Практика вирішення спорів щодо захисту даних у контексті GDPR (порівняльний аналіз)

14 Грудня 2021

Починаючи ранок із перегляду вхідної пошти за чашкою кави або чаю, доволі часто можна потрапити під лавину повідомлень про оновлення політики конфіденційності від різноманітних сервісів і компаній, чиїми послугами ви користуєтесь. Усьому причиною є дотримання законодавства про захист персональних даних, зокрема й Загального регламенту про захист даних
(англ. General Data Protection Regulation (далі – GDPR або Регламент). Пандемія коронавірусної хвороби сприяє стрімкому переведенню багатьох процесів в онлайн, що своєю чергою спричиняє нові питання та виклики у сфері захисту даних для всіх учасників ринку незалежно від галузі та
місцезнаходження.
У зв’язку з набуттям чинності GDPR для всіх осіб в межах Європейської економічної зони (ЄЕЗ) і поза її межами, у країнах – членах ЄЕЗ на виконання положень GDPR було утворено національні наглядові органи з питань захисту даних, які вже розпочали свою роботу. З огляду на початок діяльності цих органів постають питання щодо практичної реалізації положень Регламенту та – найголовніше для бізнесу в умовах екстериторіальної дії GDPR – щодо реалій притягнення до відповідальності за порушення законодавства про захист персональних даних.
Сьогодні досі залишаються актуальними питання застосування вимог GDPR, що є свого роду викликами для сучасних компаній та організацій, розв’язавши які бізнес зможе стверджувати про ефективну мінімізацію ризиків, пов’язаних із обробкою даних. Для деяких компаній дотримання Регламенту може зумовити труднощі через те, що немає чітких роз’яснень і рекомендацій від
наглядових органів для певних сфер. Щоправда, не всі компанії (з різних причин) докладали зусиль для дотримання Директиви 95/46/ЄС, якою було врегульовано питання захисту даних у ЄС та яка була чинною до набрання чинності GDPR, про що також не варто забувати.
Тож передусім пропонуємо ретроспективно розглянути питання становлення законодавчого підґрунтя для обробки даних на теренах ЄЕЗ із середини 1990-х до сьогодні.
Коротко про Регламент У Європі після трансформації та удосконалення було імплементовано Регламент Європейського Парламенту і Ради ЄС 2016/679 “Про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних” від 27.04.2016 р., який набув чинності у 2018 році. Регламент ухвалено на заміну Директиви 95/46/ЄC Європейського Парламенту і Ради “Про захист громадян стосовно обробки персональних даних та про вільне переміщення таких даних” від 24.10.95 р. (далі – Директива).
На відміну від GDPR, Директивою було встановлено право кожного з 28 членів ЄС ухвалити й адаптувати законодавство відповідно до потреб своїх громадян. Натомість Регламент вимагає його повного ухвалення усіма 28 країнами без будь-якої свободи дій. Тобто GDPR вимагає від усіх 28 країн ЄС відповідати положенням Регламенту. Директиву було скасовано через те, що її положення не охоплювали того, як дані потрібно зберігати, збирати й передавати в сьогоднішніх реаліях цифрової епохи. Як і багато інших нормативно-правових актів, ці нормативні акти не встигають за темпами технологічного прогресу.
Регламент – це основа законодавства ЄС про захист даних. Основною метою GDPR є надати людям більше контролю над тим, як їхні персональні дані збирають, використовують та захищають у цифровому світі. Регламентом також установлено жорсткіші правила обробки та стандарти щодо захисту даних. Зокрема, визначено вимоги щодо обов’язкового використання технічних засобів захисту даних (шифрування та ін.). Ще однією важливою особливістю GDPR є закріплення вищих порогів для юридичного обґрунтування обробки даних. Він надає широке коло прав споживачам
послуг, змушуючи компанії бути прозорими в тому, як вони збирають і зберігають персональні дані своїх клієнтів та обмінюються ними.
Варто зауважити, що з урахуванням основної мети Регламенту, яка полягає в захисті даних, що так чи інакше належать громадянам і резидентам країн – членів ЄЕЗ, установлено, що його дія поширюється за принципом екстериторіальності на будь-які організації, які обробляють такі дані.
Стан розвитку законодавства у сфері захисту ПД в Україні Своєю чергою, задля виконання умов, зокрема, Договору про Асоціацію України з ЄС щодо
забезпечення належного рівня захисту персональних даних, у Верховній Раді зареєстровано законопроєкт від 07.06.2021 р. № 5628 (далі – Законопроєкт).
Законопроєкт досить детально та розширено регулює та впроваджує процедури обробки даних.
Оскільки його розробляли з урахуванням більшості положень Регламенту, він вийшов досить об’ємний, детальний і передбачає значні нововведення. Законопроєкт обстоює та захищає права українських громадян під час обробки їхніх даних. Тож якщо раніше в деяких випадках бізнес виправдовував себе та не впроваджував вимоги GDPR, бо працює на території України та цілеспрямовано не обробляє дані європейців, то з ухваленням Законопроєкту ситуація зміниться й рівень обробки та захисту даних потрібно буде переглянути.
У контексті ризиків невідповідності законодавству у сфері захисту даних у недалекому айбутньому пропонуємо розпочати з головного й розглянути штрафні санкції, запропоновані авторами Законопроєкту. Отже, якщо нині відповідальність за порушення законодавства у сфері захисту персональних даних становить від 3400 грн до 34000 грн (найбільший штраф), то згідно із
Законопроєкту діапазон штрафів для компаній істотно розширюється і становитиме від 30000 грн до 150000000 грн. Потрібно зазначити, що для визначення штрафу братимуть до уваги сукупність чинників. Водночас за кожен факт правопорушення буде окремий штраф. Один штраф, але за найбільш серйозне порушення накладатимуть лише в разі вчинення кількох правопорушень у межах однієї обробки даних.
Крім того, штраф передбачено, навіть якщо порушення законодавства у сфері захисту персональних даних не призвело до порушення прав суб’єктів персональних даних, але відбулося.
Розмір такого покарання сягатиме до 30000 грн. Отже, для притягнення винної особи до ідповідальності навіть не потрібно доводити завдану шкоду.
Тепер, коли зрозуміло, що Законопроєктом передбачено істотну відповідальність, пропонуємо детальніше ознайомитися з тим, за яких підстав вона може виникати. У межах професійної діяльності Асоціації “Digital Ukraine” та проведення аудитів компаній із питань належної обробки даних, ми виявили та зрозуміли найболючіші проблеми організацій, які здійснюють масову обробку персональних даних. Тому нижче розгляньмо ті моменти, які залишаються без уваги в компаніях, але за які доведеться сплатити найсуворіші штрафи.
Відповідно до Законопроєкту персональні дані означають будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано або може бути ідентифіковано. В умовах диджиталізації це інформація, яка дає змогу ідентифікувати таку фізичну особу прямо або опосередковано, зокрема,
за допомогою посилання на ідентифікатор, як-от: дані про місце розташування, онлайнідентифікатор (IP address, cookies), один або кілька факторів, специфічних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи. Обробка даних розпочинається майже з першої комунікації компанії з потенційним клієнтом. Збір даних може охоплювати не тільки стандартні дані про прізвище та ім’я. Іноді у процесі надання послуг може відбуватися передавання чутливих даних, наприклад про здоров’я – під час санаторно-курортному відпочинку, або про політичні чи релігійні переконання – під час
певних групових турів. У такому разі на контролера покладено більше вимог для належної обробки чутливих даних, зокрема й отримання згоди, проведення оцінки впливу на права таких клієнтів, призначення відповідальної особи з питань захисту персональних даних.
Європейська й українська практики Оскільки Законопроєкт неодноразово посилається на практику Європейського суду з прав людини в питаннях захисту персональних даних, можемо з великою ймовірністю стверджувати, що розгляд практичних європейських кейсів уже тепер стане у пригоді в найближчому майбутньому.
Одним із нещодавніх прикладів є ситуація з компанією “Bisnode”, яка надає рішення з цифрового бізнесу, маркетингу та кредитної інформації, з головним офісом у Стокгольмі. Навесні 2019 року польський орган із захисту даних призначив свій перший штраф для цієї фірми в розмірі 220 тисяч
євро за невиконання її зобов’язань щодо прав суб’єкта даних, передбачених ст. 14 GDPR. Справа в тому, що Bisnode збирала дані про осіб із відкритих джерел, не повідомляючи їх про мету та строк обробки. Наглядовий орган зобов’язав компанію зв’язатися з шістьма мільйонами людей, чию інформацію компанія зберігає чи іншим чином обробляє, щоб виконати вимоги щодо
інформаційного повідомлення згідно з Регламентом.
Своєю чергою Bisnode аргументувала відмову тим, що вона не володіє електронними адресами більшості суб’єктів даних, а направляти поштою – це значні витрати для компанії. Зрештою за відмову виконати припис наглядового органу та, як наслідок, порушення Регламенту компанія
дістала фінансове покарання.
Отже, законність обробки потрібно завжди враховувати. У випадку з Bisnode треба пам’ятати, що, отримуючи чиїсь дані від третіх осіб, ви берете на себе обов’язок забезпечити законну обробку таких даних. Інакше претензії суб’єктів даних мають великі шанси бути задоволеними.
Ще одним нещодавнім прикладом є ситуація, у якій опинився польський банк Bank Millennium S.A., порушивши через дії своєї ж кур’єрської служби відразу дві статті GDPR. Цей день точно запам’ятається співробітникам банку надовго.
Зауважимо, що ситуація, у якій опинився Банк, доволі типова та може статися з будь-якою організацією. Утім, у згаданому випадку вирішальним стало саме те, як керівництво Банку зреагувало. Bank Millennium S.A. надіслав посилку з даними своїх клієнтів, але внаслідок непередбачуваних обставин відправлення було втрачено.

Дізнавшись про те, що стався витік даних, керівництво Банку вирішило не вживати жодних заходів щодо цього та залишити ситуацію як є. Проте хтось дізнався й подав скаргу до наглядового органу.
За результатами розгляду скарги UODO (наглядовий орган Польщі) установив у діях Банку порушення ст. 33 (повідомлення про інцидент наглядового органу) та ст. 34 (повідомлення про інцидент суб’єктам персональних даних) Регламенту. Справді, відповідно до положень GDPR у компаній є право не повідомляти про інциденти, але за виключної умови, що такий інцидент та
його наслідки не завдають шкоди суб’єктам даних. У цій же ситуації абсолютно точно можна констатувати, що витік імен, ідентифікаційних кодів, домашніх адрес, номерів облікових записів та інших персональних даних не можна приховувати.
Подібні ситуації можуть статися в будь-якій індустрії, тому на приклади їх розв’язання варто звертати увагу.
З 2018 до 2021 року динамічно зростає тенденція до накладення штрафів за порушення вимог Регламенту.
Щодо загальної статистики в ЄС, то варто зазначити, що за останні два роки до онлайн-порталу Європейської комісії з GDPR звернулися 4,3 мільйони громадян і підприємств. Також не можна оминути дані згідно з недавнім дослідженням FRA: 69 % населення ЄС віком від 16 років чуло про
GDPR, 71 % людей у ЄС чули про свої національні органи із захисту даних, 51 % знають, що вони можуть отримати доступ до своїх особистих даних, що зберігаються в компаніях. Щодо стану розгляду порушень законодавства у сфері захисту даних в Україні, то, за даними Департаменту у сфері захисту персональних даних Уповноваженого Верховної Ради України з прав людини, кількість повідомлень про порушення прав людини на захист персональних даних у 2020 році зросла у двічі й становить 2031 звернення проти 1061 звернення у 2019 році. З-поміж 2031 звернень, отриманих за 2020 рік, майже півтори тисячі скарг стосувалися порушення права людини на невтручання в особисте й сімейне життя під час здійснення діяльності зі стягнення
заборгованості за грошовими зобов’язаннями фізичних осіб або, інакше кажучи, колекторської діяльності.
Щодо найпоширеніших порушень обробки даних в Україні, то, за даними Уповноваженого, до них належать незаконне поширення персональних даних через мережу Інтернет та неправомірне витребування згоди на обробку персональних даних у випадках, коли така згода не потрібна,
нарівні з неправомірним поширенням персональних даних у месенджерах і соціальних мережах та порушенням права на захист персональних даних під час упровадження електронних сервісів.

ВИСНОВОК:
Навіть якщо ви впевнені, що GDPR вас не стосується, радимо ознайомитися детальніше з його положеннями та Законопроєктом або звернутися за консультацією до фахівців, щоб бути певними, що в компанії побудовано зрозумілі процедури обробки даних і діяльність відбувається за
принципом мінімізації ризиків відповідно до законодавства.
Отже, не варто недооцінювати, наскільки важливо адаптуватися до європейських та українських нововведень. Компаніям з усіх галузей необхідно враховувати політику, процедури та технології, які вони використовують для обробки персональних даних. Крім того, вони повинні гарантувати, що
персонал повністю усвідомлює свої зобов’язання. Своєчасна співпраця стосовно дотримання організаційних і технічних вимог із захисту персональних даних та регулярна підготовча робота з персоналом є запорукою безпеки даних ваших клієнтів та вашого бізнесу.

Практика вирішення спорів щодо захисту даних у контексті GDPR (порівняльний аналіз)

Інші новини

Замовити дзвінок