close
МЕНЮ

Новости

Ключевые контакты
26 февраля 2021

Готова ли Украина к миру, в котором правят данные?

На протяжении последних десятилетий все больше внимания уделялось важности защиты данных. Это было обусловлено трендами диджитализации и глобализации. Мы стали свидетелями возрастающего количества утечек данных при участии крупнейших мировых корпораций и невозможности существующего регулирования эффективно ответить на такие вызовы.

Ответом мирового сообщества стала разработка более жесткого регулирования, адаптированного к новым реалиям. Наиболее известным недавно принятым актом стал GDPR.

Начиная с 2018 года только ленивый не посвятил пост, статью или вебинар тому, каким образом GDPR может применяться к украинскому бизнесу и какие невероятные санкции могут накладываться на отечественные компании.

На волне массового увлечения GDPR и вопросами приватности некоторые украинские компании адаптировали свои внутренние процессы к стандартам ЕС (в основном в ИТ секторе и под давлением зарубежных деловых партнеров), другие же – проанализировали свои потоки данных и заявили, что GDPR к ним не применяется.

За всем этим остался незамеченным один важный момент – независимо от того, применяется ли к вам сейчас GDPR или нет, вам в любом случае придется придерживаться его стандартов. Это станет нашей новой реальностью, как только Украина выполнит свои обязательства по Соглашению об ассоциации между ЕС и Украиной в части обязательного приведения украинского законодательства в соответствие стандартам ЕС.

В данный момент законопроект о защите персональных данных (Законопроект) находится на стадии разработки, но ожидается, что он будет подан в парламент в течение ближайших месяцев. А пока ниже приводим краткий обзор того, чего следует ожидать украинским компаниям и какие вызовы могут появиться перед ними после введения в действие нового законодательства о приватности. Хотя точные формулировки требований и обязательств могут отличаться в Законопроекте, дух GDPR будет сохранен, и уже можно говорить о том, сколько усилий нужно будет приложить компаниям для обеспечения комплаенса.

К кому это будет относиться?

Как и в случае с текущим законом о защите персональных данных (Закон), Законопроект будет применяться ко всем и любым действиям по обработке в Украине.

Распространенным заблуждением будет думать, что обработка данных больше присуща ИТ или финансовой сферам, тогда как другие секторы не настолько задействованы в обработке данных. Однако у каждой компании или органа власти есть, по крайней мере, сотрудники и договоры с контрагентами, содержащие данные их представителей. Это уже считается обработкой данных, и поэтому Законопроект будет применяться ко всем, независимо от принадлежности к публичному или частному сектору.

Чего ожидать от Законопроекта и как поменяются правила обработки данных?

Нет практической необходимости копировать каждое положение GDPR в Законопроект, ведь GDPR содержит много административных положений, присущих только ЕС, а потому нерелевантных для Украины.

Однако ключевые принципы и концепции, права и обязанности сторон, участвующих в обработке данных, с большой долей вероятности будут заимствованы без значительных изменений.

Принципы обработки данных

Несмотря на то, что все основные принципы в той или иной степени уже отображены в законе, а именно:

  • законность, справедливость и прозрачность;
  • ограничение обработки ее целью;
  • минимизация данных;
  • точность;
  • ограничения срока хранения; и
  • целостность и конфиденциальность.

сейчас они носят скорее декларативный характер. Законопроект должен предусмотреть, что нарушение этих принципов является достаточным основанием для привлечения нарушителя к ответственности.

Права субъектов данных

Существующие права субъектов данных, вполне вероятно, будут дополнены несколькими новыми, в частности правом быть забытым (‘right to be forgotten’, RTBF) и правом на перенос данных. Последнее право позволит субъектам данных требовать от контролера, автоматически обрабатывающего данные на основании согласия лица, передавать такие данные в структурированном виде другому контролеру.

Что касается RTBF, сегодня субъекты могут требовать от украинских контролеров/операторов удалить их данные, только если такие данные являются некорректными или обрабатываются незаконно.

RTBF должно позволить лицам требовать удаления их данных в большом количестве случаев, а именно:

  • больше нет необходимости в персональных данных для целей, для которых их собирали или иным образом обрабатывали;
  • субъект данных отзывает согласие, на котором основывается обработка, и отсутствует любое другое законное основание для обработки;
  • субъект данных возражает против обработки, и отсутствует любое другое законное основание для обработки;
  • персональные данные обрабатываются незаконно; и/или
  • персональные данные необходимо стереть для выполнения установленного законом обязательства, которое распространяется на контролера.

Однако RTBF не должно быть абсолютным правом, и контролер должен иметь возможность отказать в удовлетворении запроса субъекта данных, если обработка необходима для:

  • реализации права на свободу проявления взглядов и свободу информации;
  • выполнения установленного законом обязательства, которое требует обработки, или для выполнения задания в общественных интересах или для осуществления официальных полномочий, возложенных на контролера;
  • достижения целей общественных интересов, целей научного или исторического исследования или статистических целей в мере, в которой, вероятно, сделает невозможным или серьезно ограничит достижение целей такой обработки; и/или
  • формирования, осуществления или защиты правовых претензий.

Некоторые государства-члены ЕС внедрили дополнительные основания, по которым требование относительно удаления данных может быть не удовлетворено контролером.

Так, в Германии контролер может не удалять данные, если (1) удаление было бы невозможным или предусматривало бы непропорциональные усилия из-за специфического режима хранения; (2) заинтересованность субъекта данных в удалении может рассматриваться как минимальная; и (3) личные данные не были обработаны незаконно.

Другим примером является Закон о защите данных Великобритании, разработанный на основе GDPR, который также предоставляет контролерам место для маневра. Чтобы защитить себя от необоснованного требования по использованию своего RTBF, контролер может внедрить разумную плату за удаление данных.

Поскольку такой подход был негативно воспринят органами ЕС, такие дополнительные ограничения RTBF вряд ли будут внедрены в Украине.

Специальные категории данных

Перечень специальных категорий данных (также известных как чувствительные данные), приведенный в GDPR, является полным и в определенной степени более узким в сравнении с украинским законодательством (например, данные о передвижении, насилии против лица и информация о мерах административной ответственности, примененных к субъекту данных, не определены в GDPR как чувствительные).

Украинское законодательство разрешает обработку персональных данных о мерах уголовной ответственности при наличии некоторых обстоятельств. Подход GDPR в этом вопросе иной – обработка персональных данных о судимости и уголовных преступлениях или связанных мер безопасности осуществляется только под контролем официального органа или в случае, если обработка разрешена законодательством, которое предусматривает должные гарантии для прав и свобод субъектов данных. Любой всеобъемлющий реестр судимостей должен вестись только под контролем официального органа.

Это может в значительной степени повлиять на проведение проверок биографических данных, в частности проверок относительно будущих сотрудников на предмет применения к ним мер уголовной ответственности.

Большинство правовых оснований для обработки чувствительных данных уже имплементированы в Закон. Возможно, Законопроект будет содержать несколько дополнительных оснований, определенных GDPR, таких как:

  • общественный интерес в сфере общественного здравоохранения, в частности, защиты от серьезных трансграничных угроз здоровью или обеспечения высоких стандартов качества и безопасности здравоохранения и лекарственных препаратов или медицинского оборудования;
  • существенный общественный интерес на основании законодательства, которое должно быть пропорциональным цели, которой стремятся достичь, уважать сущность права на защиту данных и предусматривать должные и специальные меры для защиты фундаментальных прав и интересов субъекта данных; и/или
  • для достижения целей общественного интереса, целей научного или исторического исследования или статистических целей на основании законодательства, которое должно быть пропорциональным цели, которой стремятся достичь, уважать сущность права на защиту данных и предусматривать должные и специальные меры для защиты фундаментальных прав и интересов субъекта данных.

Впрочем, все эти правовые основания не повлияют на большинство контролеров, обрабатывающих чувствительные данные, особенно в частном секторе.

Обязанности контролера и оператора данных

Действующий Закон определяет обязанности контролеров и операторов достаточно размыто, что может стать препятствием для субъектов данных и контролеров/операторов в систематизации таких обязанностей. Законопроект призван определить обязанности прямо в более понятной для субъектов данных форме.

Одной из ключевых новых обязанностей, вероятнее всего, станет требование уведомлять субъектов данных и орган по защите данных (DPA) об утечке данных. Похоже, что такое требование будет изложено так же, как и в GDPR, то есть уведомление DPA должно быть направлено в течение 72 часов. Сейчас украинские стороны, принимающие участие в обработке, не имеют такой обязанности, и субъекты данных могут узнать об утечке данных через несколько месяцев из СМИ или социальных сетей. Такая обязанность будет требовать от компаний достаточных технических и человеческих ресурсов для адекватного определения и реакции на утечки данных, их расследование и своевременное уведомление соответствующих сторон при необходимости.

Также внедрение регулярной оценки мер безопасности данных и сотрудничество в этой части между контролерами и операторами с большой вероятностью будет гарантировать более высокий уровень защиты прав субъектов данных.

Учитывая сегодняшнюю специфику обработки данных, ожидается, что Законопроектом будет введена новая категория совместных контролеров. Ситуация с совместными контролерами возможна, когда двое и более контролеров определяют цели и способы обработки данных (например, медицинское учреждение и спонсоры клинических исследований). Определение такой новой разновидности отношений в Законопроекте позволит справедливо распределять обязанности между совместными контролерами и должным образом урегулировать взаимодействие между ними (сейчас, согласно Закону, это формально невозможно).

Уведомление субъектов данных

В придачу к существующим обязанностям по уведомлению контролерами субъектов данных, контролеры также будут обязаны информировать физических лиц о следующем:

  • контактные данные контролера и при необходимости представителя контролера;
  • контактные данные офицера по защите данных, где это необходимо;
  • правовое основание обработки; и
  • намерение передавать персональные данные в третью страну или международной организации и ссылка на соответствующие меры предосторожности и способы их получения или где с ними можно ознакомиться.

Объем информации может отличаться в зависимости от того, были ли данные получены напрямую от субъекта данных или опосредовано от третьих лиц.

ADM

Другим нововведением станет правовое регулирование процесса автоматического принятия решений (‘automated decision making’, ADM), в том числе профилирования (то есть обработка данных и принятие решения без привлечения человека). Согласно GDPR, такая обработка, если она приводит к правовым последствиям или подобным образом существенно влияет на субъекта данных без должного правового основания, разрешается только (i) при условии получения предварительного однозначного согласия субъекта данных; (ii) для исполнения договора; или (iii) согласно закону (применяется только для обработки чувствительных данных для целей общественного интереса, например, фармаконадзора).

Правовые последствия ADM могут включать, например, отказ в предоставлении гражданства, расторжение договора, право на финансовую помощь, возможности трудоустройства и пр.

Сегодня ADM и его ограничения не покрыты Законом. Внедрение выше указанных требований потребует от некоторых компаний (например, банков) пересмотреть свои внутренние процедуры по использованию ADM и обеспечить наличие должного обоснования и правового основания для использования ADM в процессах обработки данных.

Прямой маркетинг

Все мы получали надоедливые сообщения от разных магазинов и прочих компаний, которые пытались продать нам что-то через мессенджеры, электронную почту, СМС, ­– иногда было довольно сложно отписаться от них.

Путем внедрения правил относительно прямого маркетинга и обязательности получения согласия Законопроект в определенной степени может решить эту проблему.

Трансграничные передачи данных

Существующий Закон посвящает всего одну статью трансграничной передаче данных – неудивительно, что украинский бизнес не считает этот вопрос важным. GDPR же напротив акцентирует внимание на передаче данных за границу, особенно в страны без адекватного уровня защиты данных.

Сегодня большинство передач данных из ЕС происходит путем подписания стандартных договорных положений, утвержденных Европейской комиссией. И хотя этот инструмент работает в ЕС, маловероятно, что он будет так же эффективен в Украине и потому – имплементирован.

Другие механизмы GDPR, направленные на обеспечение безопасности трансграничных передач данных, такие как обязательные корпоративные правила и сертификация, также кажутся ненужными и трудно применимыми в Украине, так как они требуют много усилий со стороны DPA для того, чтобы быть эффективными. Поэтому по, крайней мере, на начальных этапах внедрения Законопроекта мы не ожидаем появления этих механизмов в Украине.

Самый простой способ для бизнеса, но сложный для государства – получение решения об адекватности для Украины от Европейской комиссии. В этом случае никакие другие меры предосторожности не будут нужны для передачи данных между ЕС и Украиной. Последнее решение об адекватности было выдано Европейской комиссией Японии. Впрочем, процесс получения такого решения для Украины может занять 3-5 лет после принятия Законопроекта. Европейская комиссия оценивает не только законодательство, но и его должное применение, национальную судебную практику и эффективность работы национального DPA. Поэтому украинским компаниям пока все равно нужно будет доказывать своим зарубежным бизнес-партнерам наличие должных мер предосторожности для обеспечения безопасности передачи данных к ним, пока получение решения об адекватности для Украины от Европейской комиссии не станет реальностью.

Должное применение – ключ к усовершенствованию защиты данных

Не секрет, что проверки украинского DPA и потенциальные штрафы за нарушение законодательства о защите данных – это последнее, о чем думает украинский бизнес. Подавляющее большинство компаний даже не знает об органе, ответственном за вопросы приватности, – Уполномоченном Верховной Рады Украины по правам человека (Омбудсмен).

Это – результат незначительных штрафов (до 34 000 грн.) и недостаточного применения – в 2018 году только 7 проверок из 41, проведенных офисом Омбудсмена, касались частных компаний.

Множество факторов – широкий круг зон ответственности офиса Омбудсмена, недостаточные финансовые, технические и человеческие ресурсы – приводят к отсутствию необходимых ресурсов Уполномоченного для решения вопросов защиты данных.

Ожидается, что ситуация изменится с принятием Законопроекта. Новый DPA не должен быть очередным контролирующим органом, чьи члены часто назначаются и увольняются исходя из политических предпочтений. Вместо этого новосозданный независимый DPA должен заниматься исключительно вопросами, связанными с правами по защите данных и соответствующими нарушениями. Он должен охватывать расследовательные, регуляторные, а также образовательные функции, направленные на повышение осведомленности всех сторон процесса обработки данных. Для достижения этой цели DPA должен иметь достаточные внутренние ресурсы. Например, после принятия GDPR количество сотрудников национальных DPA в ЕС возросло на 62 %, тогда как финансирование деятельности DPA в ЕС возросло в среднем на 64 %.

Вместе с полномочиями расследования (где DPA должен занимать проактивную позицию) DPA также будет отвечать за подготовку руководств для лиц, обрабатывающих данные, разъясняя положения Законопроекта и предоставляя практические советы касательно деятельности по обработке.

Что касается штрафов, их размер также ожидаемо возрастет. Учитывая украинские реалии, было бы нецелесообразно и нереалистично устанавливать штрафы за нарушения в сфере защиты данных на уровне GDPR (до 20 миллионов евро или 4 % мирового оборота, зависимо от того, какая из сумм будет больше). Украина, скорее, будет заимствовать немецкий опыт, где штрафы были установлены на уровне 50 000 евро за каждое нарушение. Кроме увеличения размера штрафов, мы также ожидаем рост «аппетита» субъектов данных к подаче исков против украинских компаний в национальные суды с требованиями о возмещении убытков от нарушения требований по защите данных.

В то же время европейские эксперты, анализировавшие Законопроект, отметили, что в анализируемой редакции отсутствовали конкретные размеры штрафов, которые могут налагаться на контролеров/операторов за нарушения положений Законопроекта.

Какие вызовы для украинского бизнеса принесет Законопроект?

Как и в случае с европейскими компаниями, украинскому бизнесу нужно будет адаптировать свои внутренние процессы к требованиям Законопроекта после его принятия. Основными вызовами для компаний в процессе приведения обработки данных в ходе своей хозяйственной деятельности в соответствие могут стать:

  • несуществующая практическая поддержка от национального DPA;
  • отсутствие образованных сотрудников;
  • тяжелая техническая адаптация;
  • недостаток финансовых ресурсов; и
  • отсутствие поддержки внутри компании.

Каждая компания будет решать эти вопросы в индивидуальном порядке. Ожидается, что для представителей среднего бизнеса это станет наиболее обременительно, ведь у них достаточно много потоков данных, чтобы заботиться об их защите, но не так много ресурсов для внедрения должных внутренних механизмов, как у больших корпораций.

Когда ожидать изменения?

Согласно Плану мер по выполнению Соглашения об ассоциации между ЕС и Украиной, реформа защиты данных должна была быть завершена в мае 2020 года. Это включало в себя как принятие Законопроекта после его одобрения экспертами ЕС, так и построение институциональных возможностей для выполнения законодательства по защите данных в Украине. Согласно инструменту мониторинга реализации плана мер по выполнению Соглашения, реформа была выполнена на 0 %[1].

Сегодня Законопроект находится на стадии разработки. Европейские эксперты уже предоставили свое правовое заключение касательно Законопроекта. В заключении были предоставлены комментарии к Законопроекту для законодателя, и сейчас он находится в процессе их воплощения.

Помимо формулировок GDPR, проанализированный европейскими экспертами Законопроект содержал также положения, которые базировались на судебной практике ЕС и руководствах EDPB (например, касательно файлов cookie). Однако некоторые эти вопросы лучше разъяснять в ходе деятельности украинского DPA, а не детально прописывать их в Законопроекте.

После принятия Законопроекта парламентом ожидается, что будет введен переходной период, который позволит украинским компаниям привести свои внутренние процессы в соответствие с новыми требованиями. Также этот период необходим для создания нового DPA и для разработки им некоторых руководств к началу выполнения им своих полномочий расследования против контролеров и операторов в Украине.

Обращайтесь к команде по защите данных Sayenko Kharenko для получения правовой поддержки вашей компании для подготовки к новым стандартам обработки данных в Украине. Мы также предоставляли помощь рабочей группе Верховной Рады Украины и поддерживали их в их попытках финализировать Законопроект.

[1] http://pulse.eu-ua.org/ua/streams/human-rights-justice-and-anticorupption/2020-substream5-95

Поделиться:

Больше Новости
Показать больше