GDPR compliance в 2022. Чеклист
Більшість компаній, що працюють з даними користувачів, вже давно замислилась щодо приведення своїх бізнес-процесів у відповідність до норм General Data Protection Regulation (Загальний Регламент про захист персональних даних або GDPR). Про базовий підхід до GDPR комплаєнсу можна дізнатися з нашої попередньої статті на цю тему: застосування GDPR до компанії, міжнародна передача даних, обробка чутливих даних, підготовка внутрішніх політик компанії, проведення Data Protection Impact Assessment, призначення Data Protection Officer тощо. У цій же статті, ми розглянемо особливості GDPR-compliance, які з’являться (або можуть з’явитися) у наступаючому 2022 році або трохи пізніше ?
Запити суб’єктів даних.
Нагадаємо, що суб’єкти даних (тобто ті, чиї персональні дані обробляються) за GDPR мають низку прав:
- Право на доступ до даних (right of access)
- Право на виправлення даних (right to rectification)
- Право на стирання, також відоме як “право бути забутим” (right to erasure / “right to be forgotten”)
- Право на обмеження опрацювання (right to restriction of processing)
- Право на мобільність даних (right to data portability)
- Право на заперечення (right to object)
- Право бути вільним від автоматизованого індивідуального вироблення й ухвалення рішень, у тому числі, від профайлінгу (the right not to be subject to a decision based solely on automated processing, including profiling).
Більшість з цих прав можуть бути реалізовані завдяки запиту суб’єкта даних, так званому data subject request. Суб’єкти даних можуть надсилати запити усно або письмово, у тому числі через соціальні мережі.
Що потрібно знати?
- У більшості випадків ви не можете стягувати плату за обробку запиту.
- Ви повинні відповісти негайно та протягом одного місяця з моменту отримання запиту.
- Ви можете продовжити цей строк ще на два місяці, якщо запит складний або якщо ви отримуєте ряд запитів від особи.
- Вам слід провести розумний пошук запитуваної інформації.
- Ви повинні надати інформацію у доступному, стислому та зрозумілому форматі.
Приклад з практики: Клієнту надійшов запит від користувача щодо того, що його емейл використовувався рекламною компанією для маркетингу та було вказано, що саме компанія Клієнта надала таку інформацію. Користувач написав на пошту та запитав, звідки ви взяли таку інформацію, попросив видалити та не використовувати її в жодних цілях. Таке трапляється часто та вже достатня кількість європейських користувачів є обізнаними щодо своїх прав та вміють їх захищати.
Саме тому, на запити потрібно вміти правильно реагувати: не розповісти зайвого, не розлютити користувача та діяти відповідно до закону. Зважаючи на це, ваші працівники повинні знати, як саме діяти у випадку отримання запиту, та кому їх потрібно передавати.
Сама відповідь на запит повинна розкривати ті питання, що запитує суб’єкт даних. Проте, необхідно розуміти, що саме може запитувати користувач у кожному конкретному випадку. Нерідко трапляється, що суб’єкт даних вимагає вчинити дії, що не передбачені законодавством.
Автоматичне прийняття рішень та профайлінг (алгоритми)
Як вже було зазначено раніше, кожен суб’єкт даних має право бути вільним від прийняття автоматичних рішень щодо нього, в тому числі від профайлінгу. Такі практики можуть мати місце лише у виняткових випадках:
- якщо суб’єкт даних надав свою згоду на це;
- якщо це необхідно для укладання договору, або;
- якщо це дозволено законодавством ЄС або держави-члена, якому підпорядковується контролер.
Чому це важливо? Перш за все, за це вже почали штрафувати та, беручи до уваги тенденції щодо штрафів, контролюючі органи будуть лише продовжувати накладати санкції на порушників.
Кейс: Foodinho, дочірня компанія Glovo, була оштрафована на 2.6 мільйони євро італійським регулятором за те, що збирала дані кур’єрів та на їхній основі автоматично виставляла пріоритетність кур’єрів в отриманні нових замовлень. Більш того, компанія не повідомляла кур’єрів щодо того, як саме виносяться рішення. Тобто, вони не могли знати, як саме їхня поведінка впливає на їхній пріоритет.
Контролюючий орган наказав Foodinho перевірити точність та відповідність даних, які використовує їхня система, а саме:
- чати,
- емейли
- телефонні дзвінки між кур’єрами та службою підтримки клієнтів,
- геолокацію з 15-секундними інтервалами,
- відображення маршрутів,
- приблизний та фактичний час доставки,
- поточні та минулі замовлення,
- відгуки клієнтів і партнерів,
- рівень заряду акумулятора пристрою тощо.
Така перевірка повинна забезпечити зниження ризиків, що пов’язані із системою рейтингів, яка ґрунтується на застосуванні математичної формули, що передбачає штрафи для тих кур’єрів, які не приймають замовлення негайно або відхиляють замовлення, в той час як кур’єри, які приймають замовлення за розкладом та успішно доставляють більшість замовлень, мають пріоритет. Компанія повинна буде передбачити відповідні заходи щодо запобігання дискримінації при використанні автоматичних рейтингових механізмів.
Питання алгоритмів є дуже актуальним в гіг-економіці, адже більшість застосунків використовують подібні системи (Uber, Bolt Food), тому якщо ваш проект якимось чином пов’язаний зі згаданою проблематикою, ви повинні звернути додаткову увагу на ці вимоги. Алгоритми можуть стосуватися навіть персоналізації контенту чи реклами. Гарною практикою буде вказувати, чому саме користувачу надходить той чи інший пост чи реклама. Такі дані вже почав надавати Instagram, показуючи обставини, що вплинули на персоналізацію появи посту в стрічці:
- чи підписаний користувач на сторінку;
- наскільки давно користувач підписаний, якщо так;
- чи подобаються користувачу пости цієї сторінки більш ніж пости в середньому;
- наскільки новий цей пост.
E-privacy Regulation
Цей Регламент мав вступити в дію ще у 2018 році разом з GDPR, проте він і досі не набув чинності. Хоча сам Регламент досі фіналізують і погоджують, деякі країни ЄС і Європейської економічної зони вже випустили власні гайдлайни щодо використання cookie. Найважливішим аспектом цього Регламенту є нові правила щодо регулювання використання файлів cookie.
Що заборонено?
- Використання cookie-walls – тобто надання доступу до контенту чи послуг тільки після отримання згоди на використання файлів cookie від користувача. На думку Регламенту, така згода не може вважатися “freely given”(вільно наданою), адже користувач піддається впливу – він або погоджується, або взагалі не може використовувати сайт.
- Використовувати файли cookies без згоди користувача. Це можна буде робити лише у виняткових випадках, наприклад, задля верифікації особи при оплаті товарів чи послуг за допомогою сервісу. Важливо, що усі third-party наприклад, ті, що використовуються GoogleAds; або пікселі Facebook – не зможуть відслідковувати користувача без його згоди.
Зауважте, що Регламент може вважатися lex specialis щодо GDPR та мати перевагу над GDPR у разі конфлікту норм (тим не менш, практика ЄС свідчить, що ці два документи мають бути комплементарними і взаємодоповнюваними – наприклад, щодо форми і змісту згоди на обробку даних). Також, система штрафів за Регламентом – аналогічна до системи штрафів за GDPR, тому ставитись до цих норм потрібно відповідально.
Гарна новина, що Регламент не набуде чинності раніше 2023 року. Також, буде діяти перехідний період , який дасть змогу компаніям підготуватися до змін у законодавстві (24 місяці), а отже повноцінно вступити в силу регламент зможе лише приблизно у 2025 році.
New AI Regulation
Європейська Комісія у квітні 2021 року опублікувала Proposal щодо регулювання та гармонізації законодавчих актів ЄС стосовно використання технологій штучного інтелекту. Ні для кого не секрет, що штучний інтелект – це революційна технологія, яка вже діє в багатьох сферах та спрощує життя людей. Проте, на жаль, існують певні труднощі з використанням таких технологій.
Що пропонується?
Перш за все, законотворці пропонують поділити системи зі штучним інтелектом на три види:
Що далі? Системи, що належать до категорії неприйнятного ризику, будуть надалі заборонені на території ЄС.
Як наразі пропонується, системи високого ризику повинні будуть відповідати ряду вимог, а саме: за ними буде діяти людський нагляд; висуваються додаткові вимоги щодо прозорості, інформаційної безпеки, управління ризиками, якості даних, моніторингу та звітності.
До систем з мінімальним ризиком висуваються значно менші вимоги, насамперед у формі зобов’язань щодо прозорості, а саме інформування користувачів про те, що вони взаємодіють з технологією штучного інтелекту. Це потрібно для того, щоб користувачі могли прийняти обґрунтоване рішення про продовження користування певним сервісом чи застосунком, лише зрозумівши, як саме функціонує система, що використовується.
Як готуватися? Відмічаємо, що поки що невідомо коли та у якій юридичній силі (регламент, директива тощо) цей Proposal вступить в дію. Проте, важливо пам’ятати, що після вступу в силу, цей закон буде мати екстратериторіальну дію, та застосовуватись навіть на компанії поза межами ЄС, які використовують системи зі штучним інтелектом на території ЄС чи спрямовують їх на Європейський ринок.
Головна рекомендація – створення комплексної програми управління ризиками, що пов’язані зі штучним інтелектом. Програма повинна включати перегляд всіх систем штучного інтелекту, які використовуються в організації, систему класифікації ризиків, заходи щодо зменшення ризиків, незалежні аудити, процеси управління даними та структуру управління систем зі штучним інтелектом. Гарною ідеєю буде розробити стратегію визначення пріоритетів ролі штучного інтелекту в організації; чітку структури звітності, яка дозволить проводити багаторазові перевірки системи штучного інтелекту перед їхнім запуском; і, оскільки багато систем штучного інтелекту обробляють конфіденційні персональні дані, треба звернути увагу на надійні протоколи управління ризиками щодо конфіденційності даних та на інформаційну безпеку загалом.
Які штрафи? Великі. Дуже великі. Максимальний розмір може сягати 30 мільйонів євро або 6% від світового оборот компанії, в залежності від того, що більше. Тому краще не зволікати та бути готовими до нового законодавчого регулювання, якщо у своїй бізнес-діяльності ви використовуєте системи штучного інтелекту.
Standard Contractual Clauses Deadline: 27 грудня 2022
Нагадаємо, що передача даних всередині Європейського Союзу відбувається без обмежень (окрім вимог національних законів). Аналогічний режим діє щодо передачі в країни щодо яких є adequacy decision, що видається Європейською Комісією та зазначає, що третя країна (країна поза межами ЄЕЗ) надає адекватний рівень захисту персональних даних та такий рівень еквівалентний рівню країн ЄС.
Передача ж даних в треті країни (США, наприклад, також в них входить) відбувається за виконання певних зобов’язань. Частіше за все передача даних в треті країни виконується на підставі договору з наявними Standard Contractual Clauses (стандартні договірні положення). Що це таке? Це положення, які можуть міститися у Data Processing Agreement (Угода про обробку персональних даних), і регулюють основні права та обов’язки сторін DPA (імпортера та експортера даних). Вважається, що такі положення забезпечують необхідний рівень захисту персональних даних та зберігають баланс сторін договору.
Нові SCC були затверджені Європейською комісією та набули чинності 27 червня 2021 року. Їх є два типи:
- Стандартні умови передачі даних у межах Союзу;
- Стандартні умови міжнародної передачі даних (в треті країни).
Отже, коли дані передаються за межі ЄС, вам може знадобитися включити SCC у свою угоду. У яких випадках SCC не може бути включено до DPA? Якщо дані передаються в країни:
- що належні до Європейської економічної зони або Європейського Союзу;
- до яких є adequacy decision.
У будь-якому випадку, навіть під час передачі, яка відбувається всередині ЄЕЗ, добре використовувати SCC для забезпечення безпеки персональних даних.
Що важливо: США, Україна вважаються третіми країнами в контексті GDPR. Передача даних має відбуватися лише за наявності необхідних гарантій, наприклад підписаних SCC (реалізованих у DPA).
Проте, навіть договору з наявними SCC зараз вже буде недостатньо після рішення Shrems II. Зараз необхідно проаналізувати законодавство третьої країни, зокрема проведення Transfer Impact Assessment, що повинно визначити:
- Рівень захисту персональних даних, передбачений законодавством;
- Наявність ефективного контролюючого органу;
- Участь у міжнародних організаціях;
- Пропорційність урядового втручання.
Важливою датою для компаній у 2022 році буде 27 грудня. Це останній термін, який визначив ЄС, коли всі старі договори, що опирались на SCC, мають бути адаптовані до нових SCC. Отже, компанії, які передають дані на основі старих договорів, повинні мати план повного переходу на нові в 2022 році, якщо вони ще цього не зробили.
“Whistleblower Directive”
“Whistleblower Directive” (Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law) вже вступила в силу доволі давно – 16 грудня 2019 року. Країни ЄС мали два роки, щоб імплементувати цю Директиву, тобто до 17 грудня 2021 року. Чому це нас цікавить в контексті комплаенсу з GDPR?
Whisteblower з англійської перекладається як викривач. Директива встановлює необхідність захисту викривачів, тобто тих, хто повідомляє про незаконну діяльність інших осіб чи компаній. Викривачами можуть бути не тільки дійсні працівники компанії, а й колишні працівники та ті, хто подається на певну посаду, а також журналісти. Такі особи повинні бути вільними від звільнення, приниження та інших форм дискримінації, адже, звісно, вони можуть знаходитись в зоні ризику після того, як повідомили про порушення з боку, умовно, свого роботодавця.
Що потрібно знати компаніям?
- Компанії з кількістю працівників понад 250 осіб мають створити відповідні внутрішні канали звітності до грудня 2021 року;
-
Компанії від 50 до 249 осіб – до грудня 2023.
Що за канали звітності?
Кожен, хто бажає повідомити про певне порушення з боку компанії, повинен мати змогу подати таке повідомлення в зручний спосіб, за допомогою, наприклад:
- онлайн-системи, що була розроблена для цього;
- по пошті, або;
- усно.
Прийняття цієї Директиви наштовхує на думки про те, що за дотриманням правил щодо тієї ж обробки персональних даних буде слідкувати більше осіб. Саме тому – це гарний привід ще раз перевірити внутрішні документи компанії (Data Processing Agreement, Data Protection Impact Assessment, Information Security Policy) та оновити їх, у випадку необхідності, з чим ми вам зможемо допомогти ?
Не забувайте слідкувати за тенденціями розвитку Європейського законодавства в сфері захисту персональних даних – воно часто зазнає зміни на які потрібно вміти швидко реагувати. Ми часто освітлюємо важливі новинки у відповідних аналітичних статтях на сайті та на нашому ютуб каналі за допомогою вебінарів, тому слідкуйте за оновленнями!