25 травня 2018 року Загальний регламент про захист даних, також відомий як GDPR, офіційно набув чинності. Така інформація прокотилася лавиною по українському бізнесу із сотнями коментарів експертів, думок, позицій, планів та страшних “пророцтв” про мільйонні штрафи, які чекають всіх і кожного як в ЄС, так і в Україні, хто, на думку деяких спеціалістів: «випадково отримав персональні дані громадянина ЄС і обробляв їх з недотриманням вимог GDPR». Бізнес переживав, метушився, робив «щось, щоб бути compliant», сповіщав своїх користувачів про нову політику з обробки персональних даних, наново збирав згоди на обробку або тихо сидів, схрестивши пальці, сподіваючись, що все заспокоїться.
Пройшов майже рік, слідом за шумом у ЄС спав гамір і в Україні, в результаті багато хто зупинився на імпульсивному наборі випадкових кроків в сторону відповідності вимогам GDPR, зроблених ще у травні минулого року.
Сьогодні спостерігаємо затишшя. Проте аналіз останніх подій дає підстави зробити передбачення, що варто очікувати чергової хвилі броунівського руху в юридичній площині серед бізнесу в Європі, а слідом і в Україні. Нещодавно CNIL (французький орган, відповідальний за імплементацію законодавства про персональні дані) оштрафував Google на 50,000,000 євро. Якщо коротко підсумувати причину накладення штрафу: за «брак прозорості перед користувачами щодо обробки їх даних». Сумнівно, що цей факт пройде мимо уваги бізнесу. Очевидно, Google не був останнім, і вечірка для європейських «копів» із захисту персональних даних тільки починається.
Відповідно, очікується новий наплив ривків зі сторони бізнесу, і це стане досить логічним наслідком останніх подій. На жаль, виглядає так, що ні європейський, ні український бізнес поки зовсім не готовий систематизувати свої зусилля у послідовний план дій, кінцевим результатом якого буде приведення бізнесу у відповідність до вимог GDPR.
Я обрав 10 складних запитань, узагальнених із власної практики, які насправді задає собі український бізнес, і на які часто не отримує, або ж отримує недостовірні відповіді. Проте, саме ці запитання лежать в основі усвідомлення проблеми під назвою GDPR і масштабів її впливу на нас. Знаючи відповіді, відповідальна особа може систематизувати підхід бізнесу до compliance процедур та скласти road map або ж відмовитися від GDPR напрямку взагалі.
Отже, спробую зрозумілими словами дати відповіді на ці поширені запитання.
1. Мій бізнес теж можуть оштрафувати на 50 млн євро як Google?
Можуть, але не обов'язково.
Стаття 83 GDPR передбачає розміри штрафів до 20,000,000 євро або до 4% від річного обороту групи компаній за суттєві порушення вимог Регламенту. Проте до заголовків новин потрапляють штрафи від 1,000,000 євро. Мало хто знає, що в листопаді 2018 року німецьку компанію було оштрафовано на 20,000 євро за зберігання паролів користувачів у незашифрованому форматі, або ж про те, що в грудні того ж року на португальський медичний заклад було накладено штраф у розмірі 400,000 євро за використання фальшивих облікових записів працівниками для доступу до даних пацієнтів, або ж про відносно незначний штраф у розмірі 4,800 євро, який було накладено у жовтні 2018 року на австрійську компанію за незаконне встановлення камери відео нагляду у публічному місці (джерело). Співрозмірний штраф може накласти Держпраці за допуск до роботи 2 неоформлених працівників. У Німеччині існують приклади ще менших штрафів в розмірі 250-600 євро за зовсім дрібні порушення (джерело).
При чому очевидно, що такі суми для європейського підприємства не є захмарними. Можливо, GDPR не такий вже й монстр із бездонною кишенею для штрафів, а лише набір правил для справедливої імплементації вимог ЄС щодо захисту даних? Залишу цю думку для роздумів кожному.
Крім того, вважаю за доречне згадати, що станом на 5 лютого 2019 року було накладено лише 91 штраф відповідно до GDPR, про що свідчить статистика, наведена Росом Маккіном із DLA Piper (джерело). Не вражає? Не думаю, що мало б. Як це часто буває, картинка, намальована ЗМІ та постами-репостами в соцмережах, виглядає в рази страшнішою, ніж реальна ситуація, підтверджена сухими цифрами і фактами.
Відповідаючи на питання у підзаголовку 1 вище, висловлю наступну думку. Якщо йтиметься про порушення прав однієї людини (наприклад, її дані було передано працівнику компанії, який не мав мати відповідного доступу) не варто очікувати на штраф, що перевищуватиме кілька тисяч євро. Коли ж йдеться про мільйони користувачів і їх права, як у випадку із Google, варто чітко розуміти, що саме для таких випадків в текст закону було поміщено частину про «4% від річного обороту групи компаній».
2. Що треба робити, щоб мій бізнес точно оштрафували?
Найкраще відповісти на це запитання кількома прикладами, щоб окреслити загальну картину.
Приклад 1. Ніколи не видаляти персональні дані користувачів. Наприклад, зберігати їх прямо в blockchain або ж не передбачати можливості видалити свій профіль.
Приклад 2. Вимагати від користувачів згоду на обробку персональних даних, без якої вони не можуть користуватися вашим сервісом.
Приклад 3. Вимагати надання персональних даних, які не є необхідними для конкретного виду пропонованих послуг.
Важливо зазначити, що малоймовірною є ініціатива контролюючих органів ЄС через очевидні причини перевантаженості, тому точно оштрафують тільки тоді, коли до них надійде скарга від фізичної особи.
3. Якщо ми не робитимемо нічого, нас точно оштрафують?
Ні, не точно.
Як я вже зазначав у відповіді на попереднє запитання, адміністративні структури, які можуть штрафувати за порушення GDPR в ЄС, подібно до своїх колег в Україні, мають суттєво обмежені людські та фінансові ресурси. Надійним містком для привернення до себе уваги може стати скарга суб'єкта персональних даних. Тому можливо місяцями чи навіть роками не робити жодних рухів та не зважати на вимоги законодавства ЄС про персональні дані, залишаючись в тіні тихо та спокійно вести бізнес без штрафів та пов'язаних проблем. Проте, завжди існує шанс у незручний момент отримати цілком обґрунтовану скаргу від фізичної особи про те, що її дані оброблялися із порушенням вимог GDPR, та зіткнутися із всіма негативними наслідками.
4. Який український бізнес точно не підпадає під дію GDPR?
Тема територіальної дії зайняла б друге місце після штрафів на п'єдесталі об'єктів спекуляцій щодо GDPR. Для тих, кому цікаво глибше дослідити цю проблематику, рекомендую ознайомитися із роз'ясненнями EDPB (European Data Protection Board) щодо територіальної дії GDPR (Guidelines 3/2018 on the territorial scope of the GDPR) від 16 листопада 2018 року (посилання).
Спробую навести кілька прикладів бізнесу в Україні, який точно не підпадає під дію GDPR, проте може щиро сумніватися в цьому, зважаючи на неточну інформацію, яка вільно та успішно привидом гуляє в Мережі.
Приклад 1. Приватний медичний заклад «Здоров'ячко» знаходиться та зареєстровано у Києві. Медичний заклад рекламує свої послуги в Україні та не має спеціальних рекламних кампаній, націлених на територію ЄС. «Здоров'ячко» популярний серед поляків, які живуть в Києві. Зважаючи на це, заклад активно рекламує свої послуги польською мовою в інтернеті для користувачів, які знаходяться в Україні. Сайт медичного закладу пропонується українською, англійською та польською мовами.
Коментар 1. Такий медичний заклад не підпадає під дію GDPR по жодному з критеріїв, оскільки він не має ні установи на території ЄС, ні не націлює свої послуги на фізичних осіб, які перебувають на території ЄС. Сам факт наявності польської версії сайту чи локальної реклами в Україні для поляків не має юридичних наслідків та не затягує «Здоров'ячко» під дію GDPR.
Приклад 2. Українське медіа-агентство «Новинка», яке пропонує новини, блоги, путівники та розважальний контент українською та російською мовами, націлене на аудиторію користувачів в Україні, зокрема, на тих, хто часто подорожує. Кожного тижня ресурс публікує статтю із порадами щодо подорожей до одного з міст у ЄС. Часто користувачі відвідують «Новинку» під час своїх подорожей, перебуваючи на території ЄС. Веб-сайт, на якому публікуються матеріали, збирає інформацію про відвідувачів, зокрема, IP адреси, геолокацію, тривалість відвідування, кількість переходів між сторінками, тощо.
Коментар 2. Незважаючи на те, що де-факто, медіа-агентство збиратиме персональні дані користувачів, які перебувають на території ЄС, серед яких навіть буде європейська IP адреса та місце розташування користувача на території ЄС, GDPR не поширюватиме свою дію на «Новинку», тому що обробка не пов'язана із діяльністю ресурсу в ЄС та не націлена і прямо не пропонує свої послуги фізичним особам, які перебувають на території країн Євросоюзу. Простішими словами, «Новинка» не зобов'язана переживати, що хтось із її користувачів буде перебувати в Гамбурзі, читаючи черговий путівник. Такі до певної міри випадкові збіги не означають, що медіа-агентство потрапляє під юрисдикцію GDPR.
Приклад 3. Український технологічний стартап «Хмаринка» розташований у Львові. Стартап розробляє програмне забезпечення для американських брокерів, яке обробляє дані щодо торгівлі цінними паперами на Нью-Йоркській фондовій біржі, будуючи різноманітні корисні графіки та аналітику. «Хмаринка» орендує сервери в провайдера в Німеччині, де, серед іншого, зберігає дані про користувачів.
Коментар 3. Важливим моментом в такому прикладі буде те, що провайдер у Німеччині підпадає під дію GDPR та зобов'язаний відповідати вимогам закону до процесора персональних даних. Проте, сам стартап з України автоматично не потрапляє під юрисдикцію GDPR, оскільки його діяльність не націлена на ринок ЄС та він не має установи там.
5. Який український бізнес точно підпадає під дію GDPR?
Знову наведу кілька прикладів, цього разу наближених до тих, із якими стикався у своїй практиці, коли для бізнесу ставало сюрпризом, що GDPR застосовується до нього.
Приклад 1. Українська компанія «Розумничка» в Житомирі займається розробкою систем типу «розумний дім», що включає в себе апаратну та програмну частини, обидві виготовлені в Україні. Всі дані про користувачів та покупців обробляються, зокрема, зберігаються, в Україні. Систему можна придбати безпосередньо на веб-сайті «Розумнички», доступному українською та англійськими мовами, провівши розрахунок в гривні або євро. Пропонується безкоштовна доставка по цілому світу. На сайті доступні історії користувачів «розумного дому» з України, Румунії та Данії.
Коментар 1. Незважаючи на те, що повний цикл виготовлення та розробки здійснюється в Україні, «Розумничка» націлена на продажі свого продукту в Євросоюзі, про що свідчить доступність сайту англійською, можливість розрахунку в євро та історії користувачів в ЄС. Тому, GDPR буде застосовуватися до обробки компанією персональних даних користувачів з ЄС.
Приклад 2. Спеціалізована українська юридична компанія «Наші», яка розташована в Полтаві, займається юридичною підтримкою українців в Чехії. Веб-сайт компанії доступний лише українською мовою та розташований на домені .ua. «Наші» обробляє дані про своїх клієнтів, які надаються їй під час співпраці щодо вирішення юридичних питань українців в Чехії. Розрахунок проводиться виключно на банківський рахунок компанії в Україні в гривнях.
Коментар 2. Всі наведені вище деталі, навіть те, що йдеться про дані українців, не мають юридичного значення для GDPR, оскільки «Наші» пропонують свої послуги фізичним особам на території ЄС і обробляють їх дані. Цього факту достатньо, щоб GDPR перемикнув рубильник в позицію «Вкл.» щодо конкретної діяльності української компанії.
Приклад 3. Українська агрокомпанія «Земелька», яка знаходиться в Черкасах, виготовляє хлібопродукти. Агрокомпанія має 4000 працівників в Україні. Для здійснення продажів в Європі, агрокомпанія відкрила невеликий офіс в Франції, найнявши там 3-ох місцевих працівників. Дані французьких працівників обробляються відділом кадрів в Черкасах. Поки що 100% продажів бізнесу відбувається в Україні.
Коментар 3. Хоча кількість працівників «Земельки» в Франції становить 0.075% від всіх працівників компанії, а на продажі в ЄС припадає частка в 0%, GDPR застосовується до «Земельки», принаймні в частині обробки даних працівників в Франції.
Для загального розуміння варто додатково наголосити, що GDPR поширюється на бізнес, який цілиться на осіб на території ЄС, незалежно від громадянства чи походження, а не на громадян ЄС, про що часто можна почитати чи почути.
6. Якщо мій бізнес отримає запит від громадянина ЄС на видалення його даних, я зобов'язаний його виконати відповідно до вимог GDPR навіть, якщо сам бізнес не підпадає під вимоги GDPR?
Ні, така думка є помилковою.
Якщо бізнес не потрапляє під юрисдикцію GDPR, він не зобов'язаний виконувати його вимоги через одиничні запити навіть від громадян ЄС чи осіб, які перебувають на території ЄС. Проте, не варто забувати, що в Україні також існує Закон «Про захист персональних даних», відповідно до якого особа може відкликати свою згоду на обробку, відповідно, дані повинні будуть бути видаленими.
7. Чи можу я розділити обробку даних в межах одного бізнесу так, щоб тільки певна частина операцій відповідала вимогам GDPR?
Так, це можливо.
GDPR дозволяє бізнесу не бути відповідним до його вимог в тій частині, на яку закон не поширюється. Таким чином, компанія «Розумничка» з Житомира може розділити обробку персональних даних своїх користувачів на 2 окремих потоки та забезпечити відповідність GDPR тільки стосовно тієї обробки, яка стосується користувачів з території ЄС.
8. Я оновив текст політики обробки персональних даних на своєму веб-сайті відповідно до вимог GDPR. Тепер я compliant?
Звичайно, що ні. Хоча, на жаль, складається переконливе враження, що велика частина компаній саме так і вважає.
Політика щодо обробки персональних даних - це лише один із засобів відповідати вимогам GDPR. До того ж, перед тим, як оновлювати політику і повідомляти про це тисячі користувачів, варто дослідити, чи дійсно бізнес виконує все те, що обіцяє у політиці, та наскільки глибоко впроваджені технічні механізми, які це забезпечують. Політика - це засіб комунікації бізнесу із суб'єктами, чиї персональні дані він обробляє, і GDPR вимагає, щоб ця комунікація була прозорою, чіткою, повною та зрозумілою. Про це свідчить добре відомий приклад Google (джерело).
Коротка порада: слідуйте такому узагальненому плану. 1. Що ми обробляємо? 2. Чому ми це обробляємо? 3. Як ми це обробляємо? 4. Де ми це обробляємо? 5. Як ми це повинні обробляти? 6. Ми обробляємо це так, як повинні? Коли відповідь на останнє питання «так», тільки тоді переходимо до наступного пункту. 7. Описуємо відповіді на ці питання в політиці і повідомляємо про це своїх користувачів.
9. Скільки часу займе приведення бізнесу в відповідність вимогам GDPR?
Приблизно 1 рік.
Залежно від розміру бізнесу та обсягів обробки персональних даних строк може бути як трохи меншим, так і значно довшим, проте у більшості випадків одного року достатньо для того, щоб налаштувати основні процеси бізнесу відповідно до вимог GDPR.
10. GDPR - це набір юридичних вимог, мої юристи сказали, що бізнес відповідає вимогам, тому я compliant? (Альтернативне запитання: GDPR - це набір технічних вимог, мої технічні спеціалісти сказали, що бізнес відповідає вимогам, тому я compliant?)
Відповідь на обидва питання: ні, не обов'язково.
Парадоксально існують два протилежні маргінальні підходи до сприйняття GDPR. Для одних це всього лише набір юридичних норм, а для інших - тільки технічних вимог. Насправді, обидва підходи помилкові. GDPR - це комплекс юридичних правил обробки персональних даних, який нічого не вартий без технічних засобів щодо їх імплементації. Особиста практика підтверджує, що над тим, щоб привести бізнес до стану “compliant with the GDPR”, повинна працювати команда, яка складається хоча б з одного юриста та одного спеціаліста з інформаційної безпеки. Тільки в такому злагодженому тандемі можливо забезпечити справжню відповідність до вимог GDPR в повному спектрі: від юридичних процесів до технічних засобів.
З 9 по 23 жовтня 2020 запрошуємо відвідати курс «GDPR В УКРАЇНІ: практика застосування». Під час заходів ви дізнаєтесь про: основи GDPR - принципи обробки, права суб'єктів, відповідальність; про застосування GDPR комплаєнс для компанії; про кукіси та консенти в GDPR.
***
Розглянути результати положень GDPR на прикладі деяких кейсів ви також зможете у матеріалі ЮРИСТ&ЗАКОН за посиланням
Для отримання доступу до інших матеріалів інформаційно-правової системи ЛІГА:ЗАКОН, скористайтеся вільним тестом