close
МЕНЮ

Новини

Ключові контакти
26 Лютого 2021

Чи готова Україна до світу, керованого даними?

Протягом останніх десятиліть все більше уваги приділялося важливості захисту даних. Це було зумовлено трендами діджиталізації та глобалізації. Ми стали свідками зростаючої кількості витоків даних за участі найбільших світових корпорацій та неможливості існуючого регулювання ефективно відповісти на такі виклики.

Відповіддю світової спільноти стала розробка більш жорсткого регулювання, адаптованого до нових реалій. Найбільш відомим нещодавно прийнятим актом став GDPR.

Починаючи з 2018 року лише лінивий на присвятив пост, статтю або вебінар тому, яким чином GDPR може застосовуватися до українського бізнесу та які неймовірні санкції можуть бути накладені на вітчизняні компанії.

На хвилі масового захоплення GDPR та питаннями приватності деякі українські компанії пристосували свої внутрішні процеси до стандартів ЄС (в основному в ІТ секторі та під тиском зарубіжних ділових партнерів), інші – проаналізували свої потоки даних та заявили, що GDPR до них не застосовується.

За всім цим лишився непоміченим один важливий момент – незалежно від того, чи застосовується зараз GDPR до вас чи ні, ви в будь-якому разі повинні будете дотримуватися його стандартів. Це стане нашою новою реальністю, щойно Україна виконає свої зобов’язання за Угодою про асоціацію між ЄС та Україною в частині обов’язкового приведення українського законодавства у відповідність до стандартів ЄС.

Зараз законопроект про захист персональних даних (Законопроект) знаходиться на стадії розробки, проте очікується, що він буде поданий до парламенту протягом найближчих місяців. А поки що нижче наводимо короткий огляд того, чого слід очікувати українським компаніям та які виклики можуть постати перед ними після введення в дію нового законодавства з приватності. Хоча точні формулювання вимог та обов’язків можуть відрізнятися у Законопроекті, дух GDPR буде збережено, і вже можна говорити про те, скільки зусиль потрібно буде докласти компаніям для забезпечення комплаєнсу.

Кого це стосуватиметься?

Як і у випадку з чинним законом про захист персональних даних (Закон), Законопроект застосовуватиметься до всіх та будь-яких дій із обробки в Україні.

Поширена помилка – думати, що обробка даних більше притаманна ІТ або фінансовій сферам, у той час як інші сектори не настільки залучені до обробки даних. Однак кожна компанія або орган влади має принаймні працівників та договори з контрагентами, що містять дані про їхніх представників. Це вже вважається обробкою даних, і тому Законопроект застосовуватиметься до всіх, незалежно від належності до публічного або приватного сектору.

Чого очікувати від Законопроекту та як зміняться правила обробки даних?

Немає практичної необхідності копіювати кожне положення GDPR до Законопроекту, адже GDPR містить багато адміністративних положень, притаманних лише для ЄС, а тому нерелевантних для України.

Однак ключові принципи та концепції, права та обов’язки сторін, залучених до обробки даних, з великою вірогідністю будуть запозичені без значних змін.

Принципи обробки даних

Незважаючи на те, що всі основні принципи у тій чи іншій мірі уже відображені в Законі, а саме:

  • законність, справедливість та прозорість;
  • обмеження обробки метою;
  • мінімізація даних;
  • точність;
  • обмеження строку зберігання; та
  • цілісність та конфіденційність.

наразі вони мають здебільшого декларативний характер. Законопроект повинен передбачити, що порушення цих принципів є достатньою підставою для притягнення особи порушника до відповідальності.

Права суб’єктів даних

Існуючі права суб’єктів даних, цілком ймовірно, будуть доповнені кількома новими, зокрема правом бути забутим (‘right to be forgotten’, RTBF) та правом на перенос даних. Останнє право дозволить суб’єктам даних вимагати від контролера, який автоматично обробляє дані на підставі згоди особи, передавати такі дані у структурованому вигляді іншому контролеру.

Щодо RTBF, на сьогодні суб’єкти даних можуть вимагати від українських контролерів/операторів видалити їхні дані, лише якщо такі дані є неточними або обробляються незаконно.

RTBF має дозволити особам вимагати видалення їхніх даних у більшій кількості випадків, а саме якщо:

  • немає більше потреби в персональних даних для цілей, для яких їх збирали чи іншим чином опрацьовували;
  • суб’єкт даних відкликає згоду, на якій ґрунтується опрацювання, та немає іншої законної підстави для опрацювання;
  • суб’єкт даних заперечує проти опрацювання та немає жодних першочергових законних підстав для опрацювання;
  • персональні дані опрацьовували незаконно; та/або
  • персональні дані необхідно стерти для дотримання встановленого законом зобов’язання, яке поширюється на контролера.

Однак RTBF не повинно бути абсолютним правом, і контролер повинен мати можливість відмовити у задоволенні запиту суб’єкта даних, якщо обробка необхідна для:

  • реалізації права на свободу вияву поглядів та свободу інформації;
  • дотримання встановленого законом зобов’язання, що вимагає опрацювання, або для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
  • досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей мірою, якою, ймовірно, унеможливить або серйозно обмежить досягнення цілей такого опрацювання; та/або
  • формування, здійснення або захисту правових претензій.

Деякі держави-члени ЄС запровадили додаткові підстави, за якими вимога щодо видалення даних може бути не задоволена контролером.

Так, у Німеччині контролер може не видаляти дані, якщо (1) видалення було б неможливим або передбачало б непропорційні зусилля через специфічний режим зберігання; (2) зацікавленість суб’єкта даних до видалення може розглядатися як мінімальна; та (3) особисті дані не були оброблені незаконно.

Іншим прикладом є Закон про захист даних Великої Британії, розроблений на основі GDPR, який також надає контролерам певний простір для маневру. Аби захистити себе від необґрунтованої вимоги на використання свого RTBF, контролер може запровадити розумну плату за видалення даних.

Оскільки такий підхід був негативно сприйнятий органами ЄС, такі додаткові обмеження RTBF навряд чи будуть запроваджені в Україні.

Спеціальні категорії даних

Перелік спеціальних категорій даних (також відомих як чутливі дані), наведених у GDPR, є вичерпним та до певної міри вужчим, ніж це визначено українським законодавством (наприклад, дані про пересування, насилля проти особи та інформація про заходи адміністративної відповідальності, накладені на суб’єкта даних, не визначені як чутливі за GDPR).

Українське законодавство дозволяє обробку персональних даних про заходи кримінальної відповідальності за певних обставин. Підхід GDPR у цій частині інший – опрацювання персональних даних про судимості і кримінальні злочини або пов’язані заходи безпеки здійснюють лише під контролем офіційного органу або у разі, якщо опрацювання дозволено законодавством, що передбачає належні гарантії для прав і свобод суб’єктів даних. Будь-який всеосяжний реєстр судимостей необхідно вести лише під контролем офіційного органу.

Це може значною мірою вплинути на підхід до проведення перевірок біографічних даних, зокрема перевірок щодо майбутніх працівників на предмет застосування до них заходів кримінальної відповідальності.

Більшість правових підстав для обробки чутливих даних уже імплементовані до Закону. Можливо, що Законопроект міститиме кілька додаткових підстав, визначених GDPR, такі як:

  • суспільний інтерес у сфері охорони суспільного здоров’я, зокрема, захисту від серйозних транскордонних загроз здоров’ю чи забезпечення високих стандартів якості та безпеки у сфері охорони здоров’я і лікарських препаратів або медичного обладнання;
  • суттєвий суспільний інтерес на підставі законодавства, що має бути пропорційним цілі, якої прагнуть досягти, поважати сутність права на захист даних і передбачати належні та спеціальні заходи для захисту фундаментальних прав та інтересів суб’єкта даних; та/або
  • для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілей на підставі законодавства, що має бути пропорційним цілі, якої прагнуть досягти, поважати сутність права на захист даних і передбачати належні та спеціальні заходи для захисту фундаментальних прав та інтересів суб’єкта даних.

Утім, всі ці правові підстави не вплинуть на більшість контролерів, які обробляють чутливі дані, особливо в приватному секторі.

Обов’язки контролера та оператора даних

Діючий Закон визначає обов’язки контролерів та операторів досить розмито, що може стати перешкодою для суб’єктів даних та контролерів/операторів у систематизації таких обов’язків. Законопроект покликаний визначити обов’язки прямо в більш зрозумілій для суб’єктів даних формі.

Одним із ключових нових обов’язків, вірогідніше за все, стане вимога повідомляти суб’єктів даних та орган із захисту даних (DPA) про витік даних. Виглядає так, що така вимога буде викладена так само, як і в GDPR, тобто повідомлення до DPA повинно бути надіслане протягом 72 годин. Зараз українські сторони, що беруть участь в обробці, не мають такого обов’язку, і суб’єкти даних можуть дізнаватися про витік даних через кілька місяців через ЗМІ або соціальні мережі. Такий обов’язок вимагатиме від компаній достатніх технічних та людських ресурсів для адекватного визначення та реакції на витоки даних, їхнє розслідування та вчасне повідомлення відповідних сторін, де це необхідно.

Також запровадження регулярної оцінки заходів безпеки даних та співпраця в цій частині між контролерами та операторами з більшою ймовірністю гарантуватиме вищий рівень захисту прав суб’єктів даних.

Враховуючи сьогоднішню специфіку обробки даних, очікується, що Законопроектом буде запроваджена нова категорія спільних контролерів. Ситуація зі спільними контролерами можлива, коли два і більше контролерів разом визначають цілі та способи обробки даних (наприклад, медична установа та спонсори клінічних випробувань). Визначення такого нового різновиду відносин у Законопроекті дозволить справедливо розподіляти обов’язки між спільними контролерами та належним чином врегулювати взаємодію між ними (зараз за Законом це формально неможливо).

Повідомлення суб’єктів даних

На додачу до існуючих обов’язків із повідомлення контролерами суб’єктів даних контролери також будуть зобов’язані інформувати фізичних осіб про таке:

  • контактні дані контролера та, де це необхідно, представника контролера;
  • контактні дані офіцера із захисту даних, де це необхідно;
  • правову основу обробки; та
  • намір передавати персональні дані до третьої країни або міжнародної організації та посилання на відповідні запобіжні заходи та способи отримання їхньої копії або де з ними можна ознайомитися.

Обсяг інформації може відрізнятися залежно від того, чи дані були отримані напряму від суб’єкта даних або опосередковано від третіх осіб.

ADM

Іншим нововведенням стане правове регулювання процесу автоматичного прийняття рішень (‘automated decision making’, ADM), у тому числі профілювання (тобто обробка даних та прийняття рішення без залучення людини). За GDPR така обробка, якщо вона породжує правові наслідки або подібним чином істотно впливає на суб’єкта даних без належної правової підстави, дозволяється лише (i) за умови отримання попередньої однозначної згоди суб’єкта даних; або (ii) для виконання договору; або (iii) відповідно до закону (застосовується лише для обробки чутливих даних для цілей суспільного інтересу, наприклад, фармаконагляду).

Правові наслідки ADM можуть включати, наприклад, відмову в наданні громадянства, розірвання договору, право на фінансову позику, можливості працевлаштування тощо.

На сьогодні ADM та його обмеження не охоплюються Законом. Запровадження вище визначених вимог потребуватиме від деяких компаній (наприклад, банків) переглянути свої внутрішні процедури з використанням ADM та забезпечити наявність належного обґрунтування та правової основи для використання ADM у процесах обробки даних.

Прямий маркетинг

Всі ми отримували надокучливі повідомлення від різних магазинів та інших компаній, які намагалися продати нам щось через месенджери, електронну пошту, СМС – іноді було доволі складно відписатися від них.

Шляхом запровадження правил щодо прямого маркетингу та обов’язковості отримання згоди Законопроект певною мірою може вирішити цю проблему.

Транскордонні передачі даних

Існуючий Закон присвячує всього одну статтю транскордонній передачі даних – недивно, що український бізнес не вважає це питання важливим. GDPR напроти акцентує увагу на важливості передачі даних за кордон, особливо до країн без адекватного рівня захисту даних.

Сьогодні більшість передач даних з ЄС відбувається шляхом підписання стандартних договірних положень, затверджених Європейською комісією. І хоча цей інструмент працює в ЄС, малоймовірно, що він буде так само ефективним в Україні і тому – імплементований.

Інші механізми GDPR, спрямовані на убезпечення транскордонних передач даних, такі як обов’язкові корпоративні правила та сертифікація, також видаються непотрібними та важко застосовуваними в Україні, оскільки вони потребують багато зусиль з боку DPA, аби бути ефективними. Тому принаймні на початкових етапах втілення Законопроекту ми не очікуємо появи цих механізмів в Україні.

Найпростіший спосіб для бізнесу, проте складний для держави – отримання рішення про адекватність для України від Європейської комісії. У цьому випадку жодні інші запобіжні заходи не будуть потрібні для передачі даних між ЄС та Україною. Останнє рішення про адекватність було видане Європейською комісією Японії. Утім, процес отримання такого рішення для України може зайняти 3-5 років після прийняття Законопроекту. Європейська Комісія оцінює не лише законодавство, але і його належне застосування, національну судову практику та ефективність роботи національного DPA. Тому українським компаніям поки все одно потрібно буде доводити своїм зарубіжним бізнес партнерам наявність належних запобіжних заходів для убезпечення передачі даних до них, допоки отримання рішення про адекватність для України від Європейської комісії не стане реальністю.

Належне виконанняключ до вдосконалення захисту даних

Не секрет, що перевірки українського DPA та потенційні штрафи за порушення законодавства про захист даних – це останнє, про що думає український бізнес. Переважна більшість компаній навіть не знає про орган, відповідальний за питання приватності, – Уповноважений Верховної Ради України з прав людини (Омбудсмен).

Це результат незначних штрафів (до 34 000 грн.) та недостатнього виконання – у 2018 році лише 7 перевірок з 41, проведених офісом Омбудсмена, стосувалися приватних компаній.

Численні фактори – широке коло сфер відповідальності офісу Омбудсмена, недостатні фінансові, технічні та людські ресурси – призводять до відсутності належних ресурсів Уповноваженого для вирішення питань захисту даних.

Очікується, що ситуація зміниться з прийняттям Законопроекту. Новий DPA не повинен бути черговим контролюючим органом, чиї члени часто призначаються та звільняються виходячи з політичних уподобань. Натомість новостворений незалежний DPA повинен займатися виключно питаннями, пов’язаними з правами щодо захисту даних та відповідними порушеннями. Він має охоплювати розслідувальні, регуляторні, а також освітні функції, спрямовані на підвищення обізнаності всіх сторін процесу обробки даних. Для досягнення цієї мети DPA повинен мати достатні внутрішні ресурси. До прикладу, після прийняття GDPR кількість працівників національних DPA в ЄС зросла в середньому на 62 %, а фінансування діяльності DPA в ЄС зросло в середньому на 64 %.

Разом із розслідувальними повноваженнями (де DPA повинен займати проактивну позицію) DPA також відповідатиме за підготовку настанов для осіб, що обробляють дані, роз’яснюючи положення Законопроекту та надаючи практичні поради щодо діяльності з обробки.

Щодо штрафів, їхній розмір також очікувано зросте. Ураховуючи українські реалії, було б недоцільно та нереалістично впроваджувати штрафи за порушення у сфері захисту даних на рівні GDPR (до 20 мільйонів євро або 4 % світового обороту, залежно від того, яка сума буде більшою). Україна скоріше запозичуватиме німецький досвід, де штрафи були встановлені на рівні 50 000 євро за кожне порушення. Окрім збільшення розміру штрафів, ми також очікуємо зростання «апетиту» суб’єктів даних до подання позовів проти українських компаній до національних судів з вимогами про відшкодування збитків від порушення вимог щодо захисту даних.

Водночас європейські експерти, які аналізували Законопроект, зазначили, що в аналізованій редакції були відсутні конкретні розміри штрафів, які можуть покладатися на контролерів/операторів за порушення положень Законопроекту.

Які виклики для українського бізнесу принесе Законопроект?

Як і у випадку з європейськими компаніями, українському бізнесу потрібно буде адаптувати свої внутрішні процеси до вимог Законопроекту після його прийняття. Основними викликами для компаній у процесі приведення обробки даних в ході своєї господарської діяльності у відповідність можуть стати:

  • неіснуюча практична підтримка від національного DPA;
  • відсутність освічених працівників;
  • важка технічна адаптація;
  • брак фінансових ресурсів; та
  • відсутність підтримки всередині компанії.

Кожна компанія вирішуватиме ці питання в індивідуальному порядку. Очікується, що для представників середнього бізнесу це стане найбільш обтяжливо, адже у них досить багато потоків даних, щоб опікуватися їхнім захистом, але не так багато ресурсів для запровадження належних внутрішніх механізмів, як у великих корпорацій.

Коли очікувати зміни?

Згідно з Планом заходів з виконання Угоди про асоціацію між ЄС та Україною, реформа захисту даних повинна була бути завершена в травні 2020 року. Це включало в себе як прийняття Законопроекту після його схвалення експертами ЄС, так і розбудову інституціональних можливостей для виконання законодавства із захисту даних в Україні. Відповідно до інструменту моніторингу реалізації плану заходів з виконання Угоди, реформа була виконана на 0 %[1].

На сьогодні Законопроект знаходиться на стадії розробки. Європейські експерти вже надали свій правовий висновок щодо Законопроекту. У висновку були надані коментарі до Законопроекту для нормотворців, і зараз вони знаходяться в процесі їх втілення.

Окрім формулювань GDPR, проаналізований європейськими експертами Законопроект містив також положення, які базувалися на основі судової практики ЄС та настанов EDPB (наприклад, щодо файлів cookie). Однак деякі з цих питань краще роз’яснювати в ході діяльності українського DPA, а не детально прописувати їх у Законопроекті.

Після прийняття Законопроекту парламентом очікується, що буде введено перехідний період, який дозволить українським компаніям привести свої внутрішні процеси у відповідність до нових вимог. Також цей період необхідний для створення нового DPA та для розробки ним деяких настанов до початку виконання ним своїх розслідувальних повноважень проти контролерів та операторів в Україні.

Звертайтеся до команди із захисту даних Sayenko Kharenko для отримання правової підтримки вашої компанії з метою підготовки до нових стандартів обробки даних в Україні. Ми також надавали допомогу робочій групі Верховної Ради України та підтримували їх в їхніх спробах фіналізувати Законопроект.

[1] http://pulse.eu-ua.org/ua/streams/human-rights-justice-and-anticorupption/2020-substream5-95

Поділитися:

Далі Новини
Показати більше