Представництво інтересів в судах
Правовий поглядАналітика

Захист персональних даних відповідно до вимог ЄС для компаній, які працюють в ЄС чи з громадянами ЄС

04.02.2019 / 11:20
320
+A
-a

Захист персональних даних відповідно до вимог ЄС  для  компаній, які працюють  в ЄС чи з громадянами ЄС

GDPR уже тривалий час «на слуху» у всієї правової спільноти. Зовсім нещодавно відбувся вебінар,який було організовано компанією Legal IT Group і який стосувався захисту персональних даних згідно з GDPR. Також було в загальному проаналізовано питання останніх трендів 2019 року в рамках захисту персональних даних людини.

ПРАВИЛА GDPR. МОЖЛИВІ ШТРАФНІ САНКЦІЇ

Перш за все, варто почати з розбору деяких кейсів щодо накладення штрафних санкцій на суб`єктів господарювання, які порушили встановлені правила щодо захисту персональних даних, для більш простого усвідомлення положень даних правил та їх практичного застосування.

Ситуація 1. Одна із відомих ситуацій стосується австрійської компанії, яка встановила на головному вході в офіс CCTV камеру з охоронною метою. Справа в тому, що встановлена камера охоплювала не лише вхід до будівлі компанії, а ще й частину тротуару, по якому пересувались громадяни (тобто суб`єкти персональних даних).

Деякі з них звернулись до DPA про те, що ведеться незаконна відеозйомка великої кількості суб`єктів персональних даних. В подальшому, DPA звернувся до компанії з запитом щодо усунення недоліків, однак компанія не відреагувала належним чином, внаслідок чого до неї були застосовані штрафні сакції в сумі 4 000,00 Євро.

В даному випадку основна проблема полягає в тому, що компанія не розмістила жодного повідомлення про те, що здійснюється відеоспостереження і що таке спостереження може здійснюватись лише в охоронних цілях або в цілях, які могли б забезпечити захист суспільних інтересів.

Ситуація 2.Інший приклад стосується вже німецької компанії, яка не забезпечила належну безпеку користувачів свого веб-ресурсу, які постраждали від хакерської атаки, внаслідок чого хакерами було викрито персональні дані близько 300 000,00 осіб. В результаті, на компанію було накладено штраф розміром 20 000,00 Євро.

Ситуація 3. Доволі великий штраф у розмірі 400 000,00 Євро вже влітку 2018 року отримала одна португальська клініка за те, що не забезпечила безпеку інформації про пацієнтів клініки, в тому числі, не вжила всіх юридичних та організаційних аспектів щодо попередження порушень прав своїх пацієнтів.

Справа в тому, що, як виявилось, при наявному штаті клініки у 200 лікарів було встановлено, що на веб-ресурс клініки переглядати справи пацієнтів, маючи спеціальний доступ, заходили аж 800 різних акаунтів. При подальшому вивченні питання було виявлено, що лікарі користувались ще додатковими фейковими акаунтами для доступу до бази даних клініки, що є порушенням правил щодо захисту персональних даних пацієнтів клініки.

Ситуація 4. Напевно, всі чули й про нещодавній випадок накладення штрафу на компанію Google в розмірі 50 000 000,00 Євро. Після ряду досліджень контролюючого органу у Франції було встановлено, що Google порушує права користувачів, не надаючи їм можливості зручно відписуватись від повідомлень компанії, а також було встановлено порушення вимог регламенту і незастосування його компанією в контексті своїх функціональних можливостей.

Із цих простих ситуаційних прикладів можна зробити висновок, що компаніям треба доволі змістовно підходити до впровадження норм GDPR та приділяти увагу щонайменшим дрібницям, задля уникнення неприємних ситуацій із штрафами та невдоволенням суб`єктів персональних даних.

РОЗ`ЯСНЕННЯ EDPB ЩОДО ТЕРИТОРІАЛЬНОГО ЗАСТОСУВАННЯ НОРМ GDPR

The European Data Protection Board (EDPB) вже у листопаді 2018 року надав довгоочікувані роз`яснення стосовно територіального застосування GDPR.


В цьому контексті варто проаналізувати частини 1 та 2 статті 3 GDPR.

Так, частина 1 статті передбачає, що GDPR застосовується до обробки персональних даних в контексті діяльності осідку контролера або обробника в ЄС, незалежно від того, чи відбувається власне обробка в ЄС чи ні. Тобто, найпоширенішим випадком є, коли компанія безпосередньо зареєстрована в ЄС, в такому разі вона повинна дотримуватись GDPR.

Також варто розібрати дану частину статті більш детально та визначити, що мається на увазі під деякими термінами, такими як «осідок контролера або обробника в ЄС», «в контексті діяльності осідку» та «незалежно від того, де обробляють ПД».

Отже, «осідок контролера або обробника в ЄС» передбачає наявність стабільної організації в ЄС і необов`язково зі статусом юридичної особи, а також стабільність домовленостей з контролером.

У зв`язку з тим, що правила не містять поняття «осідок», а лише «головний осідок», EDPB при наданні роз`яснень керувався, насамперед, рішеннями Європейського суду справедливості. Звідси виходить, що навіть якщо українська компанія має на території ЄС лише представництво або філію без статусу юридичної особи (осідок контролера,) і таке представництво або філія здійснюють обробку персональних даних, то і сама українська компанія повинна відповідати вимогам GDPR.

Згідно з роз`ясненнями EDPB, поняття «в контексті діяльності осідку» означає, що обробка персональних даних не обов`язково повинна здійснюватись самою організацією за умови, що така організація має нерозривний зв`язок з контролером або обробником. Важливою ознакою в даному випадку є отримання доходів на території ЄС; хоча така ознака не є обов`язковою, вона лише може бути підтвердженням того, що компанія має осідок на території ЄС.

Щодо виразу «незалежно від того, де обробляють ПД», то EDPB надала роз`язнесення, що юридичне значення в контексті територіальної сфери дії GDPR місце обробки даних немає, а також не має значення і місцезнаходження суб`єктів даних чи їх громадянства.

Наприклад, на українську компанію, яка здійснює свою діяльність виключно на території України і не пропонує свої послуги на території ЄС, до якої звертається громадянин країни ЄС, який перебуває в Україні з туристичною метою, не поширюються вимоги GDPR, незважаючи на те, що вона може здійснювати обробку персональних даних громадянина ЄС.

В іншому випадку, можна припустити, що існує компанія зареєстрована в ЄС, яка обробляє персональні дані українців на території Китаю, і в цьому випадку на таку європейську компанію будуть поширюватись вимоги GDPR, адже вона зареєстрована на території ЄС, незважаючи на те, що така компанія обробляє дані не громадян ЄС і не на території ЄС.

Також необхідно дослідити частину 2 статті 3 GDPR, яка, зокрема, є більш актуальною для України та стосується екстериторіальності застосування правил GDPR. В ній вказується, що GDPR застосовується до обробки персональних даних суб`єктів даних, які перебувають в ЄС, контролером або обробником, який має осідок поза межами ЄС (припустимо, що компанія знаходиться в Україні), якщо обробка пов`язана з постачанням товарів чи наданням послуг у ЄС, або моніторингом поведінки суб`єктів даних, якщо така поведінка має місце у ЄС.

Стосовно постачання товарів чи надання послуг у ЄС, EDPB зазначає, що такі постачання та надання не залежать від факту оплатності. Також є необов`язковим сам факт надання або постачання: достатньо лише прояву наміру встановити комерційні відносини. В той же час DPA бере до уваги такі факти як мова, на якій може бути складений сайт компанії (якщо сайт доступний однією з офіційних мов держав-членів ЄС), реєстрація домену на території ЄС, пропонування на сайті компанії постачання товарів чи надання послуг на територію ЄС або ж приймання оплати в Євро.

Що ж стосується моніторингу поведінки суб`єктів даних як підстави для застосування правил, то EDPB, спираючись на практику Європейського суду справедливості, зазначав, що обов`язковими ознаками є:
- конкретна мета збору (використання персональних даних),
- можливість використання зібраних даних для автоматизованого прийняття рішень щодо суб`єкта даних, в тому числі профайлінг.

Водночас DPA буде брати до уваги такі факти як використання cookies файлів або ж використання відеоспостереження (наприклад, компанія з України може здійснювати спостереження на території ЄС), моніторинг стану здоров`я фізичної особи чи проведення маркетингових компаній на основі створення індивідуальних профілів громадян ЄС. Як приклад, можна навести ситуацію, коли якась українська компанія розробляє фітнес-додаток, який моніторить поведінку суб`єктів на території ЄС.

GDPR імітація. Практичні поради

Фактично, GDPR імітація — це коли компанія зробила все необхідне, щоб відповідати правилам GDPR, але після проведеного аудиту встановлено, що в дійсності існують певні порушення в її роботі. І якщо за такого стану речей на компанію буде скарга від суб`єкта персональних даних або ж його забажає перевірити контролюючий орган, то можливі доволі неприємні наслідки.

Наприклад, українська компанія, яка таргетована на ЄС, що на своєму сайті зробила все по правилах GDPR, розмістила там privacy policy із зазначенням чітких цілей і мети, законних підстав обробки персональних даних тощо.

Однак, припустимо, що все одно на таку компанію поскаржились чи контролюючий орган провів аудит і було встановлено, що у компанії відсутні документи щодо регламентації порядку здійснення обробки персональних даних всередині компанії, зокрема, є відсутнім такий документ як Roles responsibilities. Він може регламентувати обов`язки і ролі виконання покладених обов`язків всередині компанії, а відсутність такого документу може грозити штрафом для компанії або ж іншим видом санкції.

Взагалі, існує близько сорока різних видів документів, які необхідно розробити для того, щоб компанія дійсно відповідала вимогам правил і лише незначна їх частина повинна розміщуватись на офіційному веб-сайті компанії; всі ж інші документи є внутрішніми та повинні бути розроблені та застосовані у зв`язку з обробкою персональних даних.

Власне всі документи можна розділити на такі три основні вектори.

1. Політики. Вони визначають основні направлення діяльності компанії в контексті обробки персональних даних. Основним документом серед «політик» є Privacy and Data Protection Policy, який повинен бути розміщений на сайті компанії та знаходитись у «твердому» вигляді в приміщенні компанії, де укладаються контракти с клієнтами або ж у приміщенні, де безпосередньо здійснюється реалізація товарів чи послуг клієнтам.

Як приклад, візьмемо ситуацію з готелем, який знаходиться в Україні і таргетує свою діяльність на територію ЄС, до якого завітав іноземець, не скориставшись перед цим сайтом готелю для бронювання номеру. В такому разі працівник готелю перед укладанням відповідного договору зобов`язаний ознайомити клієнта з Privacy and Data Protection Policy, а клієнт повинен розписатись і підтвердити таке ознайомлення, а при необхідності у клієнта ще повинна бути взята згода на обробку його персональних даних. Цей документ повинен розміщуватись в лобі готелю.

2. Процедури. Вони своїм змістом уточнюють «політики» та регламентують здійснення конкретних процедур у вузьких спеціалізованих заходах, що стосуються обробки персональних даних.

Наприклад, можна затвердити Personal Data Mapping Procedure та встановити, зокрема, процедуру надання Privacy Notice кожному окремому суб`єкту персональних даних, коли він відвідує веб-сайт компанії. Розроблена процедура Privacy Notice не повинна розміщуватись на веб-сайті, вона, насамперед, необхідна працівникам компанії, щоб ті розуміли, яку інформацію покроково потрібно надати суб`єкту персональних даних, коли той заходить на сайт та здійснює реєстрацію.

Кількість процедур, які діють в компанії, є необмеженою: у залежності від виду діяльності компанії можуть визначатись різноманітні процедури як в режимі «онлайн» (сайт-клієнт), так і в подальшому при обробці та використанні персональних даних клієнтів.

3. Інші документи. В даній категорії містяться не такі визначальні документи, але їх досить багато (близько 25) і вони є важливими, адже змістовно пов`язані зі всіма іншими документами та можуть їх доповнювати. До таких документів можуть відноситись Preparation Project Plan, вже згадувані вище Roles responsibilities, Compliance Audit schedule and report sheet, Personal data Mapping Tool тощо.

Тенденції і тренди, що стосуються E-Privacy Regulation (Cookies law)

Це відносно новий документ, який прийде на зміну E-Prіvacy Directive. Він покликаний регулювати діяльність компаній у сфері телекомунікацій, але ще не вступив в силу та знаходиться на обговоренні у Раді ЄС. Останнє таке обговорення було у листопаді 2018 року. Метою прийняття правил є уніфікація правового поля у сфері захисту персональних даних.

Документ в основному буде регулювати порядок поводження та використання файлів cookies. На обробку окремих таких файлів згода суб`єкта персональних даних вже не буде потрібна. Згідно проведених досліджень у середньому один європейський сайт обробляє до 30 файлів cookies, але через те, що політики поводження з cookies є доволі об`ємними документами (Cookies Policy) і їх переважно ніхто, окрім юристів, які їх створили, не читає, і виходить, що суб`єкти персональних даних переважно сліпо надають свою згоду на обробку файлів, а тому й відсутній реальний механізм охрони прав і свобод таких суб`єктів.

Відтак на окремі файли cookies, наприклад ті, які зберігаються протягом одного сеансу роботи (отримання мовних налаштувань браузера) та, які не стосуються саме обробки персональних даних суб`єктів, а скоріше діяльності веб-сайтів, згода може взагалі не надаватись. На іншу ж групу файлів cookies згоду можна буде надавати шляхом виставлення відповідних налаштувань приватності у браузері.

E-Prіvacy Regulation визначає такі поняття як IoT та OTT Communication Services. IoT — це безпосередня взаємодія технічних засобів між собою або безпосередньо через мережу інтернет. Що ж стосується OTT Communication Services, то це платформи і сервіси, які надають послуги інтернет-зв`язку, під дану категорію підпадає абсолютна більшість сучасних мессенджерів.

Тобто і на IoT, і на OTT Communication Services будуть поширюватись вимоги GDPR стосовно конфіденційності та інші вимоги щодо обробки персональних даних.

Правила будуть регулювати і питання прямого маркетингу, неважливо, чи буде рекламування здійснюватись усно чи письмово. У випадку прямого маркетингу повідомлення або дзвінки повинні доходити безпосередньо кінцевому споживачу. Для надсилання повідомлень з прямою маркетинговою метою суб`єкту персональних даних необхідна його попередня згода. На таку згоду будуть поширюватись положення GDPR (вільне надання згоди, конкретність, обгрунтованість та поінформованість).

Останній цікавий момент E-Pravacy Regulation буде стосуватись метаданих, тобто інформації, яка містить будь-які відомості чи характеристики самих даних. Наприклад, якщо йде мова про такі дані як фото, то метадані будуть включати в себе назву файлу, його розмір, дату створення, найменування користувача, що створив файл та назву девайса, на якому його було створено.

У контексті E-Prіvacy Regulation під метаданими будуть розумітись дані про відправника, одержувача, пристрій, через який здійснюється комунікація, дата комунікації, час комунікації та її тривалість. Саме на обробку таких метаданих правила будуть вимагати згоду суб`єкта персональних даних.

ЗАМІСТЬ ВИСНОВКІВ

Як можна побачити із зазначеного, питання правильності обробки персональних даних в ЄС поставлені на дуже високий рівень. І відповідальність для компаній, які не дотримуються вимог є доволі серйозною та реальною.

Це не дивно, адже в сучасному світі захист персональних даних людини є важливим правом, реалізацією якого повинні піклуватись як владні структури, так і безпосередньо суб`єкти, які обробляють та певним чином використовують персональні дані людей. Звідси й формується довіра суспільства до влади, яка зобов`язана робити все можливе для захисту прав людини, та довіра всередині суспільства, що в кінцевому підсумку примножує відчуття захищеності та благополуччя кожної людини.

Україна як держава, яка націлена на членство в ЄС, та українські компанії, які працюють в ЄС чи з громадянами ЄС, безсумнівно повинні пильно відслідковувати всі останні зміни і тенденції в законодавстві про захист персональних даних задля уникнення порушень прав людини.


Зозуля Наталія, «Українське право»

КОМЕНТАРІ  0 + Додати коментар
Неминучість ери правосуддя в Україні donum auctoris Неминучість ери правосуддя в Україні
Утворений у процесі розгорнутої Судової реформи Верховний Суд діє. Хтось називає найвищий судовий орган в Україні н...
Суддя-спікер Інгулецького районного суду про новели відеофіксації судових засідань Феміда Суддя-спікер Інгулецького районного суду про новели відеофіксації судових засідань
Суддя-спікер Інгулецького районного суду міста Кривого Рогу Дніпропетровської області В’ячеслав Мазуренко розповів ...
«Синій кит» або квест ціною у життя: історія, яка ще не стала судовою Справа «Синій кит» або квест ціною у життя: історія, яка ще не стала судовою
Декілька років тому суспільство сколихнули численні випадки самогубств серед дітей, багато з яких, як виявилось, бу...
Лютий 2019
Пн Вт Ср Чт Пт Сб Нд
28 29 30 31 1 2 3
4 5 6
06.02.2019 08:30:00 - Legal Banking Forum 2019
7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 1 2 3
ЗАХОДИ
06.02.2019 08:30:00 - Legal Banking Forum 2019
Опитування
  • Як ви оцінюєте нове процесуальне законодавство?

Використання будь-яких матеріалів, розміщених на порталі "Українське право", дозволяється за умови посилання на ukrainеpravo.com. При копіюванні матеріалів порталу "Українське право" для інтернет-видань обов'язковим є пряме та відкрите для пошукових систем гіперпосилання в першому абзаці на цитовану статтю або новину.
Яндекс.Метрика