Один з найпоширеніших міфів щодо GDPR – це те, що українські компанії зможуть легко уникнути виконання регламенту. Чи це правда? Бо здається, що старий підхід – краще заплатити штраф, ніж виконувати певні вимоги – вже не діятиме, оскільки регуляційні органи отримають право накладати величезні штрафи за порушення даної регуляції.

Існують такі механізми, особливо, коли ми говоримо про екстериторіальне застосування, що означає регламент поширюватиме свою дію на українські компанії, а для того, щоб ця дія була ефективною, мають бути якісь санкції, якась відповідальність за недотримання регламенту. От у цій частині, мабуть, є найбільші проблеми. Дійсно, до деяких українських компаній може застосовуватися регламент, однак постає питання: «Що вони нам зроблять, якщо ми його не дотримаємось?». Факт поширення екстериторіального застосування тягне за собою обов’язок призначити представника на території ЄС, який слідкуватиме за дотриманням зобов’язань української компанії. У регламенті є чіткий пункт, який говорить про те, що даний представник повинен підлягати процедурам щодо примусового виконання. Компанії зобов’язані призначати представника, який відповідатиме за їхні порушення персональних даних. Це може бути як фізична, так і юридична особа, однак вона має бути чітко уповноважена в окремому письмовому документі. Вона повинна співпрацювати з суб’єктами персональних даних з території ЄС, надавати відповідь щодо того, як обробляються їхні персональні дані, давати роз’яснення щодо обробки, співпрацювати з наглядовими органами, тобто на їхній запит надавати інформацію щодо того, як обробляються дані, яка українська компанія, де вона розміщена, які дані громадян ЄС вона обробляє. Ну і, звісно, якщо наглядовий орган накладає стягнення, то відповідати за порушення володільця.

А якщо в ідеалі, коли сам наглядовий орган каже, що компанія в Україні порушила законодавство про захист персональних даних?

Тоді компанія сама підпадає під юрисдикцію того органу, сама з’являється в суди, визнає порушення, якщо воно дійсно було, і виплачує відповідну компенсацію. Інший випадок — це коли компанія не з’являється, але відповідає її представник. Третій випадок — це коли компанія ігнорує такі запити, але, на перший погляд, багатьом компаніям здається, що вони можуть не призначати представника, чи у випадку якихось проблем не платити штрафів, але тоді застосовуються інші механізми впливу.

А як на практиці українські компанії можуть здійснювати обробку персональних даних?

Органи з питань захисту персональних даних, якщо вони бачать зазвичай, в яких випадках обробляються персональні дані громадян ЄС. Їх обробка може здійснюватися  в рамках якихось договорів про співпрацю, комерційних контрактів, які укладені між українськими компаніями та компаніями на території ЄС. Виконання тих контрактів передбачає передачу персональних даних громадян ЄС українським компаніям. Наприклад, якийсь замовник з території ЄС доручає ІТ-компанії розробити програмне забезпечення компанії на території України. В такому випадку, розробляється програмне забезпечення і певний час його адмініструє, тестує, а якщо певний час програмне забезпечення розраховане на обробку персональних даних громадян ЄС, то вона отримає доступ до них. Можна навести багато випадків, коли українські компанії можуть отримувати персональні дані з ЄС.

Регламент побудований таким чином, щоб не лише змусити до чогось компанію на території України, але і змусити компанію з території ЄС ретельно підбирати своїх контрагентів з обробки персональних даних з-поза території Європейського Союзу.

Уявімо, що українська компанія порушує положення регламенту і відмовляється від відповідальності. Що тоді?

Найбільш мінімальне, що може бути, це якщо вона не відповідатиме на запит наглядового органу чи суду — наглядовий орган дасть вказівку компанії, яка розміщена на території ЄС, призупинити потік чи передачу даних в Україні. В контексті того це означатиме завершення чи розірвання контракту між двома компаніями: компанія, яка адмініструвала цей сайт не зможе його адмініструвати, бо не матиме доступу до персональних даних. Компанія, яка розробляла програмне забезпечення, втратить сенс співпрацювати з компанією з ЄС, бо вона не зможе належним чином забезпечувати розробку програмного забезпечення, тестувати та адмініструвати його. Суть така, що якщо компанії байдуже на це, то вона може і не дотримуватись цих положень, але який тоді сенс цій компанії виходити на європейський ринок, якщо вона не збирається дотримуватися цих положень. У випадку, коли українська компанія збирається співпрацювати з компанією з території ЄС, то вона зобов’язана дотримуватись цих положень. Регламент побудований таким чином, щоб не лише змусити до чогось компанію на території України, але і змусити компанію з території ЄС ретельно підбирати своїх контрагентів з обробки персональних даних з-поза території Європейського Союзу. Скажімо, компанія-володілець в ЄС доручає обробляти персональні дані компанії на території України, вона розуміє, що в разі порушення регламенту першою під удар потрапляє саме вона, їй невигідно працювати з ненадійними компаніями в Україні, які не дотримуються положень регламенту. Тобто, це є міф, що українські компанії можуть не дотримуватись регламенту. Якщо вони працюють з компаніями з ЄС, вони повинні його дотримуватись.

Як українським компаніям найкраще підготуватися до GDPR?

Найкраща порада – це силами власних юристів, чи силами зовнішніх експертів у сфері захисту персональних даних проаналізувати роботу власної компанії, ті операції з обробки персональних даних, що здійснює компанія, потенційні ризики, які пов’язані з такою обробкою. Проаналізувати, які дані обробляються, можливості застосування регламенту безпосередньо до обробки таких персональних даних, ризики, пов’язані з потенційним недотриманням регламенту, ризики в контексті притягнення самої компанії до відповідальності, ризики втрати контрактів з контрагентами на території Європейського Союзу. Проаналізувати, чи слід дотримуватися регламенту, чи ні, бо якщо вони приймуть рішення, що вигідніше все-таки дотримуватися регламенту, тобто вони ведуть активну співпрацю із компаніями на території ЄС, то, користуючись послугами власних юристів, чи зовнішнього спеціаліста, налагодити процедури обробки персональних даних таким чином, щоб вони відповідали положенням регламенту.

Є версія, що рано чи пізно українське законодавство однаково буде приведене у відповідність до GDPR. Чи це так?

Якщо Україна хоче вступити до ЄС, чи хоча би наблизитися до вступу, стандарт захисту персональних даних повинен бути не менший, ніж на території ЄС. Звісно, можна говорити, що поки немає перспектив такого вступу, то немає і причини непокоїтися. Проте, якщо ми навіть збираємося у перспективі вступити до Європейського Союзу, то законодавство має бути приведене у відповідність до законодавства ЄС. Інколи можуть виникнути перешкоди у співпраці з контрагентами в ЄС, якщо неналежним чином ведуться персональні дані. Відповідно, вигідно привести норми роботи з персональними даними до рівня їх обробки в ЄС. Можливо, це не буде вирішальним фактором при виборі компаніями з території ЄС контрагента за межами ЄС, однак це буде вагомим фактором для співпраці. Працюючи з компаніями з-поза ЄС їм не треба буде переживати за рівень обробки персональних даних. Наприклад, є процедура, за якою комісія Євросоюзу видає документ про відповідність, тобто рівень обробки і захисту персональних даних відповідає регламенту і, відповідно, персональні дані можуть вільно циркулювати між ЄС та цією країною. Я думаю, що це буде суттєвою перевагою для бізнесу в Україні, оскільки компанії більш охоче співпрацюватимуть із компаніями з-поза меж ЄС, де не потрібно вживати якихось додаткових заходів щодо захисту персональних даних, чи переживати, що певний їхній контрагент не дотримується регламенту, і це потягне їхню відповідальність також.

Наскільки зараз українське законодавство відповідає стандартам GDPR?

Європейський Союз на час, доки не був прийнятий регламент, прийняв рішення про те, що в Україні забезпечується достатній рівень захисту персональних даних і в нас є ефективний і незалежний орган з питань захисту персональних даних. Перед підписанням угоди про асоціацію України з ЄС невід’ємною умовою було приведення до відповідного рівня захисту персональних даних. Я можу надати по тому детальну інформацію, оскільки ми брали участь у зустрічах щодо цього, зустрічалися з контрагентами в ЄС, до нас приїжджали їхні представники, які аналізували законодавство на відповідність вимогам законодавства ЄС. Вони сказали, що законодавство є на відповідному рівні з законодавством ЄС та існує незалежний наглядовий орган. На той час це була одна з вимог для підписання угоди про асоціацію. Тоді аналізувалося законодавство і його практичне застосування, однак цей регламент, який є прийнятий, але ще не набув чинності (він набуває чинності в травні 2018 року), вводить стільки нового, що говорити, чи відповідає йому наше законодавство дуже важко. На перший погляд, наш Закон, який зараз є чинним, далекий від положень того регламенту, навіть не вникаючи в процедуру, як воно ефективно реалізується на практиці, оскільки такі відомості важко зібрати.

Тобто під час підписання угоди про асоціацію України з ЄС регламенту ще не було?

Тоді була директива, тобто попередній рамковий документ Євросоюзу, який регламентував порядок захисту персональних даних і положенням цієї директиви Україна відповідала. Щодо регламенту, то доки спеціалісти не проведуть належної оцінки, то про це важко говорити. Однак, положення регламенту є настільки детальними, наприклад, шкала відповідальності за порушення, яка передбачає такі великі санкції, що вже в цій частині українське законодавство не відповідає його положенням. У нас максимальний штраф за порушення законодавства про захист персональних даних, який видавався досить великим на той час, був 34 тисячі гривень, а в Європейському Союзі – це 4 відсотки від глобального річного обігу, тобто, якщо компанія заробляє сотні мільярдів, то штраф становить мільярди. Тобто, якщо порівнювати текст чинного тепер Закону з регламентом, на жаль, відповідності немає.

Які нові права у користувачів щодо їхніх персональних даних? Тобто їм дається більша свобода в контексті персональних даних? Я маю на увазі не лише дані паспорта, а й, наприклад, пости в соціальних мережах.

Персональні дані — це процес, який невід’ємно супроводжує комерційну активність і це накладало б дуже сильну обмеженість на підприємницьку діяльність, якби не можна було б обробляти персональні дані. Цей процес нікуди не зникне, він буде завжди і буде супроводжувати будь-яку комерційну діяльність. Мета законодавства з питань захисту персональних даних та, зокрема, регламенту — це надати можливість суб’єктам персональних даних контролювати цей процес, знати де, ким, коли, з якою метою вони обробляються, що їхні персональні дані захищаються відповідно до регламенту і у разі, якщо персональні дані обробляються незаконно, вони можуть захистити свої права щодо цього.

Якщо раніше треба було відправляти фізичні листи, то зараз достатньо написати смс-повідомлення, чи написати електронного листа і повідомити особу про те, що дані передаються такій-то особі з такою-то метою.

Як людина може контролювати те, яким чином використовуються її персональні дані?

Регламент щодо цього є дуже детальним. Він вимагає від збирача персональних даних повідомляти суб’єкта персональних даних про те, які дані, ким збираються, як вони обробляються, ким вони обробляються, з якою метою, на яких підставах. Якщо потрібна згода, то суб’єкт має дати згоду на обробку. В подальшому, коли обробляються персональні дані, особа може завжди запитати, чи продовжують оброблятися її персональні дані, чи застосовуватиметься профайл до особи, чи на підставі наданих даних будуть прийматися якісь автоматизовані рішення. Якщо особа надала згоду на обробку персональних даних, то вона завжди може вимагати припинити обробку.

Як щодо положення про  «право на забуття» (right to be forgotten)?

Коли пошукова система видає про вас інформацію, ви маєте право вимагати від пошукової системи припинити це робити. Якщо особа бачить, що десь незаконно обробляються її дані чи обробляється непомірно великий об’єм інформації, закінчився строк обробки, помилкові чи неточні дані, вона має право вимагати видалення чи виправлення даних, припинення їхньої обробки. Якщо дані передаються від одного володільця до іншого, то ви маєте право знати, що вони передаються, кому, з якою метою вони будуть оброблятися новим володільцем, чи вони передаються за кордон і якщо так, то з якою метою. Наприклад, повідомлення суб’єкта про передачу даних третім особам мають бути автоматичними. Якщо раніше треба було відправляти фізичні листи, то зараз достатньо написати смс-повідомлення, чи написати електронного листа і повідомити особу про те, що дані передаються такій-то особі з такою-то метою. Особа бачить цей процес, бачить, хто, як, де і навіщо обробляє ці дані, вона може на цей процес впливати, інколи вона може припиняти повністю цей процес. Захист персональних даних не означає, що ці дані не обробляються, це означає, що суб’єкт знає про обробку і контролює її, крім випадків, визначених Законом.

Є винятки, на які навіть положення регламенту не поширюються?

Звичайно. Наприклад, у цілях правоохоронної діяльності, боротьби зі злочинністю чи тероризмом, цілях національної безпеки. І зрозуміло, що будь-яка особа всіх деталей знати не може. Але коли йдеться про комерційну чи загальну обробку персональних даних, обробку державними органами (призначення пенсій, субсидій тощо), то звичайно, що особа повинна мати доступ до таких відомостей.

Розмовляла Марта Дацюк
Фото: Віталій Качур