GDPR: мифы и реальность

|
Версия для печатиВерсия для печати
Фото:  GDPR

General Data Protection Regulation (GDPR) стал одним из самых суровых правовых актов, регулирующих обработку и защиту персональных данных. Акт войдет в силу 25 мая 2018 года и кардинально изменит способ сбора и защиты персональных данных. Мы попытались развеять отдельные мифы, которые существуют вокруг GDPR.

Компании, действующие на территории Европейского Союза, уже вносят изменения относительно механизмов обработки клиентской информации. Мы попытались развеять отдельные мифы, которые существуют вокруг GDPR, вместе с юристом Европейского суда и бывшим руководителем Управления защиты персональных данных Секретариата Уполномоченного Верховной Рады Украины в 2013-2015 гг. Маркияном Бёмом.

В тему: Увы, это не паранойя: за нами следят

— Один из самых распространенных мифов о GDPR — это то, что украинские компании смогут легко избежать выполнения регламента. Правда ли это? Потому что кажется, что старый подход — лучше заплатить штраф, чем выполнять определенные требования — уже не будет действовать, поскольку регуляционные органы получат право налагать огромные штрафы за нарушение данной регуляции.

— Существуют такие механизмы, особенно, когда мы говорим об экстерриториальном применении, что означает: регламент будет распространять свое действие на украинские компании, а для того, чтобы это действие было эффективным, должны быть какие-то санкции, какая-то ответственность за несоблюдение регламента. Вот в этой части, пожалуй, самые большие проблемы. Действительно, в некоторых украинских компаниях может применяться регламент, однако возникает вопрос: «Что они нам сделают, если мы его не будем придерживаться?». Факт распространения экстерриториального применения влечет за собой обязанность назначить представителя на территории ЕС, который будет следить за соблюдением обязательств украинскими компаниями. В регламенте есть четкий пункт, который говорит о том, что данный представитель должен подлежать процедурам по принудительному исполнению. Компании обязаны назначать представителя, который будет отвечать за их нарушение законодательства о персональных данных. Это может быть как физическое, так и юридическое лицо, однако оно должно быть четко уполномочено в отдельном письменном документе. Оно должно сотрудничать с субъектами персональных данных с территории ЕС: предоставлять ответ о том, как обрабатываются их персональные данные, давать разъяснения по обработке, сотрудничать с надзорными органами, то есть на их запрос предоставлять информацию о том, как обрабатываются данные, какая украинская компания это деалет, где она размещена, какие данные граждан ЕС она обрабатывает. Ну и, конечно, если надзорный орган накладывает взыскание, то это лицо будет отвечать за нарушения владельца.

— А если в идеале, когда сам надзорный орган говорит, что компания в Украине нарушила законодательство о защите персональных данных?

— Тогда компания сама подпадает под юрисдикцию того органа, сама является в суды, признает нарушение, если оно действительно было, и выплачивает соответствующую компенсацию. Другой случай — это когда компания не является, но отвечает ее представитель. Третий случай — это когда компания игнорирует такие запросы, но, на первый взгляд, многим компаниям кажется, что они могут не назначать представителя, или в случае каких-то проблем не платить штрафы, но тогда применяются другие механизмы воздействия.

— А как на практике украинские компании могут осуществлять обработку персональных данных?

— Органы по вопросам защиты персональных данных, если они видят обычно, в каких случаях обрабатываются персональные данные граждан ЕС. Их обработка может осуществляться в рамках каких-то договоров о сотрудничестве, коммерческих контрактов, заключенных между украинскими компаниями и компаниями на территории ЕС. Выполнение этих контрактов предусматривает передачу персональных данных граждан ЕС украинским компаниям. Например, некий заказчик с территории ЕС поручает ІТ-компании разработать программное обеспечение компании на территории Украины. В таком случае, разрабатывается программное обеспечение и некоторое время компания его администрирует, тестирует, а если определенное время программное обеспечение рассчитано на обработку персональных данных граждан ЕС, то она получит доступ к ним. Можно привести много случаев, когда украинские компании могут получать персональные данные с ЕС.

— Представим, что украинская компания нарушает положения регламента и отказывается от ответственности. Что тогда?

— Минимальное, что может быть, это если она не будет отвечать на запрос надзорного органа или суда — надзорный орган даст указание компании, расположенной на территории ЕС, приостановить поток или передачу данных в Украину. В контексте это означает завершение или расторжение контракта между двумя компаниями: компания, которая администрировала этот сайт, не сможет его администрировать, потому что не будет доступа к персональным данным. Компания, которая разрабатывала программное обеспечение, потеряет смысл сотрудничать с компанией из ЕС, поскольку она не сможет должным образом обеспечивать разработку программного обеспечения, тестировать и администрировать его. Суть такова, что если компании безразлично это, то она может и не придерживаться этих положений, но какой тогда смысл этой компании выходить на европейский рынок, если она не собирается придерживаться этих положений? В случае, когда украинская компания собирается сотрудничать с компанией на территории ЕС, то она обязана придерживаться этих положений.

Регламент построен таким образом, чтобы не только принудить к чему-либо компанию на территории Украины, но и заставить компанию с территории ЕС тщательно подбирать своих контрагентов по обработке персональных данных вне территории Европейского Союза.

Скажем, компания-владелец в ЕС поручает обрабатывать персональные данные компании на территории Украины, она понимает, что в случае нарушения регламента первой под удар попадает именно она, что ей невыгодно работать с ненадежными компаниями в Украине, которые не соблюдают положений регламента. То есть, это миф, что украинские компании могут не соблюдать регламент. Если они работают с компаниями из ЕС, они должны его придерживаться.

— Как украинским компаниям лучше подготовиться к GDPR?

— Лучший совет — это силами собственных юристов, силами внешних экспертов в сфере защиты персональных данных проанализировать работу собственной компании, те операции по обработке персональных данных, которые осуществляет компания, потенциальные риски, связанные с такой обработкой. Проанализировать, какие данные обрабатываются, возможности применения регламента непосредственно в обработке таких персональных данных, риски, связанные с возможным несоблюдением регламента, риски в контексте привлечения самой компании к ответственности, риски потери контрактов с контрагентами на территории Европейского Союза. Проанализировать, следует соблюдать регламент или нет, потому что если они примут решение, что выгоднее все-таки соблюдать регламент, то есть они ведут активное сотрудничество с компаниями на территории ЕС, то, пользуясь услугами собственных юристов, внешнего специалиста, наладить процедуры обработки персональных данных таким образом, чтобы они соответствовали положениям регламента.

В тему: После Сноудена: как разоблачения предателя ЦРУ изменили мир

— Есть версия, что рано или поздно украинское законодательство все равно будет приведено в соответствие с GDPR. Так ли это?

— Если Украина хочет вступить в ЕС, или хотя бы приблизиться к вступлению, стандарт защиты персональных данных должен быть не меньшим, чем на территории ЕС. Конечно, можно говорить, что пока нет перспектив такого вступления, то нет и причины беспокоиться. Однако, если мы даже собираемся в перспективе вступить в Европейский Союз, то законодательство должно быть приведено в соответствие с законодательством ЕС. Иногда могут возникнуть препятствия в сотрудничестве с контрагентами в ЕС, если неправильно ведутся персональные данные. Соответственно, выгодно привести нормы работы с персональными данными к уровню их обработки в ЕС. Возможно, это не будет решающим фактором при выборе компаниями с территории ЕС контрагента за пределами ЕС, однако это будет весомым фактором для сотрудничества. Работая с компаниями не из ЕС, им не надо будет переживать за уровень обработки персональных данных. Например, есть процедура, по которой комиссия Евросоюза выдает документ о соответствии, то есть уровень обработки и защиты персональных данных соответствует регламенту и, соответственно, персональные данные могут свободно циркулировать между ЕС и этой страной. Я думаю, что это будет существенным преимуществом для бизнеса в Украине, поскольку компании будет охотнее сотрудничать с компаниями из-за пределов ЕС, где не нужно принимать какие-то дополнительные меры по защите персональных данных, или переживать, что определенный их контрагент не соблюдает регламент, и это повлечет их ответственность тоже.

— Насколько сейчас украинское законодательство соответствует стандартам GDPR?

— Европейский Союз на время, пока не был принят регламент, принял решение о том, что в Украине обеспечивается достаточный уровень защиты персональных данных и у нас есть эффективный и независимый орган по вопросам защиты персональных данных. Перед подписанием соглашения об ассоциации Украины с ЕС неотъемлемым условием было приведение к соответствующему уровню защиты персональных данных. Я могу предоставить по этому вопросу подробную информацию, поскольку мы участвовали во встречах относительно этого, встречались с контрагентами в ЕС, к нам приезжали их представители, анализировали законодательство на соответствие требованиям законодательства ЕС. Они сказали, что законодательство является на соответствующем уровне с законодательством ЕС и существует независимый надзорный орган. В то время это было одним из требований для подписания соглашения об ассоциации. Тогда анализировалось законодательство и его практическое применение, однако этот регламент, который принят, но еще не вступил в силу (вступает в силу в мае 2018 года), вводит столько нового, что говорить, отвечает ли ему наше законодательство, очень трудно. На первый взгляд, наш Закон, который сейчас действует, далек от положений того регламента, даже не вникая в процедуру, как оно эффективно реализуется на практике, поскольку такие сведения трудно собрать.

— То есть, во время подписания соглашения об ассоциации Украины с ЕС регламента еще не было?

— Тогда была директива, то есть предыдущий рамочный документ Евросоюза, который регламентировал порядок защиты персональных данных, и положениям этой директивы Украины отвечала. Что касается регламента, то пока специалисты не проведут надлежащей оценки, то об этом трудно говорить. Однако, положения регламента являются настолько подробными, например, шкала ответственности за нарушения, которая предусматривает такие большие санкции, что уже в этой части украинское законодательство не соответствует его положению. У нас максимальный штраф за нарушение законодательства о защите персональных данных, который казался довольно большим в то время, был 34 000 гривен, а в Европейском Союзе — это 4 процента от глобального годового оборота, то есть, если компания зарабатывает сотни миллиардов, то штраф составляет миллиарды. То есть, если сравнивать текст действующего теперь Закона с регламентом, то, к сожалению, соответствия нет.

— Каковы новые права у пользователей по их персональным данным? То есть им дается большая свобода в контексте персональных данных? Я имею в виду не только данные паспорта, но и, например, посты в социальных сетях.

— Персональные данные — это процесс, который неотъемлемо сопровождает коммерческую активность, и это накладывало бы очень сильное ограничение на предпринимательскую деятельность, если бы нельзя было бы обрабатывать персональные данные. Этот процесс никуда не исчезнет, он будет всегда и будет сопровождать любую коммерческую деятельность. Цель законодательства по вопросам защиты персональных данных и, в частности, регламента — это предоставить возможность субъектам персональных данных контролировать этот процесс, знать где, кем, когда, с какой целью они обрабатываются, что их персональные данные защищаются в соответствии с регламентом. И в случае, если персональные данные обрабатываются незаконно, они могут защитить свои права в этом отношении.

В тему: Битвы Великой технологической: как в современном мире сражаются за мировое господство

— Как человек может контролировать то, каким образом используются ее персональные данные?

— Регламент в этом отношении является очень подробным. Он требует от сборщика персональных данных сообщать субъекту персональных данных о том, какие данные, кем собираются, как они обрабатываются, кем они обрабатываются, с какой целью, на каких основаниях. Если требуется согласие, то субъект должен дать согласие на обработку. В дальнейшем, когда обрабатываются персональные данные, лицо может всегда спросить, продолжают ли обрабатываться ее персональные данные, будет ли применяться профайл к лицу, или на основании предоставленных данных будут приниматься какие-то автоматизированные решения. Если лицо дало согласие на обработку персональных данных, то оно всегда может потребовать прекратить обработку.

— Как насчет положения о «праве на забвение» (right to be forgotten)?

— Когда поисковая система выдает о вас информацию, вы имеете право требовать от поисковой системы прекратить это делать. Если лицо видит, что где-то незаконно обрабатываются ее данные или обрабатывается непомерно большой объем информации, закончился срок обработки, есть ложные или неточные данные, он имеет право требовать удаления или исправления данных, прекращение их обработки. Если данные передаются от одного владельца к другому, то вы имеете право знать, что они передаются, кому, с какой целью они будут обрабатываться новым владельцем, передаются ли они за границу, и если да, то с какой целью. Например, сообщение субъекта о передаче данных третьим лицам должны быть автоматическими. Если раньше надо было отправлять физические письма, то сейчас достаточно написать смс-сообщение, или написать электронное письмо и сообщить лицу о том, что данные передаются такому-то лицу с такой-то целью. Лицо видит этот процесс, видит, кто, как, где и зачем обрабатывает эти данные, он может на этот процесс влиять, иногда оно может приостанавливать полностью этот процесс. Защита персональных данных не означает, что эти данные не обрабатываются, это означает, что субъект знает об обработке и контролирует ее, кроме случаев, определенных законом.

— Есть исключения, на которые даже положения регламента не распространяются?

— Конечно. Например, в целях правоохранительной деятельности, борьбы с преступностью или терроризмом, целях национальной безопасности. И понятно, что любое лицо всех деталей знать не может. Но когда речь идет о коммерческой или общей обработке персональных данных, обработке государственными органами (назначение пенсий, субсидий и т.п.), то конечно, что лицо должно иметь доступ к таким сведениям.

Марта Дацюк, фото: Виталий Качур; опубликовано на сайте UCU

Перевод: Аргумент


В тему:


Читайте «Аргумент» в Facebook и Twitter

Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter.

Система Orphus

Підписка на канал

Важливо

ЯК ВЕСТИ ПАРТИЗАНСЬКУ ВІЙНУ НА ТИМЧАСОВО ОКУПОВАНИХ ТЕРИТОРІЯХ

Міністерство оборони закликало громадян вести партизанську боротьбу і спалювати тилові колони забезпечення з продовольством і боєприпасами на тимчасово окупованих російськими військами територіях.

Як вести партизанську війну на тимчасово окупованих територіях

© 2011 «АРГУМЕНТ»
Републікація матеріалів: для інтернет-видань обов'язковим є пряме гіперпосилання, для друкованих видань – за запитом через електронну пошту.Посилання або гіперпосилання повинні бути розташовані при використанні тексту - на початку використовуваної інформації, при використанні графічної інформації - безпосередньо під об'єктом запозичення.. При републікації в електронних виданнях у кожному разі використання вставляти гіперпосилання на головну сторінку сайту argumentua.com та на сторінку розміщення відповідного матеріалу. За будь-якого використання матеріалів не допускається зміна оригінального тексту. Скорочення або перекомпонування частин матеріалу допускається, але тільки в тій мірі, якою це не призводить до спотворення його сенсу.
Редакція не несе відповідальності за достовірність рекламних оголошень, розміщених на сайті, а також за вміст веб-сайтів, на які дано гіперпосилання. 
Контакт:  [email protected]