GDPR в Україні: хто підпадає під дію норм нового регламенту?
Штрафів буде більше?
Минулого року найгучнішим кейсом був штраф у 50 мільйонів євро, який французький регулятор CNIL наклав на компанію Google. Поки що це найбільший штраф, накладений у рамках нового регламенту про захист даних. CNIL дійшов висновку, що Google не надала користувачам достатньо інформації про те, які дані вона збирає, та не дала їм достатньо контролю над налаштуваннями приватності. Згідно з новими положеннями, згода користувача на збір інформації має бути вільно наданою, конкретною, обґрунтованою та поінформованою.
Серед інших кейсів — штраф на 4000 євро, накладений на компанію в Австрії за здійснення незаконної зйомки перехожих біля входу в офіс (камера спостереження знімала не лише безпосередньо вхід, але й частину тротуару), штраф на 20 тис. євро в Німеччині за відсутність технічних засобів захисту персональних даних користувачів у разі хакерських атак і штраф на 400 тис. євро в Португалії, накладений на медичну клініку, яка не захистила належним чином персональні акаунти пацієнтів від стороннього доступу.
Окрім штрафів, компаніям можуть загрожувати і блокування на території ЄС. Наприклад, як це було з американськими медіахолдингами Tronc, Lee Enterprises та GateHouse Media. Серед видань, які належать їм, — The Los Angeles Times, The Chicago Tribune, The Boston Globe, New York Daily News, Newsday. Сайти холдингів були заблоковані в ЄС через те, що не привели свою роботу у відповідність до вимог GDPR.
Як прогнозують Сергій Богорада та Андрій Корнія з Legal IT Group, це були лише перші кейси застосування регламенту GDPR на практиці й у 2019 році компаній, які притягнуть до відповідальності за порушення, побільшає.
Чи українські компанії мають працювати за GDPR
EDPB (European Data Protection Board) на своєму сайті виклав низку гайдлайнів щодо нового законодавства. В цьому розділі орган також дає пояснення термінів, які залишалися розмитими та незрозумілими. Експерти Сергій Богорада й Андрій Корнія під час вебінару розібрали ті, які важливо розуміти українським компаніям та організаціям для «комплаєнсу» з GDPR.
Наприклад, у положеннях важливим є поняття «осідок». У статті 3 GDPR йдеться про те, що регламент застосовується до обробки даних у контексті діяльності осідку контролера або обробника в ЄС, незалежно від того, відбувається власне обробка в межах ЄС чи ні. Іншими словами: якщо компанія безпосередньо зареєстрована на території ЄС, то норми GDPR на неї точно діють.
Осідок контролера має відповідати кільком основним ознакам: стабільна організація на території ЄС, у неї не обов’язково наявний статус юридичної особи, наявні стабільні домовленості з контролером або обробником. Наприклад, українська компанія, яка має представництво або філію на території ЄС, навіть без статусу юридичної особи, й при цьому здійснює обробку персональних даних, має відповідати вимогам GDPR. Іноді наявність навіть одного представника чи агента на території ЄС може розглядатися як те, що в української компанії є осідок на території ЄС.
EDPB пояснює, що юридичного значення місце обробки персональних даних не має, так само як і місце перебування суб’єктів даних чи їхнє громадянство. Наприклад, якщо турист із Німеччини звернеться по послуги до української компанії, яка працює лише на території України, то ця компанія не буде зобов’язана підпорядковуватися GDPR. Або інший приклад — компанія, яка зареєстрована на території ЄС й здійснює обробку даних українських користувачів у Китаї, має підпорядковуватися GDPR. Це зумовлено тим, що вона зареєстрована в ЄС.
Як пояснили експерти, для України важливою є частина друга статті третьої, яка передбачає екстратериторіальну дію закону. В ній ідеться про те, що регламент застосовується до обробки персональних даних контролером або обробником, який має осідок поза межами ЄС (наприклад, компанія з України), якщо обробка пов’язана з постачанням товарів чи наданням послуг на території ЄС або з моніторингом поведінки суб’єктів даних, якщо така поведінка має місце на території ЄС.
Перший важливий момент — послуги й товари можуть надаватися й безкоштовно. Другий — не обов’язково постачати ці послуги й товари, для застосування норм GDPR достатньо й «комерційного наміру». Що ще тут варто взяти до уваги:
- мова, якою доступний сайт. Якщо сайт доступний мовою однієї з країн — членів ЄС, це є ознакою того, що компанія постачає товари та послуги на території ЄС;
- домен, зареєстрований у зоні ЄС;
- пропозиція поставки товарів чи надання послуг на території ЄС;
- прийом оплати в євро;
- чи має місце моніторинг поведінки суб’єктів даних на території ЄС.
Наприклад, якщо є інтернет-магазин, сайт якого працює лише українською мовою, але він приймає оплату в гривнях, доларах та євро, то він оцінюється як такий, що не таргетований на роботу за межами України. А от якщо сайт розроблений не лише українською, але, наприклад, і німецькою, й хоча замовлення може бути зроблене громадянином ЄС у межах України, тут уже йтиметься про відповідність до GDPR. Ще один приклад, який наводять експерти: українська компанія розробляє фітнес-додаток, який моніторить активність користувачів на території ЄС. Це ілюстрація до частини про «моніторинг поведінки суб’єктів даних, якщо така поведінка має місце на території ЄС». Тож на компанію будуть діяти норми GDPR, ба більше: дані про здоров’я вважаються чутливими, тому на неї будуть покладені обов’язки із проведення спеціальної оцінки Data Protection Impact Assessment. Можливо, їй буде призначений і Data Protection Officer.
Загалом, за оцінкою експертів, компанії потрібно близько 40 документів для того, щоби вести свою роботу відповідно до положень GDPR. Більшість із них є внутрішніми документами й лише незначна їх частина повинна розміщуватися на сайті. Ці документи використовуються для того, щоби довести регуляторним органам підзвітність компанії, показати, що вона веде свою роботу згідно із GDPR. При цьому важливо прописати не лише політику приватності, яка викладається в публічний доступ на сайті, але внутрішні документи про ролі та відповідальність при обробці даних всередині компанії.
ePrivacy Regulation
Документ ePrivacy Regulation поки що перебуває на обговоренні в Раді ЄС й натомість у дії залишається Electronic Privacy Directive 2002 року, яка не зовсім відповідає положенням GDPR. Тож, за оцінками експертів із Legal IT Group, це лише питання часу — коли його приймуть.
Зокрема, документ регулює використання файлів cookies, пряме надсилання маркетингових матеріалів, двоетапну підписку Double Opt-In. Згідно з ePrivacy Regulation, низку налаштувань приватності браузера будуть використовувати як згоду або незгоду на надання та обробку персональних даних. Файли cookies, які використовуються для покращення роботи сайту, не потребуватимуть отримання згоди від користувача. А для оформлення підписки користувач має додатково підтвердити свою електронну адресу через лист. Таким чином він дає однозначну згоду на те, що хоче отримувати підписку. Й це лише кілька прикладів. Здебільшого користувачі не читають величезні тексти з умовами та поясненнями того, на що вони погоджуються, використовуючи сайт, й просто натискають «ОК». А такий механізм не забезпечує захисту їхніх прав та свобод, тож в ePrivacy Regulation передбачається отримання конкретної та поінформованої згоди. Загалом, ePrivacy Regulation суттєво може змінити правила регулювання у сфері захисту персональних даних. Але на відміну від GDPR, ePrivacy Regulation передбачає, що в країн буде певна свобода дій для ухвалення остаточних правил, які в них діятимуть.
Фото: smartsupp