Захист персональних даних за європейськими принципами: необхідність, або перебільшення?

Піщенков Костянтин, адвокат, радник Адвокатської компанії "Шерман"

Нещодавно багато українських компаній, які працюють не тільки на вітчизняний ринок, але і на Європу, зазнали тривалого хвилювання внаслідок прийняття Європейським союзом такого собі GDPR.

Внаслідок цього досить суттєвих змін зазнало регулювання та захист персональних даних осіб, а також, що найбільш важливе – штрафи, які накладаються за порушення умов зберігання цих даних.

Що ж таке цей GDPR та з чим його їдять?

General Data Protection Regulation (2016/679) – це загальний регламент про захист даних (далі називатимемо його Регламент) був прийнятий 27.04.2016 і почав діяти 25.05.2018.

Регламент став орієнтиром у регулюванні обробки персональних даних та істотно змінив те, як компанії збирають, обробляють та захищають персональні дані осіб, які підпадають під його захист.

Для початку потрібно визначити поняття персональних даних.

Національне законодавство, а саме Закон України «Про захист персональних даних», дає наступне визначення персональних даних – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Регламент визначає персональні дані як будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є для неї визначальними, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.

Простіше кажучи, поняття персональних даних, визначене Регламентом включає в себе інформацію про особу, яка ідентифікована чи може бути ідентифікована за допомогою такої інформації, включаючи дані, які можна поєднати з іншою інформацією для ідентифікації особи.

Однак, не все так просто, як здається. Насправді, персональні дані – дуже широке визначення. Воно може залежати від обставин і може включати дані, що стосуються ідентичності, характеристик або поведінки особи або впливає на те, як ця особа оцінюється.

Наприклад, персональними даними можуть бути:

• прізвище, ім’я та по-батькові;
• дата народження;
• адреса проживання;
• номер телефону;
• коментарі/оцінки до контенту;
• адреса електронної пошти;
• фото;
• номер кредитної картки;
• підбірка улюблених фільмів;
• IP-адреса;
• геолокація та історія пересувань.

Деяка інформація про особу не може її ідентифікувати, тож, наприклад, наступна інформація не є персональними даними, відповідно не потрапляє під регулювання Регламенту:

• повністю анонімізовані дані (наприклад: ім’я та улюблена страва, без отримання іншої інформації);
• персональні дані померлих.

Як я вже казав, регламент розроблений та створений для захисту персональних даних європейців, але це поняття охоплює дещо ширшу категорію осіб, окрім саме громадян європейського союзу.

Так, в Регламенті зазначено, що його дія поширюється на персональні дані «Who are in the union», отже, GDPR поширюється як на громадян ЄС так і на інших осіб, які перебувають в ЄС (тобто, на його території).

Наприклад, це можуть бути:

• клієнти/користувачі/підписники сервісу (навіть якщо вони не платять за сервіс);
• співробітники;
• підрядники-ФОП чи підрядники-фізичні особи.

То як же власнику компанії зрозуміти, чи підпадає його компанія під дію норм цього регламенту?

З огляду на викладені вище обставини логічно зробити висновок, не дивлячись, що цей документ прийнято в ЄС, його дія поширюється на як українські компанії так на і компанії з інших країн, якщо або громадяни Євросоюзу будь-яким чином пов’язані з компанією, або компанія надає послуги на території ЄС.

Відповідати вимогам Регламенту, насамперед, треба компаніям, які обробляють персональні дані людей з ЄС в будь-якій формі, будь-то гугл-таблиці, гугл-формі, чи інший спосіб обробки даних.

Дуже важливою складовою законної обробки даних є отримання згоди, яка є найпростішим способом отримати право на таку обробку. Правильно прокомунікована згода повинна надати людям контроль над їх даними та зміцнити довіру до вас. Пам’ятайте, згода не може бути мовчазною

Алгоритм дій для отримання згоди наступний:

1. Надайте можливість користувачу ознайомитись з політиками вашої компанії щодо персональних даних. Не варто ховати ці документи дуже далеко. На практиці це може бути реалізовано як посилання на сайт, спливаюче вікно тощо.
2. Надайте користувачу вибір: у якому обсязі надавати вам свої персональні дані та з якою метою. Галочки, за замовчанням не мають бути відмічені. Згода на обробку даних для маркетингових цілей має збиратись окремо (наприклад, окремою галочкою чи кнопкою).
3. Перед отриманням згоди, поясніть умови використання даних користувача. Як ви будете їх використовувати і з якою метою, кому передавати, скільки зберігати, тощо.

Ну і нарешті, можливо не сама цікава, але найбільша, в цифровому вираженні, частина регламенту – штрафи за його порушення.

Штрафи встановлені в розмірі 10 та 20 мільйонів євро (або 2 та 4 відсотки, відповідно) від річного світового обороту компанії за попередній фінансовий рік, в залежності від того, що більше – фіксований розмір штрафу, або відсотковий.

Тож необхідно з особливою обережністю та уважністю відноситись до відповідності вимогам Регламенту, оскільки, у разі їх порушення накладаються, як ви бачите, дуже великі штрафи, а у разі несплати цих штрафів – компанія втрачає можливість працювати на ринку Європейського союзу.

Правила Загального регламенту про захист даних носять доволі жорсткий характер саме для компаній, які обробляють дані третіх осіб, однак на мій погляд, ця жорсткість є повністю обґрунтованою, тому що захист персональних даних особи є запорукою її безпеки та безпеки її близьких, як фінансової, так і особистої, оскільки порушення конфіденційності даних особи може слугувати інструментом для вчинення злочинів, починаючи з крадіжок коштів зловмисниками та шантажу, аж до переслідувань громадян для повного контролю над усіма ланками суспільства та навіть для порушення національної безпеки інших країн.