Вадим Кітура
юрист, практика інтелектуальної власностіДійсно, сьогодні стало легше і цікавіше жити. Майже всі згодні щоб Гугл знав про кожен наш рух, лиш би він продовжував направляти нас на шляху до заданої мети. Однак що може завадити умовному “гуглові” використати ваші персональні дані таємно і на шкоду комусь? Совість? Закон? У світі комерційних зисків "совість” - це майже лайка. Без індивідуалізованого таргетингу будь-який рекламний проект приречений на провал. Ніхто не готовий ризикувати грошима. Дійсно, дешевше видається ризикнути приватністю власних клієнтів і сподіватися, що все минеться. А для того, щоб не минулося, й існує закон. Він захищає порушені права й запобігає їх ймовірним порушенням. Недарма система нормативно-правового регулювання пройшла такий довгий шлях становлення, постійно розвивалася і підлаштовувалася під вимоги, що їх ставило суспільство на різних етапах свого розвитку.
Інформаційна безпека - це, по-перше, одне із основних прав сучасного громадянина. Сьогодні воно покликане забезпечувати цілу низку інших особистих прав людини. По-друге, - це одна із функцій будь-якої сучасної держави (ст. 17 Конституції України: “Захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки є найважливішими функціями держави, справою всього Українського народу”).
На національному рівні в Україні сьогодні нормативно-правове забезпечення інформаційної безпеки закріплено в Конституції України, Законах України «Про основи національної безпеки України», «Про інформацію», «Про захист інформації в інформаційно-телекомунікаційних системах» та інших нормативно-правових актах.
Норми міжнародного права, якими регулюється інформаційна безпека, зафіксовані у документах ООН і ЮНЕСКО, у документах європейських міжнародних організацій:
ISO/IEC 27001:2013 - включає в себе вимоги до оцінки і обробки ризиків інформаційної безпеки з урахуванням потреб організації;
Control Objectives for Information and Related Technology - ІТ-стандарт, який містить ряд документів зі стандартами щодо оптимізації управління ІТ: аудитом ІТ та ІТ-безпекою.
Необхідність наднаціонального врегулювання питання охорони порушень у сфері обігу інформації і контролю за правомірним та добросовісним поширенням і використанням персональних даних (ПД) викликана очевидними і закономірними глобалізаційними процесами в різних сферах життєдіяльності людини. Нещодавно в Європі виникла ідея уніфікувати існуючі досі норми в сфері захисту ПД. В результаті був сформований новий документ, що ознаменував нову віху і структурно заповнив прогалини з цього питання. І ось, 25 травня 2018 року вступив в силу General Data Protection Regulation (GDPR). На всій території ЄС суб’єкти господарювання повинні були підвести до цього часу власну політику конфіденційності та принципи використання ПД до стандартів, вміщених в GDPR.
Загалом, структурно зі змісту Регламента можна виділити такі блоки:
Принципи обробки персональних даних;
Права суб’єктів;
Обов’язки контролера і процесора
Контролери зобов'язані вжити відповідних заходів для обробки персональних даних відповідно до Регламенту. Це включає в себе створення та реалізацію «політики захисту даних» та інших специфічних вимог.
Процесор повинен надавати контролеру відповідну технічну та організаційну підтримку, щоб обробка відповіла вимогам цього Регламенту та забезпечила захист прав суб'єкта даних. Між контролером і процесором має бути укладено окремий договір або угода, що відповідає конкретним вимогам);
Обов’язок повідомляти органи про порушення чи можливість їх настання;
Приначення особи, відповідальної за захист даних;
Передача персональних даних в інші країни.
Щодо останнього, то саме в контексті цього питання аналіз положень Регламенту є актуальним не лише для країн-членів ЄС та ЄЕП як прямих суб’єктів поширення дії норм положень GDPR, а й на похідних суб’єктів, що відповідно до змісту положень Регламенту підпадають під сферу його дії та зобов’язані вчиняти дії відповідно до його вимог. Такими вимогами є:
Згода - чіткі та позитивні дії з боку особи, щоб володіти та обробляти її персональні дані.
Право на доступ - фізична особа має право знати, які особисті дані у Вас є та що Ви робите з нею. За запитом Ви повинні надати звіт у формі електронної копії результатів використання даних.
Право на стирання - фізична особа має право вимагати видалення своїх персональних даних, якщо подальша обробка не є виправданою.
Вторинна передача даних - фізичні особи мають право вимагати від компаній передавати свої персональні дані іншій компанії.
Повідомлення про порушення - особам необхідно повідомити впродовж 72 годин про неправомірних дій, що стосуються їх персональних даних.
Конфіденційність як основа - захист даних має бути включений у розробку систем з самого початку, а закріплений за нею після введення її в роботу. До того ж, компанії можуть зберігати та обробляти лише дані, необхідні для виконання своїх обов'язків (мінімізація даних) і обмежити доступ до цих даних.
Офіцери захисту даних - великі компанії з обробки даних повинні наймати окремого співробітника - спеціаліста з захисту даних, який діє незалежно, щоб оцінити відповідність компанії положенням.
Повернімося до суб’єктної бази GDPR. Можна сказати, що вичерпного переліку сторін, що можуть виступати в якості суб’єктів в галузі обігу ПД, немає. Тож, будь-хто, хто підпадає під визначення суб’єкта відповідно до Регламенту, фактично зобов’язаний узгоджувати свою діяльність з його положеннями. Тому він і викликає зараз реальний інтерес і є предметом живого обговорення. Уявімо, що ви реалізуєте товари громадянам ЄС, або надаєте послуги через інтернет, і умовою доступу до Ваших послуг є реєстрація із подальшим заповненням умовної анкети. Або уявімо, що ваще господарство зареєстроване на території ЄС і приймає оплату власних послуг в євро. Вітаю, Ви стали суб’єктом дії GDPR. Займаєтеся таргетинговою рекламою? Комерційне дослідження ринку на предмет потенційних споживачів стало для Вас звичним методом пошуку шляхів збуту продукції? Ці та велика кількість інших умов можуть неочікувано підвести Вас під дотримання європейських стандартів обробки ПД і ведення бізнесу загалом.
Звичайно, можна й не звертати уваги на цей чужорідний і досить декларативний документ. Обирати Вам - вже проводять тренінги по підведенню бізнесу під стандарти GDPR (вдалий засіб зекономити час та кошти), також Ви самостійно вивчити всі положення Регламенту і консультувати колег, або ж залишити цю справу і продовжувати вести свою діяльність по напрацьованим методикам. Однак, останнє може вилитися в неприємну несподіванку.
Cтаття 83 Регламенту досить чітко визначає позицію щодо відшкодувань за порушення вимог обробки і зберігання ПД: “Порушення цих положень (основних принципів міжнародної передачі персональних даних) підлягають адміністративним штрафам до 20 000 000 євро, або у випадку підприємства, до 4% від загального світового річного обороту попереднього фінансового року, залежно від того, яка сума в кінцевому рахунку виявиться вищою”. За неотримання згоди неповнолітніх на обробку ПД (таку згоду за осіб молодше 13 років дають їх батьки чи опікуни), невжиття заходів для захисту даних або непризначення в межах ЄС так званого DPO (Data protection officer - громадянин ЄС, який повинен представляти вашу організацію в Євросоюзі і бути сполучною ланкою між бізнесом і наглядовими органами ЄС) - 10 млн євро або 2% від глобального обороту. Отож, знання - це сила, що допоможе заощадити Вам досить істотну суму, за яку, певно, варто поборотися.
Останнім важливим для зазначення пунктом є те, що всі вищезазначені “пункти-принципи” встановлюють конкретні вимоги, однак реальні засоби досягнення очікуваного результату чомусь залишають поза увагою. Очевидно, що дотримання тих чи інших стандартів роботи з ПД можуть мати абсолютно будь-яку можливу (головне - дієву і офіційну) форму вираження. В кінцевому рахунку стандарти GDPR будуть виконуватись на основі національного законодавства в сфері інформаційної безпеки. Актуальність цієї галузі законодавтсва в Україні - не предмет аналізу в межах цієї статті, однак логічним є, що невідповідність національного законодавства європейським стандартам в цьому конкретному випадку може сильно вдарити по чиїмось гаманцям. Інша проблема - пряме залучення органів виконавчої влади. Якщо рівень виконавчої влади не залучений або не підтримується на належному рівні, ваше дотримання вимог нормативно-правових актів щодо ВВП зрештою зіпсується, і ми повернемося до штрафів за недобросовісне ведення підприємницької діяльності. Звичайно, в Регламенті специфіковано ознаки правопорушень і враховуються наміри, тривалість, факт і обсяг нанесеної шкоди тощо, однак навряд комусь буде приємно розплачуватися з власної кишені за невиконання обов’язків представниками публічної влади.
Метою GDPR є захист фізичних осіб у зв'язку з обробкою їхніх персональних даних. Цей Регламент застосовується до тих, хто в межах ЄС/ЄЕЗ може зберігати такі дані, а також і до тих осіб, що знаходяться за межами ЄС/ЄЕЗ, які можуть пропонувати товари або послуги фізичним особам у цій сфері, або надсилати особисті дані організаціям в межах ЄС/ЄЕЗ, або надсилати особисті дані одержувачам в межах ЄС / ЄЕЗ. Сподіватимемося, що найближчим часом законодавче регулювання позбавить нас проблем охорони персональних даних та ефективно захистить нашу інформацію, а доти право на інформаційну безпеку покладено в більшій мірі саме на осіб, яких та чи інша інформація стосується і вимагає їх ініціативи й безпосередньої участі в убезпеченні приватного життя від неправомірних посягань на розкрадання чи неправомірне втручання в особисте життя.