Якщо ви маєте сайт, через який пропонуєте товари або послуги без обмеження територією України, — неодмінно прочитайте цю статтю.
Ті, хто має поштові скриньки на європейських серверах, уже отримали повідомлення про те, що з 25 травня в ЄС змінилися правила зберігання та обробки персональних даних і в зв'язку з цим треба надати згоду на застосування оновленого регламенту обробки персональних даних. До інших могли надійти відголоски цієї події, зрештою, ті, хто отримує розсилку новин «ДК», дізналися про цю подію саме 25 травня.
Що за подія сталася?
25 травня почав діяти Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27.04.2016 р. «Про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних, далі — Регламент). Його скорочена назва англійською — General Data Protection Regulation, тому найчастіше вживаною є абревіатура GDPR, однак в різних країнах можуть бути у вжитку власні скорочення, наприклад у Польщі це RODO — від Rozporzadzenie o Ochronie Danych Osobowych.
Як бачимо, Регламент було прийнято ще в 2016 році, тоді ж він і набрав чинності — 24.05.2016 р., на 20-й день з дня офіційного опублікування в «Офіційному віснику ЄС». Однак згідно з п. 2 ст. 99 Регламенту почав застосовуватися він 25 травня 2018 року, після дворічного перехідного періоду. А розробляти його почали ще в 2012-му.
Тобто всі, чия діяльність пов'язана з обробкою персональних даних, мали два роки на те, щоби підготуватися. Чому ж у нас спохопилися щойно тепер? Достеменно сказати важко, можна було би припустити, що це особливість національного менталітету, якби не те, що і в Європі ще не всі встигли достосуватися до вимог Регламенту. Загальна ситуація там така: великі компанії, яким є чим ризикувати, уже перейшли на відповідність Регламенту, а дрібні фірмочки з інтернет-вітринами — ще далеко не всі. Щоправда, Регламент і сам по-різному підходить до великих підприємств, з одного боку, і середніх, малих та мікро-, — з іншого: підприємства з кількістю працівників до 250 осіб звільнені від обов'язку вести облік опрацювання персональних даних.
З офіційним текстом англійською та іншими мовами ЄС можна ознайомитися на офіційному сайті законодавства ЄС1, а з не дуже грамотним, проте офіційним перекладом українською — на сайті Верховної Ради2. Затверджений він був 25.04.2018 р.
Вищезгадана стаття 99 є останньою статтею Регламенту, весь його обсяг — 97 сторінок, тому довірити його вивчення краще вашому юристові вкупі з IТ-фахівцем. А далі наведемо головне, що треба знати про цей Регламент кожному. Кожному — бо кожен є суб'єктом персональних даних, а Угода про асоціацію з ЄС (а до її підписання — Стратегія інтеграції України до ЄС) передбачає гармонізацію українського законодавства з європейським. Тож можна сміливо сказати, що Регламент — це майбутнє законодавства України про захист персональних даних. Утім, наша держава має відреагувати на цей факт на нормативному рівні.
Регламент, а не директива
Як видно вже зі самої назви, Регламентом скасовується попередня директива ЄС у цій сфері. У чому відмінність?
Директива — це напрямні, вказівки, у межах яких кожна держава — член ЄС розробляє власне законодавство. Регламент — це законодавство прямої дії у всіх державах — членах ЄС.
Отже, з 25 травня 2018 року замість 28 окремих національних законів про захист персональних даних на всій території ЄС застосовується один-єдиний Регламент. Це зручно, це великий крок уперед, врешті-решт — це саме те, для чого й задумувався ЄС.
Чому це має нас стосуватися?
По-перше, Регламент стосується не всіх (кого саме, розглянемо далі). По-друге, Регламент має екстериторіальну дію, тобто поширюється за межі Євросоюзу. Тут треба копнути глибше.
У п. 115 преамбули Регламенту говориться, що деякі треті країни ухвалюють нормативно-правові акти, призначені безпосередньо для врегулювання питання щодо опрацювання персональних даних осіб, що перебувають під юрисдикцією держав-членів. Екстериторіальна сфера застосування таких актів може порушувати міжнародне право та ускладнювати досягнення цілей захисту фізичних осіб, який гарантовано в ЄС цим Регламентом. Тому в §2 ст. 3 «Територіальна сфера дії» Регламенту сказано:
«Цей Регламент застосовують до опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов'язано з:
(a) постачанням товарів чи наданням послуг таким суб'єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб'єктів даних; або
(b) моніторингом поведінки суб'єктів даних, якщо така поведінка має місце у межах Союзу».
Регламент стосується і некомерційних (за вітчизняним законодавством — неприбуткових) суб'єктів
Як випливає з п. «а» §2 статті 3 Регламенту, непереслідування комерційної мети не звільняє від необхідності застосування Регламенту, якщо збираються й опрацьовуються персональні дані суб'єктів ЄС.
Щоправда, є ще п. «а» §2 ст. 2 «Матеріальна сфера дії», згідно з яким цей Регламент не застосовують до опрацювання персональних даних в ході діяльності, що виходить за межі дії права Союзу. Але це означає лише, що ви не зобов'язані застосовувати Регламент, якщо не маєте справи з суб'єктами ЄС. А на персональні дані громадян ЄС поширюється право ЄС — і див. вище.
Принцип екстериторіальності є, мабуть, найнеоднозначнішим положенням Регламенту, особливо багато спротиву він викликав на схід від східного кордону України. Безумовно, виникають питання, пов'язані насамперед із практичним застосуванням Регламенту поза межами ЄС, зокрема контролем та санкціями за порушення. Але Регламент — це закон, який встановлює норми матеріального права, а от конкретні механізми його реалізації ще не розроблені (хоч ніби на їх розробку теж було два роки). До того ж екстериторіальність тут нас у принципі не повинна хвилювати. Адже, по-перше, госпсуб'єкти, які хочуть вести бізнес з ЄС і в ЄС, і так мусять дотримуватися європейського законодавства, а Регламент є просто його частиною. По-друге, у межах гармонізації українського законодавства з європейським можна очікувати, що Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних» (далі — Закон про захист ПД) буде приведено у відповідність до Регламенту.
Принаймні українським госпсуб'єктам треба бути готовими до вимог з боку країн-партнерів з ЄС щодо дотримання вимог Регламенту (це буде відображатись у положеннях договорів, окремих письмових вимог чи гарантій тощо).
Зауважте також, що це ми говоримо про госпсуб'єктів, які територіально розташовані в Україні і не мають представництва в ЄС. Якщо ж таке представництво є, питання про необхідність застосування Регламенту взагалі не має виникати.
Як визначається необхідність застосування Регламенту, сказано в п. 23 преамбули, зокрема: «Такі фактори, як використання мови або валюти, що є загальноприйнятими в одній або декількох державах-членах, із можливістю замовити товари чи послуги тією іншою мовою, або згадування споживачів чи користувачів, що перебувають у Союзі, підтверджують те, що контролер передбачає надання товарів або постачання послуг суб'єктам даних у Союзі».
Отже, якщо на сайті, на якому ви пропонуєте товари чи послуги, є можливість переглядати його хоча б однією з мов держав ЄС або вибрати як валюту розрахунків євро чи, наприклад, злоті, — у розумінні Регламенту це означає, що товари/послуги пропонуються суб'єктам ЄС.
Контролер, оператор, процесор...
Як ми вже сказали, офіційний переклад Регламенту не відзначається правильністю — не тільки граматичною (особлива проблема — родовий відмінок іменників чоловічого роду), а й лексичною. Що гірше, знову склалася ситуація, коли ліва рука не знає, що робить права, — адже Закон про захист ПД створювався на основі існуючого європейського законодавства в цій галузі, і в ньому було вжито українські відповідники європейських термінів. А перекладачі Регламенту повелися так, ніби нічого такого не було, і цього разу просто скалькували все ті ж терміни. Спасибі їм за це превелике.
Отже, «контролер» — це аналог уже відомого нам поняття «володілець персональних даних». «Оператор» — це «розпорядник персональних даних». Що ж до «процесора» — якщо не калькувати, то це «обробник». Підказка: якщо ви бачите юриста, який в контексті Регламенту вживає слово «процесор», а не «оператор», — значить, він мав справу з англійським текстом, а не з офіційним перекладом. Добре це чи погано — сказати не можна, це залежить від рівня володіння юридичною англійською конкретного юриста. В офіційному перекладі Регламенту термін «процесор» трапляється лише двічі, обидва рази — в п. 131 преамбули, де надмізки з Урядового офісу координації та євроатлантичної інтеграції Секретаріату КМУ примудрилися перекласти «controller or processor» як «оператор або процесор».
Чому це важливо
Термінологічна плутанина не така невинна, як могло би здаватися на перший погляд. Адже маємо більш ніж досить не тільки недостатньо фахових перекладачів, а й таких самих юристів. Тому в Iнтернеті вже можна зустріти їхні «професійні» рекомендації, що для виконання нових правил захисту персональних даних необхідно «призначити контролера, оператора та представника». Це, звичайно, повна маячня.
Термінологічної єдності в офіційному перекладі менше, ніж слід було б очікувати від офіційного документа. Так, в п. 30 преамбули вживається термін (неправильний) «додатки», а в п. 78 — вже «застосунки».
Що є персональними даними за Регламентом?
Поняття персональних даних у Регламенті загалом збігається з тим, що було досі. Для порівняння наведемо чинне в Україні визначення за Законом про захист ПД: «Відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Як бачимо, це майже слово в слово те саме, просто перекладачі Регламенту, як завжди, полінувалися звіритися з чинним законодавством і замість слова «відомості» вжили слово «інформація», а в самому Регламенті для кращого розуміння наведено конкретні приклади. Більше прикладів можна знайти в преамбулі, зокрема в п. 26, 30, 34, 35. IP-адреси та інформація, що зберігається у файлах «кукі» («реп'яшки»), тепер однозначно вважаються персональними даними.
Визначення терміна «персональні дані»
[Термін] «персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб'єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема за такими ідентифікаторами, як ім'я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.
Пункт 1 статті 4 Регламенту
Запроваджується нове для нас поняття профайлінгу, себто створення профілів, а конкретніше — це будь-яка форма автоматизованого опрацювання персональних даних, що полягає у використанні персональних даних для оцінювання окремих особистих аспектів, що стосуються фізичної особи, зокрема, для аналізу або прогнозування аспектів, що стосуються продуктивності суб'єкта даних на роботі, економічного становища, здоров'я, особистих схильностей1, інтересів, надійності, поведінки, місцезнаходження або пересування.
1 В офіційному перекладі — «особистих переваг». В оригіналі — «personal preferences». При зворотному перекладі вийде «personal advantages». Це до питання про професійний рівень тих, хто готує нам офіційні переклади.
Звичайно, під це поняття підпадають передусім такі компанії, як «Фейсбук», «Гугл» тощо, для яких створення особових профілів є основою роботи. Але не слід тішитися надією, що українських суб'єктів це взагалі не стосується. Приклад: приїжджаючи в Україну, громадяни ЄС входять у роумінг у вітчизняних операторів мобільного зв'язку, відповідно, ті можуть створювати профілі їхнього місцезнаходження і пересування. Те саме — якщо вони приїжджають на довший час і придбавають вітчизняні SIM-картки. I навіть якщо такі профілі фактично не створюються, це не привід відмахнутися від вимог Регламенту: ключовою тут є сама наявність такої можливості.
Хтось може сказати, що мобільні оператори — завеликі компанії, які надають послуги у т. ч. неперсоніфікованим абонентам, а тому не можуть бути за приклад. Гаразд, тоді готелі: під час бронювання номерів і реєстрації вони збирають про постояльців відомості, які підпадають під поняття «персональні дані». А серед постояльців можуть бути і громадяни ЄС. I — здрастуй, Регламенте!
Щоправда, для готельних мереж і невеличких готелів підхід тут різний: підприємства (організації) з кількістю працівників до 250 осіб звільнені від обліку опрацювання персональних даних (п. 13 преамбули, §5 ст. 30 Регламенту) — але не від інших обов'язків за Регламентом.
Повідомлення про опрацювання персональних даних
Пам'ятаєте переполох, який здійнявся у нас після прийняття Закону про захист ПД, коли з'явилася вимога повідомляти про опрацювання персональних даних? Хороша новина — в ЄС вирішили, що це було зайве, тому Регламент скасовує цей обов'язок, який був передбачений Директивою 95/46/ЄС (п. 89 преамбули). Погана новина — нас це наразі не стосується.
Яка насправді основна новація Регламенту?
Про одну з них ми вже сказали — це заміна 28 національних законів одним Регламентом.
Не менш важлива новація — запровадження оцінки ризиків (п. 74 — 77, 83 — 84, 89 — 92, 94 преамбули, ст. 32, 35 Регламенту).
Що це означає на практиці? Безпека персональних даних висувається на перше місце. Не можна збирати будь-які дані «про всяк випадок» — лише ті, які необхідні для діяльності контролера (принцип мінімізації даних). При опрацюванні та зберіганні персональних даних слід оцінювати ризики їх викрадення, знищення тощо і «провести оцінювання впливу на захист даних до моменту опрацювання для того, щоб визначити конкретну ймовірність і ступінь тяжкості високого ризику, враховуючи специфіку, обсяг, контекст і цілі опрацювання та джерела ризику» (п. 90 преамбули). У кожному разі персональні дані варто зберігати в зашифрованому вигляді. В особливо складних випадках слід консультуватися з державним наглядовим органом у цій сфері.
Позбутися значної частини клопоту можна, якщо застосовувати деперсоналізацію даних — вони тоді перетворюються просто на статистичні дані і випадають з-під дії Регламенту. Якщо застосовувати псевдонімізацію, то можливість ідентифікації зберігається, тому введення псевдонімів не передбачає обмеження будь-яких інших заходів щодо захисту даних (п. 26, 28, 29, 78 преамбули, п. 5 ст. 4 Регламенту).
Представник
Вище ми сказали, що ніяких контролерів та операторів, як дехто радить, призначати не треба. А от з представником інакше.
«Представник» — це фізична чи юридична особа, що перебуває чи має осідок в Союзі та призначена контролером або оператором у письмовій формі згідно зі статтею 27, представляє контролера або оператора у питаннях, що стосуються їхніх відповідних обов'язків за цим Регламентом (п. 17 ст. 4 Регламенту).
А стаття 27 Регламенту вимагає від контролера або оператора у разі застосування §2 ст. 3 (див. розділ «Чому це має нас стосуватися?» цієї статті) призначити в письмовій формі представника в ЄС.
Очевидно, контактні дані цього представника мають бути зазначені у Положенні про опрацювання персональних даних, з яким погоджується клієнт під час відвідин веб-сайта тощо. Ця особа має представляти контролера чи оператора з-поза ЄС у всіх справах, що стосуються поводження з персональними даними громадян ЄС, однак відповідачем у можливих судових позовах буде виступати сам цей контролер чи оператор.
Додамо, що ніщо не заважає одній особі (особливо юридичній) бути представником кількох контролерів чи операторів — тож у цих справах можна кооперуватися.
Надання згоди на опрацювання персональних даних
Регламент висуває такі вимоги до надання суб'єктом згоди на опрацювання персональних даних: це має бути вільно надане, конкретне, поінформоване та однозначне зазначення бажань суб'єкта даних, яким він або вона, шляхом оформлення заяви чи проявом чітких ствердних дій, підтверджує згоду на опрацювання своїх персональних даних (п. 11 ст. 4 Регламенту).
У більш конкретизованому вигляді вимоги до форми згоди наведено в преамбулі (п. 32, 33). Зокрема, що стосується веб-сайтів, однозначно сказано, що мовчання, автоматичне заповнення клітинок позначками або бездіяльність не є наданням згоди.
Тому «галочка» в полі «Я згоден» не може стояти за умовчанням — клієнт повинен поставити її власноруч. Якщо опрацювання персональних даних відбувається для кількох різних цілей — згода надається на кожну з них окремо. Поінформованість означає, що суб'єкт має ознайомитися з тим, як і навіщо зберігатимуться й опрацьовуватимуться його дані. Тому на практиці прийнято, що чекбокс на згоду стає активним тільки після того, коли текст положення про опрацювання персональних даних буде перемотано до кінця: тільки тоді ми можемо презюмувати ознайомлення з ним. Крім того, для багатомовних сайтів текст положення має бути викладено кожною з мов. Тут же варто наводити контактні дані представника. I пам'ятайте: файл «кукі» — це вже персональні дані.
Крім того, потрібно надати можливість суб'єкту персональних даних відкликати раніше надану згоду.
Повідомлення про незаконний доступ
Ми пам'ятаємо гучні скандали останніх років про витоки персональних даних. Хоч як би не хотілося уникнути таких скандалів, стаття 33 Регламенту зобов'язує протягом 72 годин з моменту виявлення повідомляти про порушення захисту персональних даних наглядовий орган. Це в разі якщо таке порушення навряд чи призведе до виникнення ризику для прав і свобод фізосіб. Якщо ж унаслідок порушення виникне високий ризик для прав і свобод, стаття 34 зобов'язує невідкладно повідомити про це суб'єкта, чиї персональні дані опинилися під загрозою.
Наглядовий орган
Стаття 68 Регламенту засновує новий наглядовий орган — Європейську раду із захисту даних (European Data Protection Board — EDPB). Вона прийшла на зміну так званій Робочій групі щодо статті 29 (Working party 29).
Найкращий спосіб уникати таких скандалів — не приховувати витоки, а вживати максимальних заходів безпеки. Нам при цьому слід ще й пам'ятати, що Україна останнім часом стала ціллю кібератак з-за східного кордону, а тому бути особливо обережними.
Право на забуття
Пунктами 65 — 66 преамбули та ст. 17 Регламенту передбачено право на забуття (right to erasure, right to be forgotten) — право суб'єкта персональних даних вимагати їх видалення. Це право не є новацією Регламенту. Щоправда, досі воно вживалося в контексті пошукових систем1, однак насправді не обмежується тільки ними.
1 Справа «Google Spain v AEPD and Mario Costeja Gonzalez».
Обмеження права на забуття можливе лише в разі, якщо таке забуття суперечитиме суспільним інтересам — іншими словами, публічні особи позбавлені права на забуття.
6 принципів опрацювання персональних даних
1. Законність, правомірність і прозорість. Персональні дані мають опрацьовуватися у законний, правомірний і прозорий спосіб.
2. Обмеження мети. Дані мають збиратися і використовуватися виключно з заявленою законною метою і надалі не можуть опрацьовуватись у спосіб, не сумісний з такою метою (за винятком опрацювання у суспільному інтересі, з метою наукового, статистичного чи історичного дослідження).
3. Мінімізація даних. Не можна збирати особисті дані в більшому обсязі, ніж необхідно для мети опрацювання.
4. Точність. Неточні персональні дані на вимогу користувача мають бути негайно видалені або виправлені.
5. Обмеження зберігання. Персональні дані мають зберігатися у формі, яка дозволяє ідентифікувати суб'єкти даних, не довше, ніж це необхідно для мети опрацювання.
6. Цілісність і конфіденційність. Персональні дані належить опрацьовувати в спосіб, що забезпечує їх захист від несанкціонованого або незаконного опрацювання, ненавмисної втрати, знищення чи пошкодження.
Відповідно до статті 5 Регламенту
Право на переносність даних
Це право (right to data portability, в офіційному перекладі назване «правом на мобільність даних») є новацією в європейському законодавстві у сфері персональних даних. Воно полягає в тому, що контролер на вимогу суб'єкта персональних даних зобов'язаний безперешкодно надавати електронну копію персональних даних у структурованому, загальноприйнятому і легкозчитуваному форматі іншому контролерові.
Це може бути важко зрозуміти в юридичному формулюванні, тому проілюструємо на прикладі. Наприклад, особа звикла купувати одяг в інтернет-магазині, зареєструвалася в ньому і вказала всі свої мірки. Щоби при реєстрації на іншому сайті не вводити всі ці дані заново, вона повинна мати можливість перенести їх з першого сайта.
Чи справді нам загрожують штрафи 20 млн євро?
I про найстрашніше. У контексті Регламенту прийнято говорити про штрафи розміром у 10 мільйонів євро, а в окремих випадках — і 20 мільйонів. Наскільки це реально?
Загальні умови накладання адмінштрафів установлено статтею 83 Регламенту. Так, там зазначено саме такі суми штрафів, і навіть більші (10 млн євро або до 2% загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, а також 20 млн євро або до 4% глобального річного обігу). Але стосуються вони резидентів ЄС. Тому якщо у вас нема представництва в ЄС — хвилюватися нічого.
Підсумки
Ми постаралися оглянути тільки найважливіше, те, що справді слід знати кожному. Дуже багато залишилося поза увагою, бо документ цей великий і при тому досить стислий. Детальне вивчення його слід довірити юристові, пам'ятаючи при цьому, що не всі юристи однаково корисні і що вивчати слід англійський оригінал, а не його технічний український переклад. Але загальний висновок такий: якщо на вашому сайті пропонуються товари або послуги без обмеження територією України, слід уже тепер переглянути положення про опрацювання персональних даних і форму надання згоди на їх опрацювання — щоб ця згода точно була вільно наданою, конкретною, поінформованою та однозначною. Крім того, варто почати шукати представника в ЄС.
Андрій ПОРИТКО, головний редактор