Як захищають персональні дані в ЄС та Україні?

Персональні дані – цінний товар, який дозволяє ефективно продавати і рекламувати. Активне використання персональних даних полегшує підприємцям встановлення цільової аудиторії та роботу з клієнтами. З іншого боку – неконтрольоване використання і поширення персональних даних – загроза конфіденційності. Для пошуку компромісу між інтересами бізнесу і необхідністю належного захисту конфіденційності у кожній державі розроблюються свої правила захисту персональних даних. Пропонуємо на прикладі ЄС та України дізнатися як захищають персональні дані.

Як захищають персональні дані у ЄC?

У 2018 році було введено в дію Загальний регламент ЄС про захист даних (General Data Protection Regulation, скор. GDPR). Що ж такого знакового з цим європейським регламентом і чому ми обговорюємо його в Україні? По-перше, GDPR – це загальноєвропейський звід правил. По-друге, GDPR поширює свою дію на територію інших країн, які не входять до ЄС (юридично це не зовсім коректне твердження, але коректне змістовно). По-третє – GDPR встановлює правила, які дійсно покликані захищати конфіденційність, та мають реальний механізм застосування, у тому числі через великі за розміром штрафи (до 20 мільйонів €).

Завдяки чіткій деталізації, великим розмірам штрафів та реальному механізму застосування, GDPR дійсно діє – ці правила не ігноруються бізнесом. У разі встановлення порушень застосовуються санкції та накладаються штрафи. Станом на 2021 є чимало реальних кейсів. Ба більше, навіть великі компанії, які витрачають чимало коштів на GDPR комплаєнс процедури, але впроваджують їх формально, можуть отримати штраф. Так, всім відомий Google, який формально дотримується європейських правил, отримав від французького регулятора і сплатив штраф у розмірі 50000 €. А станом лише на початок минулого 2020 року сукупний розмір штрафів за GDPR склав 114000000 €.

Ви думаєте Facebook, Google, Viber та інші з власної волі регулярно оновлюють, доповнюють і доопрацьовують внутрішні правила і політики конфіденційності? Аж ніяк, це все також відголоски неминучої необхідності дотримуватись норм європейського GDPR.

Які саме правила GDPR захищають персональні дані європейців та що вони передбачають?

Ключові вимоги, які висуваються до діяльності контролерів та обробників персональних даних, тобто тих, хто збирає дані, обробляє їх та визначає цілі обробки, прямо випливають з прав суб’єктів персональних даних (прав фізичних осіб, тобто наших з вами прав). Права суб’єктів персональних даних визначені у статтях 15 – 21 GDPR. А розділ IV Регламенту ЄС присвячено обов’язкам тих, хто збирає і обробляє дані. Дуже спрощено і з рядом упущень можна визначити такі основні правила обробки персональних даних:

• обов’язкове інформування про цілі, способи і засоби збору і обробки персональних даних (інформування проводиться через юридичні застереження, як політика конфіденційності);
• необхідність отримання згоди суб’єкта персональних даних на обробку його відомостей;
• правило мінімізації збору і обробки даних – збираються і обробляються лише ті дані, які дійсно потрібні для досягнення задекларованих цілей, наприклад, адміністрування сайту інтернет-магазину та продажу товарів;
• обов’язковість документування процесів обробки персональних даних;
• необхідність впровадження ефективних і достатніх організаційно-технічних заходів, направлених на захист персональних даних;
• обов’язок невідкладного сповіщення органів контролю у разі витоку персональних даних або інших порушень;
• необхідність попередньої оцінки ризиків для суб’єктів персональних даних, які пов’язані з процесами обробки їх даних;
• необхідність укладення письмових контрактів з усіма субпідрядниками, які залучаються для обробки даних клієнтів (користувачів).

Вказані правила у свої сукупності дозволяють ефективно захищати права європейців. А ураховуючи особливий порядок дії GDPR, який поширюється і за межі ЄС, то і не тільки європейців. Що ж, повернемось до дому і поглянемо як відбувається захист персональних даних в Україні.

Чому в Україні низький рівень захисту персональних даних?

В Україні порядок захисту персональних даних і вимоги до їх обробки визначено у Законі України «Про захист персональних даних». Закон встановлює правила доволі схожі з європейськими, хоча і не настільки деталізовані. Але, є одна велика проблема – відсутність реального механізму застосування вимог закону. Єдиний компетентний орган, який може розглядати порушення і притягувати бізнес до адміністративної відповідальності – це апарат Уповноваженого Верховної Ради України з прав людини. Через неефективність механізму, який закладений у законі, а також низьку активність органу контролю у цій сфері, на теренах України вкрай низький рівень захисту персональних даних.

Невідворотна імплементація європейських правил.

Там, де неефективно діють українські закони, на допомогу приходять європейські правила. Звісно мова йде про інтереси кожного з нас, оскільки суто для підприємців загальноєвропейська практика і правила роботи з персональними даними – це тягар, який потребує часу і ресурсів для правильного врахування у бізнесових процесах. Підприємцям радимо ознайомитись з узагальнюючою консультацією юристів про GDPR, персональні дані і політику конфіденційності – Політика конфіденційності і Персональні дані. Стаття надасть розуміння того, що таке персональні дані, для чого необхідна політика конфіденційності та у чому принципові розбіжності між українськими та європейськими правилами.

Слід визнати, що імплементація правил GDPR в українське законодавство та національні правила у сфері захисту персональних даних інших країн – це невідворотний процес. GDPR стає еталоном того, як слід поводитись з персональними даними клієнтів та користувачів.

Українські підприємці першими дізнаються про GDPR.

Чому саме підприємці, а не держава, першими заговорили про GDPR в Україні? Причина у екстериторіальній дії регламенту ЄС, про який також детально описано у консультації юристів за вказаним вище посиланням. Назвемо лише декілька випадків поширення дії GDPR на бізнес, який працює поза територією Європейського Союзу – зазначення цін на товари і послуги у Євро або викладення інформації про товар на англійській мові. Таким чином, для того щоб дія GDPR поширювалась на діяльність українських підприємців не обов’язково продавати товари чи надавати послуги європейцям. Як було сказано, достатньо лише вказати ціни у євро або продублювати сайт і форми реєстрації англійською мовою.

У яких випадах вже зараз слід керуватися європейськими правилами у сфері захисту персональних даних?

Якщо український бізнес прямо чи опосередковано працює з європейським клієнтами, то керуватися правилами ЄС потрібно вже зараз. Якщо планується відкриття представництва у ЄС – вимоги GDPR потрібно виконувати вже зараз. В інших випадках, які описані у консультації юристів за доданим вище посиланням, керуватися правилами ЄС також потрібно вже зараз. Не зайвим буде і превентивний комплаєнс – GDPR є взірцем регулювання у сфері захисту персональних даних і його імплементація у законодавстві України лише питання часу.

Для того, щоб напевно визначити, чи поширюється дія GDPR на вашу підприємницьку діяльність чи ні, краще звернутися до компетентних юристів, які спеціалізуються на правовій організації роботи з персональними даними у сфері цифрової комерції: https://legal-support.top/ Спеціалісти не тільки допоможуть зрозуміти чи має стосунок GDPR до вашого бізнесу, а і нададуть практичну допомогу з впровадження необхідних заходів і процедур, що передбачені європейськими правилами.