: цільове обмеження
Обробка персональних даних допустима тільки у тому разі і тільки в цілях, в яких здійснюється збір цих даних. Згоду також потрібно при обробці персональних даних контролерами і обробниками ПД для іншої мети. Єдиним виключенням з цієї вимоги є ситуація, коли ця "інша мета" "сумісна" з первинною метою збору ПД.
Третій принцип: мінімізація даних
Особисті дані повинні відповідати, мати відношення і обмежуватися цілями, для яких такі дані обробляються. Вказане положення повертає до цільового обмеження збору і обробки персональних даних.
Четвертий принцип: точність даних
Персональні дані мають бути точними і актуальними. Застарілі і неточні дані необхідно виправляти або видаляти.
П'ятий принцип: обмеження зберігання
Підприємства повинні видаляти ПД, якщо вони більше не потрібні для цілей, заради яких вони збиралися, за відсутності інших основі для їх зберігання. Згідно з вимогами Регламенту компанії повинні проводити регулярні перевірки з метою впорядкованого чищення баз даних.
Шостий принцип: цілісність і конфіденційність
Цей принцип зачіпає основу захисту приватного життя людей. Персональні дані мають бути захищені від злому і випадкової втрати. При необхідності внесення оновлень в ПД мають бути розроблені відповідні правила.
Сьомий принцип: звітність
Новий принцип звітності вимагає від компаній продемонструвати дотримання приписів Регламенту. При цьому Регламент встановлює процедуру, відповідно до якої уповноважені організації можуть зажадати від компаній дотримання відповідних технічних і організаційних заходів з метою демонстрації правильного анулювання баз ПД, що підлягають знищенню.
Підвищення уваги до дотримання вимог, що виходять з цього принципу, стало однією з найбільш значущих змін, які вносить Регламент;
5. Регламент наділяє приватних осіб рядом нових прав, а також зміцнює деякі права, що вже існували у рамках попередньої Директиви, а саме:
правом на переміщення даних : Регламент дозволяє приватним особам отримувати і використовувати свої персональні дані у власних цілях і переносити ПД у бази різних контролерів і обробників даних;
правом протесту : Регламент дозволяє приватним особам виражати протест проти певних видів обробки їх персональних даних - прямого маркетингу, обробки з метою захисту законних інтересів або виконання якого-небудь завдання в громадських інтересах / реалізації владних повноважень, а також обробки даних в дослідницьких або статистичних цілях;
правом на видалення даних : Регламент дозволяє приватним особам вимагати знищення або видалення їх персональних даних за відсутності вагомих причин для їх подальшої обробки;
правом на обмеження обробки даних : Регламент гарантує, що при накладенні обмеження на обробку ПД компаніям дозволяється зберігати персональні дані, але їм не дозволяється їх обробляти.
У разі витоку ПД контролер даних зобов'язаний довести цей факт до відома Комітету із захисту персональних даних (регулятора) не пізніше, ніж через 72 години після того, як йому стало відомо про такий витік. До того ж організації - контролери ПД зобов'язані вести внутрішній журнал обліку випадків злому даних. Згідно з Регламентом Компанії зобов'язані документувати факти витоку даних, навіть якщо про такі витоки не повідомляється в Комітет із захисту персональних даних.
Перехід до дотримання нових вимог
Чи необхідно дотримувати нові вимоги?
Цим питанням сьогодні задаються багато підприємців. Обов'язковість дотримання Регламенту очевидна. Максимальний штраф за порушення його вимог складає чотири відсотки від загального річного обороту за попередній рік або 20 мільйонів євро - залежно від того, що більше.
А ось, щоб діяльність підприємства відповідала вимогам нового законодавства, слід здійснити низку заходів. Компанії і організації, що не знаходяться на території Євросоюзу, але що підпадають під дію норм нового Регламенту, впродовж попередніх місяців готувалися до набуття чинності його. І тепер їм необхідно зробити як мінімум наступні кроки:
задокументувати наявні персональні дані, вказати джерело, з якого вони отримані, а також їх одержувача від компанії. Можливо, потрібно буде провести інформаційний аудит. Документування персональних даних допоможе дотримати принцип звітності, що вимагає від підприємств демонстрації дотримання приписів по захисту даних;
перевірити свої поточні повідомлення про конфіденційність і скласти план для своєчасного внесення можливих змін для реалізації вимог Регламенту. Як вже говорилося, контролери ПД повинні інформувати самих суб'єктів ПД про збір конфіденційної інформації. Це робиться шляхом напряму повідомлення. Інформація про те, як компанія оброблятиме персональні дані, має бути короткою, прозорою, легкодоступною, написаною на зрозумілій і простій мові і надаватися безкоштовно;
перевірити свої процедури на дотримання прав приватних осіб, включаючи способи видалення персональних даних або надання ПД в електронному вигляді і в широко вживаному форматі. Як вказувалося вище, Регламент наділяє приватних осіб новими правами - правом на переміщення даних, правом протесту, правом на видалення даних і правом на обмеження обробки даних;
визначити нормативну базу для роботи по обробці даних відповідно до Регламенту, викласти письмово і відновити свою форму повідомлення про конфіденційність, включивши в неї роз'яснення про таке оновлення;
проаналізувати процедуру запиту, реєстрації і управління процесом отримання згоди на обробку даних, а також внесення в них змін при необхідності. Виключається чинення якого-небудь тиску для отримання згоди на обробку ПД. Згода має бути конкретною, недвозначною і наданою у вигляді повідомлення. Повідомлення про згоду на обробку ПД, що не відповідають стандартам Регламенту, підлягають видаленню;
переконатися в тому, що процедури виявлення і розслідування витоку персональних даних, а також напрями звіту про це відповідають вимогам Регламенту. Як згадувалося раніше, Регламент встановлює, що контролер даних повинен оповіщати відповідний орган по нагляду про факт витоку без невиправданої затримки, а у разі затримки сповіщення тривалістю більше 72 годин після виявлення витоку вимагається додавати письмове пояснення причин такої затримки. Для успішного дотримання положень нового закону потрібна наявність правильної технології контролю, що дозволяє своєчасно реагувати на факти, що стосуються безпеки обробки ПД. Це одно з найважливіших положень Регламенту;
призначити особу, відповідальну за збереження персональних даних, визначивши його місце в структурі підприємства і механізмах управління. Слід також визначитися, чи необхідно призначати спеціального співробітника, відповідального за охорону даних;
якщо компанія працює більш ніж в одній державі, що входить в ЄС, слід визначити головний контролюючий орган по захисту ПД (регулятора). Головним органом є контролюючий орган в країні знаходження головного офісу. Головний офіс - це місце роботи центральної адміністрації компанії в ЄС або інше місце, де приймаються рішення про цілі і засоби обробки персональних даних.
Висновок
Новий Регламент - серйозний прорив Євросоюзу на шляху до забезпечення надійного захисту недоторканості приватного життя і персональних цих громадян ЄС. Підприємства, у свою чергу, починають процес переходу до дотримання нових вимог.
Найбільшою перевагою Регламенту є потенційне впорядкування розрізнених норм і правил. Досі компаніям доводилося враховувати правила по захисту даних 28 держав - членів ЄС. Проте, незважаючи на ряд переваг, Регламент все ж піддається критиці, оскільки, зокрема, залишає місце для різних тлумачень і доки неясно, як його норми будуть впроваджені в законах різних країн.
Для українських компаній, працюючих на європейських ринках, усвідомлення факту зміни закону є першим кроком до його дотримання. Більше того, вони просто не можуть не рахуватися з Регламентом, адже його дія поширюється і на їх діяльність. Тому украй важливо спланувати стратегію і пройти усі етапи, згадані в цій статті, щоб зменшити риски можливих штрафів, яким можуть піддаватися українські компанії.
Максим Ходак
адвокат
Адвокатської контори Law & More (Нідерланди)
