By 
З 25 травня 2018 року Єврокомісія посилить директиву 1995 року про захист даних новим регламентом через скандал з витоком персональної інформації користувачів Facebook, до якого причетна британська компанія з політичного консалтингу Cambridge Analytica.
З кінця травня цього року в Євросоюзі набирає чинності новий регламент з захисту даних – General Data Protection Regulation (GDPR), що повинен замінити директиву від 1995 року. Така модернізація може здійснити революцію у сфері обробки інформації та захисту персональних даних. Новий документ стосується гарантування безпеки персональної інформації як громадян країн Європейського союзу, так й інших держав, чиї дані обробляються на території ЄС. Проте, враховуючи загальну діджиталізацію суспільства, екстериторіальність GDPR і те, що партнерами Європейського союзу є майже всі країни світу, регламент торкнеться майже всіх суб’єктів ведення бізнесу, зокрема й українських.
Як підготуватися організаціям і власникам українських інформаційних ресурсів до введення нового регламенту?
Власникам українських інформаційних порталів вже зараз потрібно змінити форму згоди на обробку персональних даних, оптимізувати збір і обробку інформації, залишивши лише справді необхідне, та провести ревізію договорів з європейськими контрагентами. Необхідно також, щоб у компанії була особа, відповідальна за захист персональних даних та їхню відповідність стандартам ЄС.
Під дію нового регламенту обов’язково потраплять енергетичні і фінансові компанії, оператори зв’язку і сервіси бронювання, Інтернет-магазини і соціальні мережі. Тобто всі компанії, що мають стосунок до громадян країн ЄС і оброблюють їхні персональні дані. Якщо ж компанія має свою філію в Європі, то новий регламент стосується її першочергово.
Компаніям України потрібно вже зараз уважно вивчити вимоги нового європейського регламенту, оскільки наслідки їхнього порушення серйозні: 20 мільйонів євро або 4% від річного доходу за порушення ключових положень Регламенту, прав суб’єктів ПД, нормативів передачі особистих даних тощо; 10 мільйонів євро або 2% від річного доходу за порушення процедури здобуття згоди на зберігання і обробку ПД неповнолітніх, за недотримання технічних норм роботи з ПД, за відсутність представника в ЄС та інше. В окремих випадках, коли регулювальник вважає правопорушення незначним, замість штрафу справа може обмежитися доганою.
Що нового вводить регламент?
GDPR встановлює принципи законності, справедливості і прозорості при обробці персональних даних. Вся інформація про ці дії має бути викладена максимально доступно і просто. Збір даних повинен бути цільовим, інформація має бути використана із початковою метою. Винятком тут є архіви, наукові і історичні дослідження, статистика, а також збір даних на користь суспільства.
GDPR забороняє збирати надлишкові дані, а неточну інформацію потрібно вчасно оновлювати чи видаляти. Дані повинні зберігатись у формі, що не дозволяє ідентифікувати користувача після завершення терміну, необхідного для озвучених цілей. Оператор персональних даних зобов’язаний забезпечити надійний захист від незаконної обробки, знищення і пошкодження інформації.
Компанія, що пропонує послуги на місцевих мовах жителів ЄС, приймає оплату у євро, швейцарських франках, чеських кронах, польських злотих, надаючи послуги на національних доменах верхнього рівня країн ЄС, автоматично потрапляє під дії GDPR, оскільки, за логікою Єврокомісії, очевидно, працює з жителями Євросоюзу. До того ж регламент GDPR стосується не лише зібраних персональних даних, але і моніторингу поведінкової активності суб’єкта (наприклад, профілів в соціальних мережах, геолокації тощо) для таргетування і персоналізації реклами. Та й термін “персональні дані” у регламенті має детальну дефініцію, зокрема відтепер до ПД входить й IP-адреса. Новий європейський регламент також розрізняє поняття контролера даних (data controller) – керівник процесу, що несе відповідальність, і процесора даних (data processor) – виконавець.
Що потрібно враховувати українським компаніям при роботі з персональними даними громадян країн ЄС?
Тепер про витік даних потрібно повідомити регулюючі органи (у ЄС створений новий єдиний регулювальник – European Data Protection Board, EDPB) впродовж 72 годин. Але найголовніше, для збору даних тепер необхідна активна згода користувача. Це означає, згода за умовчанням чи здобута шляхом бездіяльності буде порушенням регламенту.
До того ж GDPR вимагає створити у компаніях, що регулярно і систематично збирають і обробляють дані користувачів, посаду відповідального за захист персональної інформації. Хоча в більшості організацій відповідальними особами можуть стати кадровики, що пройшли необхідну підготовку, у великих компаніях рекомендується залучити вузьких фахівців із захисту персональних даних.
Загалом новий регламент ЄС значно сильніше акцентує увагу на захисті прав суб’єкта персональних даних і розширює можливості для управління інформацією. Наприклад, користувач має право дізнатись місце і мету обробки персональних даних, факти передачі третім особам, може забажати виправлення чи негайне видалення інформації.
Ігнорувати GDPR не вийде ні у кого. Поки санкції за порушення захисту чи обробки персональних даних накладатимуся лише в разі розширення бізнесу і його виходу на європейський ринок. Однак після переговорів між між EDPB і національними регулювальниками за межами ЄС порушення європейських норм неминуче обернеться проблемами.
Проте є й хороша новина для бізнесу – принцип перенесення даних. Тепер при зміні постачальника послуги клієнт має право перенести свої дані новому контрагентові. На практиці це означає нівеляцію переваги Інтернет-гігантів, якої вони досягли завдяки накопиченню інформації про користувачів.
Новий регламент сприяє захисту прав людини, зокрема можливості керувати своїми даними, тому правозахисники його схвалюють. Але це лише у теорії, а от практика його використання викликає багато питань. Найскладніше з них – блокчейн. Як працюватиме GDPR у випадку з розподіленим реєстром досі незрозуміло.
Поки правозастосування нового регламенту уточнюватиме Робоча група із захисту фізичних осіб при обробці персональних даних та Європейський суд справедливості, Україні варто готуватися до введення нових правил уже зараз.
Головний виконавчий директор Facebook Марк Цукерберг заявив в інтерв’ю агентству “Reuters”, що згоден з новим законом Європейського союзу про захист персональних даних, але не вважає його стандартом для соціальної мережі по всьому світу. Швидше за все, Facebook виконуватиме новий регламент лише стосовно користувачів з країн-членів Євросоюзу. Корпорація Apple і деякі інші технологічні компанії заявили, що готові надати усім своїм користувачам такі ж права з захисту персональних даних, які отримають європейці.
Отже, новий регламент захисту даних став найсерйознішим реформуванням права у сфері конфіденційності в Інтернеті з моменту зародження глобальної мережі. Він дає європейцям право дізнатись, які відомості про них зберігають компанії. Сьогодні це найбільш прогресивний закон у цій сфері.
