Мария КОВАЛЬ • Специально для «Юридической практики»

В мае 2018 года вступил в силу Общий регламент ЕС о защите данных (General Data Protection Regulation, GDPR). Несмотря на то что положения GDPR распространяются только на страны Евросоюза, документ имеет экстерриториальный принцип действия. Это означает, что он применим к украинским компаниям, которые собирают и обрабатывают персональные данные граждан и резидентов Европейского Союза.

Основными нововведениями GDPR являются необходимость получения четкого согласия на использование персональных данных и «право быть забытым».

В соответствии с GDPR теперь запрещено использовать длинные и не совсем понятные запросы на использование персональных данных. Запрос на сбор и использование персональных данных должен быть четким и понятным пользователю.

«Право быть забытым» («право на забвение») означает, что пользователь имеет право требовать удаления своих персональных данных из-за потери актуальности или отзыва согласия на их обработку. Компании, получив такой обоснованный запрос от пользователя, обязаны незамедлительно удалить персональные данные.

Процедурные моменты

Необходимо отметить, что одним из неоспоримых преимуществ принятия GDPR является кардинально новый подход к вопросам защиты и уважения личной информации граждан. Согласно требованиям GDPR компании, собирающие персональные данные, обязаны четко указывать, какие именно данные они собирают, для каких целей и как именно собранные персональные данные будут обрабатываться и храниться.

Также компании должны теперь предоставлять в полном объеме информацию о персональных данных по запросу владельца таких данных и в случае утечки данных сообщать об этом владельцу в течение 72 часов.

Это, в свою очередь, стимулирует и обязывает компании, которые собирают и обрабатывают персональные данные, усиливать свою кибербезопасность и организовывать четкий внутренний мониторинг таких данных.

Что касается недостатков GDPR, то необходимо выделить несоразмерность штрафов (не то чтобы недостаток, но в любом случае негативное последствие принятия документа) за несоответствие требованиям GDPR: потенциальная сумма максимального штрафа — 20 млн евро или 4 % от годового оборота компаний — выглядит пугающе и вряд ли соответствует нанесенному ущербу.

Учитывая экстерриториальное действие GDPR, можно говорить о том, что он применим уже и к украинским компаниям, поскольку многие из них осуществляют деятельность на территории Евросоюза и оперируют персональными данными граждан ЕС. В первую очередь это касается украинских компаний в IT-секторе и банковской сфере.

С мая 2018 года все украинские компании, которые так или иначе связаны с большим объемом сбора и обработки персональных данных граждан Евросоюза, должны были назначить специальное ответственное лицо по защите персональных данных (Data Protection Officer), которое может числиться в штате компании или работать по найму на договорных условиях. Такое лицо, в свою очередь, является представителем компании перед уполномоченными органами в сфере защиты персональных данных.

За неназначение ответственного лица предусмотрен штраф — до 10 млн евро или 2% от годового оборота компании.

Украинским компаниям, которые уже или будут связаны с обработкой персональных данных граждан Евросоюза, также нужно пересматривать свои политики конфиденциальности и приводить их в соответствие с требованиями GDPR. В частности, политика должна быть понятной, без употребления специфических терминов, которые незнакомы рядовому пользователю.

Необходимо отметить, что GDPR окажет безусловное позитивное влияние как на украинский бизнес, так и со временем на сферу защиты персональных данных в Украине в целом. Украинские компании вынуждены теперь всерьез задумываться об обеспечении надлежащей защиты своих систем от кибератак и, как следствие, от возможной утечки данных и, соответственно, вынуждены вкладывать деньги в свою техническую защиту.

Первый опыт применения

В январе 2019 года Национальная комиссия по делам информации и прав человека Французской Республики (CNIL) наложила штраф в размере 50 млн евро на компанию Google за неполучение согласия пользователя на обработку данных в целях персонализации рекламы, нарушение прозрачности и информационных обязательств.

В ноябре 2018 года Privacy International (благотворительная организация Великобритании, защищающая и содействующая его право на конфиденциальность во всем мире обеспечению) подала несколько жалоб в органы по защите персональных данных Франции, Ирландии и Великобритании на компании которые посчитала нарушителями в сфере персональных данных, такие как Acxiom, Oracle, Сriteo, Quantcast, Tapad, Equifax, Experian. Privacy International требовала от уполномоченных органов расследовать случаи нарушения законодательства о защите персональных данных вышеуказанными компаниями, в частности, относительно несоблюдения ими принципов защиты данных: речь идет о принципах прозрачности, справедливости, законности, ограничения целей, минимизации данных и точности. На данный момент расследование по указанным компаниям продолжается.

Такие прецеденты позволяют сделать вывод, что за сбором и использованием персональных данных многими компаниями следят специально созданные, в том числе правозащитные, организации. Естественно, что такие компании, как Apple, Amazon, Netflix, Spotify, Google, находятся под постоянным прицелом проверяющих органов в связи с постоянным сбором персональных данных пользователей.

Также в этом году к компании Citrix (занимающейся разработкой программных решений для виртуализации) был подан иск бывшим сотрудником с требованием возмещения убытков за утечку конфиденциальных персональных данных (как нынешних, так и бывших сотрудников) вследствие кибератаки. Иск обоснован тем, что компания не защитила надлежащим образом конфиденциальные персональные данные своих сотрудников после сбора информации, как одно из условий трудоустройства, и не проинформировала работников о том, какая информация была украдена вследствие кибератаки.

Тест на готовность

Все вышеуказанные примеры свидетельствуют о том, что многие компании оказались не готовыми к жестким требованиям Общего регламента о защите данных и вынуждены теперь платить огромные суммы штрафов за то, что не уделили должного внимания системам надежного хранения персональных данных и защиты от кибератак.

КОВАЛЬ Мария — адвокат практики «Интеллектуальная собственность»,
ЮФ «Ильяшев и Партнеры», г. Киев

КОММЕНТАРИИ
Получить согласие

Виктор МОРОЗ,
управляющий партнер АО Suprema Lex, адвокат

Общий регламент по защите персональных данных представляет собой свод норм регулирующих сбор, обработку, хранение, передачу и защиту данных граждан Европейского Союза, которые касаются в том числе и деятельности украинских компаний, имеющих взаимоотношения с потребителями из стран Европейского Союза. Если нет желания повторить вышеупомянутую историю компании Google, необходимо вести деятельность по сбору и обработке персональных данных, соблюдая принципы (1) законности, справедливости и прозрачности, (2) целевого ограничения, (3) минимизации данных, (4) точности данных, (5) ограничения хранения, (6) целостности и конфиденциальности, (7) отчетности.

Для этого необходимо задокументировать имеющиеся персональные данные, привести в соответствие с требованиями GDPR уведомления о конфиденциальности и процедуры, касающиеся соблюдения прав частных лиц, процедуры обработки персональных данных, а также процедуры обнаружения и расследования утечки персональных данных, назначить менеджера (контролирующий орган) по работе с персональными данными. Кроме того, пользователь должен предоставлять на сбор и обработку персональных данных однозначное и подтвержденное согласие.

Позаботиться об инструментах

Тарас ЛИТАВСКИЙ,
адвокат ЮК «АМБЕР»

Вступивший в силу Общий регламент по защите персональных данных, который распространяется и на украинские компании, предоставляющие свои услуги гражданам Евросоюза, предусматривает гигантские для наших реалий штрафы за его нарушение — до 20 млн евро.

Украинским компаниям с целью соответствия требованиям Регламента рекомендовано взять в штат сотрудников, которые будут отвечать за защиту персональных данных клиентов.

Кроме того, следует поработать над введением в действие надежных инструментов для защиты данных во время авторизации пользователей, ввести или разработать систему защиты во время работы с приложениями и мессенджерами, которые использует компания, для защиты данных во время авторизации и использования, ввести систему для защиты данных, которые хранятся на виртуальном сервере компании и синхронизируются с локальными компьютерами, воспользоваться услугами проверенных специалистов в сфере IT для проверки потенциальных рисков и экстренного решения возникающих проблем.

Соблюдая предусмотренные GDPR принципы, украинские компании смогут не только избежать огромных штрафов, но и поддерживать качество предоставляемых ими услуг на европейском уровне.