Увеличение пользователей интернета (к 2020 году каждый должен иметь доступ к интернету, программное действие ООН — A/CONF.219/3/Rev.1; по данным МСЭ, в 2017 году в мире 70 % молодежи в возрасте 15–24 лет пользовались интернетом; в отчете Комиссии по устойчивому развитию широкополосной связи о состоянии широкополосной связи за сентябрь 2017 года сказано, что около 3,5 млрд человек имеют доступ к интернету), рост объема «интернета вещей» (GAGR до 2020 года — 28,5 %), объединительные процессы вокруг и на базе блокчейн-технологий (компании R3, Hyperledger, В3i и др.), доступность каждому всей или части информации, опубликованной в государственных и других онлайн-реестрах (реестр юридических лиц, реестр судебных решений, реестр недвижимости, реестр деклараций государственных чиновников, реестр арбитражных управляющих, реестр адвокатов и т.д.), наращивание уровня безналичных расчетов в фиатной валюте (согласно комплексной программе развития финансового сектора Украины до 2020 года в редакции решения правления Национального банка Украины от 16 января 2017 года № 28, в 2020 году — 55 %, а мелких безналичных расчетов в 2020-м — не ниже 30 %), KYC и AML при операциях с криптовалютой (обменные операции с криптовалютой, покупка товаров, услуг и т.д.), хранение big data, в том числе отдаленное в облачных хранилищах данных, усложнение кибератак, создание единого цифрового рынка в ЕС (в основу которого положены акты Европейского парламента и Совета — Регламент № 2016/679 от 27 апреля 2016 года, Директива № 2016/680 от 27 апреля 2016 года и связанные с ними акты) влияют на степень защиты персональных/личных данных физических лиц.Стремление Украины стать полноправным членом ЕС, желание украинских компаний выйти на рынок ЕС делают вопрос защиты персональных данных одним из важнейших сейчас для представителей украинского бизнеса в ЕС, а в будущем — и для государства Украина в целом.

Стандарты ЕС в сфере защиты персональных данных — Регламент № 2016/679 и Директива № 2016/680, вступающие в силу с 25 мая 2018 года, основываются на общепризнанных стандартах международного права прав человека, закрепленных в статье 12 Общей декларацией о правах человека от 10 декабря 1948 года, статье 8 Конвенции о защите прав человека и основоположных свобод от 4 ноября 1950 года, статье 17 Международного пакта о социальных и политических правах от 16 декабря 1966 года и на других международных договорах и актах органов ООН, СЕ, ЕС, ОЭСР, ФАТФ в виде невмешательства и уважения к личной жизни человека.

В отличие от указанных международно-правовых документов акты органов ЕС направлены на защиту лишь одного из элементов права на личную жизнь — персональных данных. При этом неспособность действующей до 25 мая 2018 года Директивы № 95/46/ЕС обеспечивать правовым регулированием правоотношения, связанные с техническими ноу-хау существенно, устранена Регламентом № 2016/679. Регламент № 2016/679 в противовес Директиве № 2016/680 имеет общую сферу применения и положения по защите персональных данных физических лиц. Материальная сторона применения Регламента распространяется на обработку данных как автоматическими, так и другими средствами. Регламент не применяется к деятельности, не регулируемой правом ЕС, деятельности государств в части общей внешней политики и политики безопасности, в случае применения физическими лицами исключительно для личных целей или решения бытовых вопросов, а также для регулирования правоотношений, относящихся к сфере действия Директивы № 2016/680 (защита физических лиц компетентными органами в уголовном процессе при обработке их данных). Регламент регулирует обработку персональных данных контролером и обработчиком, если они учреждены в ЕС, вне зависимости от того, где происходит обработка: в ЕС или за его пределами. Также Регламент применяется к обработке данных субъектов данных ЕС со стороны контролеров и обработчиков, не учрежденных в ЕС, если субъектам данных в ЕС предлагаются товары и услуги на платной или бесплатной основе или если такая обработка касается мониторинга поведения субъектов данных в рамках ЕС.

Под персональными данными в Регламенте понимается информация для идентификации и узнаваемости физического лица (субъекта персональных данных). Наряду с субъектами персональных данных ключевыми игроками цифрового рынка как объектами регулирования Регламентом № 2016/679 являются контролеры, обработчики и надзирательные органы. Контролер — физическое или юридическое лицо, государственный орган, агентство или другое лицо, действующее (в том числе на основании сертификатов — статья 42) самостоятельно или вместе с другими, определяющее цели и средства обработки данных, а обработчик — такое же лицо, что и контролер, но не имеющее права определять цели и средства обработки и действующее от имени контролера. Надзирательный орган — независимый надзирательный орган государства — члена ЕС, осуществляющий мониторинг над применением Регламента № 2016/679 с полномочиями налагать административные штрафы. Следует сказать о существовании похожего органа на уровне ЕС — это европейский инспектор по защите данных.

Регламентом закреплены штрафы, которые могут применяться за нарушение его положений как в дополнение к средствам, предусмотренным в части 2 статьи 58, так и вместо них, в размере до 10 млн евро или до 2 % от годового мирового оборота за предыдущий год или до 20 млн евро или до 4 % от годового мирового оборота за предыдущий год, и в обоих случаях учитываются разные виды правонарушений, а также взимается большая сумма (части 4, 5, 6 статьи 83).

Регламентом установлены требования относительно запроса на согласие на обработку данных — запрос должен быть составлен в понятной, простой форме и для конкретных целей. Контролеры при обработке данных должны исходить из минимальности и ограниченности целей обработки.

Контролеры обязаны (наряду с другими обязательствами — глава IV Регламента) после получения информации о нарушении персональных данных уведомить об этом в течение 72 часов надзирательные органы, а если это невозможно, безотлагательно уведомить их о причинах (пункт 85 преамбулы Регламента). При обработке персональных данных ключевым параметром является их безопасность. В статье 32 Регламента предусмотрены параметры достижения безопасности данных: псевдонимизация и криптизация, обеспечение конфиденциальности с учетом временных вызовов, способность восстановления данных, возможность хранения и своевременного доступа, обеспечение регулярного тестирования и т.д.

Субъект персональных данных имеет право на бесплатное получение копии своих персональных данных от контролера и информации о том, были ли его персональные данные обработаны, и если да, то для каких целей и т.д.

Также статьями 37–39 Регламента № 2016/679 предусмотрен институт уполномоченных по защите данных. Уполномоченные назначаются контролерами и обработчиками в определенных случаях (если обработка осуществляется государственным органом, кроме суда, действующего в своем качестве, если обрабатываемая контролером и обработчиком информация имеет большой объем или по своей природе, сфере и целям требует регулярного и систематического наблюдения со стороны субъектов данных, а также если обрабатываются большие объемы специальных категорий данных (статья 9) и данных относительно судимости по уголовным статьям и преступлений (статья 10).

Сегодня в рамках Европейского суда справедливости (решение от 19 октября 2016 года C-582/14 по делу «Патрика Бреера против Германии», решение от 6 октября 2015 года ECLI:EU:C:2015:650 по делу «Максимиллиан Шремс против инспектора по защите персональных данных»), Европейского суда по правам человека (дело «Эл.Ейч. против Латвии» (жалоба № 52019/07) от 29 апреля 2014 года, дело «Сьодерман против Швеции» (жалоба № 5786/08) от 12 ноября 2013 года) и национальных судов государств-членов (решение Высшего коммерческого суда Ирландии от 3 октября 2017 года (2016) 4809 P по делу «Инспектор по защите персональных данных против ирландского общества с ограниченной ответственностью Facebook и М. Шремс», решение Верховного суда Соединенного Королевства Великобритании и Северной Ирландии от 28 июля 2015 года (2015) EWCA Civ 311 по делу «Видал-Холл, Ханн, Бредшоу и инспектор по информации против «Гугл Инк») сформировалась судебная практика, отстаивающая интересы субъектов персональных данных в части их защиты как при обработке в рамках определенных государств — членов ЕС на уровне ЕС, так и при перемещении персональных данных в третьи государства, и эта практика в будущем еще ужесточится по отношению к контролерам и обработчикам.

Чтобы не попасть в немилость к надзирательным органам государств — членов ЕС и отдельно ЕС в сфере защиты персональных данных и со стороны судебных органов, представителям бизнеса нужно как минимум сформировать команду специалистов вместе с уполномоченным по защите персональных данных; разработать положение и кодекс поведения по защите персональных данных; обеспечить техническую составляющую безопасности данных с автоматическим уведомлением компетентных органов о нарушении в течение 72 часов; отладить систему получения у субъектов данных согласия на обработку данных с привязкой к определенным целям, а также у опекунов и родителей детей; предоставлять ответы в течение установленных сроков на запросы субъектов данных и запрашиваемые ими документы с учетом актов органов ЕС; следить за актуальностью, читабельностью данных техническими устройствами, точностью, псевдонимизацией и целевым использованием данных в своей базе данных; быть готовым к отзыву субъектами данных своего согласия на обработку данных и к обеспечению бесповоротного  удаления данных вплоть до архивных данных; не обрабатывать определенные категории персональных данных (относительно участия в профсоюзах, здоровья, сексуальной ориентации и т.д.); не передавать данные в третьи государства, где есть риск нарушения прав субъектов данных; формировать правоотношения между компанией и подрядчиками при обработке персональных данных исключительно в договорном порядке; получать сертификаты, так как они подтверждают соответствие компании положениям Регламента и т.д.

КОВАЛЕНКО Сергей — юрисконсульт ООО «Эпицентр К», адвокат, к.ю.н., г. Киев