Ежедневно каждый из нас пользуется интернетом – мы проверяем почту и новости, заходим в социальные сети, скачиваем приложения на смартфон, пользуемся услугами такси, онлайн-банкинга, заказываем пиццу и отправляем посылки по почте. Сейчас каждое из этих действий предусматривает персонализацию – нужно указать свои данные или дать доступ к данным из своих социальных сетей.

Все привыкли бездумно ставить галочку в графе "Согласие на обработку персональных данных", а потом удивляться: "Кто и на каких основаниях дает мой номер рекламным службам?". И это лишь наименьшие проблемы. В 2017 году утечка персональных данных произошла в крупнейшем банке Украины, а в 2018-м – в самой популярной в мире социальной сети, самой распространенной службе такси и самом крупном сервисе доставки в Украине. 

Эта проблема актуальна и для ЕС. Однако Европейский парламент изменил правила игры.

27 апреля 2016 года Европарламент принял General Data Protection Regulation (GDPR). А 25 мая нынешнего года Общий регламент Европейского Союза о защите данных (Регламент) вступил в силу.

Что принял ЕС?

Регламент – обязательный документ, в нем закреплены юридические обязательства и финансовая ответственность за его нарушение. Регламент содержит четкие требования касательно отчетности, переносимости данных (data portability), немедленного оповещения об утечке персональных данных.

Понятие "персональные данные" включает любую информацию, которая касается физических лиц. Соответственно, такие данные могут включать имя, фотографии, электронный адрес, сведения о банковских счетах, IP-адрес и даже публикации в социальных сетях.

В рамках персональных данных выделяют особую категорию – чувствительные данные, так называемые "sensitive personal data", которые включают биометрические данные, расовую, религиозную, этническую принадлежность, философские взгляды, участие в некоммерческих организациях, данные о здоровье. С целью охраны таких данных устанавливаются более строгие правила сбора и обработки информации.

Регламентом вводится так называемое "Право на забвение", согласно которому, по требованию субъекта персональных данных, компания обязана прекратить использовать и удалить его данные. Приоритетное требование Регламента, которое резюмирует все нововведения – это максимальная прозрачность процесса сбора и обработки персональных данных, а также обеспечение надежной защиты таких данных.

Регламент распространяется на так называемых "контролеров" и "процессоров". Контролеры – это все, кто собирает персональные данные: банки, социальные сети, интернет-магазины, онлайн-сервисы покупки билетов, информационные ресурсы, которые предполагают регистрацию пользователей... А процессоры – это сервисы, которые контролеры используют для хранения, сортировки, перевода данных в цифровой вид: облачный сервис, сервис автоматической рассылки электронной почты или смс-сообщений, программное обеспечение для сортировки информации.

На кого это повлияет в Украине?

Помимо европейских компаний, Регламент также может применяться к иностранным компаниям, в том числе к украинским. Компания, которая использует персональные данные физических лиц, должна осуществлять деятельность в соответствии с Регламентом, если: компания основана и зарегистрирована в ЕС; либо же территориально расположена в ЕС; либо ее деятельность связана с предложением товаров или услуг европейцам или с мониторингом их поведения.

Как понять, соответствует ли компания третьему критерию? Об этом может свидетельствовать наличие сайта на английском языке (или любом другом языке европейских государств), продажа товаров в интернет-магазинах, покупку в которых может совершить европеец, продажа приложений для смартфонов и т.д.

Проанализировав данные критерии, возможно определить, какие украинские компании уже сегодня должны действовать в соответствии с Регламентом.

К данной категории относятся дочерние компании европейских организаций; компании, филиалы которых находятся в ЕС и поставляют товары или услуги европейским потребителям; IT-компании, разработчики программного обеспечения, мобильных приложений, программ; интернет-магазины; финансовые учреждения; нефтегазовые компании; фармацевтические компании; компании киноиндустрии; компании, которые проводят регистрацию пользователей веб-ресурсов, то есть обрабатывают большое количество персональных данных; авиакомпании; компании, чья деятельность связана с трудоустройством в ЕС; и наконец - компании, которые используют на веб-сайтах так называемые "cookies" - с целью аутентификации пользователя и мониторинга его действий.

Что для украинских компаний означает попадание под действие регламента ЕС?

Теперь к этим компаниям могут предьявляться иски компенсации материального или морального ущерба, нанесённого в связи с нарушением положений Регламента. Нарушение прав субъектов персональных данных влечёт за собой штраф в размере до 20 млн евро или до 4% годового оборота за предыдущий финансовый год.

Кроме того, судебные споры в сфере защиты персональных данных могут возникать не только в результате невыполнения требований Регламента, но и в связи с расширением прав физических лиц на защиту персональных данных.

Более того, согласно требованиям Регламента, компания должна в обязательном порядке немедленно оповещать о любой утечке информации, которая включает персональные данные. Оповещение об утечке информации может принести значительный ущерб репутации компании.

В связи с этим компании, которые подвержены риску, должны точно определить, охватывают ли требования Регламента их деятельность, и немедленно принять меры по имплементации новых внутренних политик обработки персональных данных. "Контролерам" и "процессорам" персональных данных в Украине следует отнестись к этим изменениям внимательно, в силу существования значительных финансовых рисков для бизнеса.

Материал написан в соавторстве с Олегом Котляром, юристом практики налогового и таможенного права INTEGRITES

Публикации в рубрике "Экспертное мнение" не являются редакционными статьями и отражают исключительно точку зрения автора