GDPR та ІТ аутсорсинг. FAQ

Загальний регламент із захисту даних (General Data Protection Regulation/GDPR) вступив у силу вже понад рік тому. За цей час вийшло декілька нових роз’яснень, сформувалася ринкова практика, а європейські регулятори змужніли та почали сміливіше накладати штрафи. Саме час робити перші висновки.

У цій статті ми вирішили надати відповіді на п’ять найбільш поширених запитань щодо GDPR від аутсорсингових ІТ компаній України.

1. Ми – компанія-підрядник з України, тихенько розробляємо софт замовникам із Європи та нікого не чіпаємо. Чи поширюється на нас GDPR?

Насамперед, варто зазначити, що GDPR поширюється на більшість українських продуктових ІТ-компаній, що пропонують товари чи послуги на ринок Європейського Союзу. Однак питання співвідношення GDPR та аутсорсингових компаній є більш складним.

Як відомо, GDPR виділяє двох основних суб’єктів – контролера та обробника. Контролер визначає «як» і «для чого» будуть оброблятися персональні дані. Обробник, зі свого боку, лише здійснює обробку персональних даних від імені та за вказівками контролера. Розмежування цих статусів має важливе значення, оскільки GDPR передбачає для них різний обсяг зобов’язань.

У типовій моделі ІТ аутсорсингу замовник – компанія з Європи, а постачальник послуг – підрядник з України. За такої моделі європейська компанія здебільшого буде діяти як контролер даних. Українська компанія виступатиме обробником у розумінні GDPR за умови, що вона матиме доступ чи об’єктивну можливість отримати доступ до персональних даних, що обробляються замовником.

Якщо українська компанія використовуватиме персональні дані, що обробляються замовником з Європи, для своїх цілей або самостійно визначатиме засоби обробки таких даних, вона автоматично набуватиме статусу контролера й самостійно нестиме повну відповідальність за відповідність вимогам GDPR.

Більше інформації про сферу дії GDPR можна прочитати в нашій статті «Територія застосування GDPR».

2. Як контролюючі органи ЄС зможуть застосувати до нас штрафи, адже ми перебуваємо в Україні?

Питання примусового стягнення штрафів із компаній, що розміщені поза межами ЄС, є достатньо дискусійним. Юристи-міжнародники висувають декілька тез щодо того, як саме стягуватимуться штрафи в реальному житті:

• через укладання спеціальних чи внесення змін до чинних двосторонніх угод між ЄС та іншими державами, за якими неєвропейські держави визнаватимуть компетенцію європейських контролюючих органів (Data Protection Authority/DPA);
• шляхом звернення DPA до своїх національних судів для санкціонування рішень. У такому разі фактично відбудеться перетворення адміністративного акту DPA на судовий, що дозволить використати вже наявний та перевірений часом механізм міжнародного виконання судових рішень.

Яким саме шляхом піде європейська практика поки що не відомо, тому більшість компаній, що розміщені поза межами ЄС, зараз дотримуються «wait and see approach». Такий підхід є багато в чому невиправданим та створює додаткові ризики для ІТ бізнесу.

Розглянемо класичну модель ІТ аутсорсингу: ваш європейський замовник виступає контролером персональних даних, а ви надає послуги та маєте доступ до персональних даних його клієнтів, а, отже, дієте як обробник.

GDPR вимагає, щоб у такому разі європейський замовник обов’язково укладав із вами письмовий договір на обробку персональних даних або включав data processing clauses до аутсорс договору. У разі виявлення контролюючими органами ЄС факту порушення вимог GDPR і застосування штрафів до європейського замовника, він може самостійно звернутися до суду в порядку регресу та на підставі укладеного договору вимагати від вас відшкодувати частину понесених ним збитків.

Окрім того, не слід забувати і про «невидиму руку ринку», що не має кордонів та не обтяжена зайвою юридичною бюрократією. Як засвідчує практика, усе частіше наші українські клієнти починають отримувати листи від своїх європейських контрагентів із запитанням: «Are you GDPR compliant?». Для європейських компаній співпраця з постачальниками послуг, що не дотримуються вимог GDPR, – це суттєвий чинник ризику, оскільки в такому разі саме вони несуть основний тягар відповідальності. Як сказав би класик економічної теорії Адам Сміт: «Рыночек порешал» 🙂

Необхідність відповідати вимогам GDPR вже перетворюється виключно з обов’язку, що закріплений у законодавчому акті, на самостійну вимогу цивілізованого ринку, порушення якої несе не лише репутаційні ризики, а й може мати наслідком втрату партнерів та клієнтів із Європи.

3. Мій замовник із Європи надіслав опитувальник/questionnaire із питаннями щодо порядку обробки персональних даних. Навіщо цей опитувальник та що нам із ним робити?

Достатньо часто контрагенти з Європейського Союзу, що виступають контролерами персональних даних, не обмежуються лише одним запитанням, чи відповідаєте ви вимогам GDPR, а надсилають деталізований опитувальник. На практиці такий опитувальник може мати різні назви: Supplier Assessment Form, Supplier Assessment Tool, Processor Assessment Questionnaire та ін.

Справа в тому, що GDPR прямо вимагає, щоби контролер співпрацював лише з тими обробниками, які забезпечують належні гарантії безпеки персональних даних. На сьогодні опитувальник виступає найпоширенішим та найлегшим механізмом для оцінки того, чи дотримуються обробники вимог GDPR.

Контролер надсилає вам опитувальник, ви самостійно його заповнюєте, підписуєте та повертаєте назад. У разі виникнення в майбутньому небажаного інтересу зі сторони DPA до вашого європейського контрагента, такий опитувальник буде виступати доказом того, що він вжив належних заходів для перевірки своїх обробників на відповідність вимогам GDPR.

Якщо ж не відповідаєте вимогам GDPR – не варто прописувати іншого, адже після підписання опитувальник перетворюється на юридичний документ, що може бути використаний як доказ у разі виникнення будь-яких спорів у майбутньому.

У разі отримання опитувальника оптимальним варіантом буде консультація з юристом у сфері захисту персональних даних, який проаналізує список запитань, ваші бізнес-процеси та надасть рекомендації щодо заповнення.

4. Наш європейський контрагент попросив підписати Data Processing Agreement. Що це таке?

Як ми вже частково зазначали вище, якщо ваш європейський контрагент виступає контролером даних, то GDPR покладає на нього обов’язок укласти письмові договори з усіма обробниками. На практиці можливі два варіанти розвитку подій:

• умови про особливості обробки персональних даних (data protection clauses) будуть включені до аутсорс договору про надання послуг;
• укладання окремого Data Processing Agreement.

Data Processing Agreement – це договір, що укладається між двома контролерами, контролером та обробником, обробником та субобробником, і регулює особливості обробки персональних даних. Зазвичай, такий договір визначає предмет і тривалість обробки, характер та цілі обробки, категорії персональних даних та суб’єктів персональних даних, а також права та обов’язки сторін.

Для Data Processing Agreement, що укладається між контролером та обробником, GDPR передбачає перелік обов’язкових положень, що повинні бути включені до нього. Зокрема GDPR передбачено такі зобов’язання:

• обробка персональних даних повинна здійснюватися виключно на підставі письмових вказівок контролера;
• гарантії конфіденційності;
• вжиття належних заходів безпеки;
• право залучати субпідряників (субобробників) лише на підставі попереднього письмового дозволу контролера;
• обов’язок видалити чи повернути персональні дані після закінчення строку надання послуг;
• обов’язок надання контролеру допомоги та інформації для забезпечення відповідності вимогам GDPR.

Щодо українських компаній наявна певна специфіка, яку слід враховувати. Відповідно до рішення Європейської комісії Україна не належить до держав, що забезпечують належний рівень захисту персональних даних, а це означає, що ваш європейських контрагент може залучати українську компанію до обробки персональних даних лише в разі дотримання спеціальних умов, передбачених GDPR.

Однією з таких умов є укладання між вами та європейським контролером типового Data Processing Agreement, умови якого затверджені Європейською Комісією. «Пом’якшувати» умови типового договору заборонено.

Тому якщо ваш контрагент не готовий йти на поступки та «пом’якшувати» формулювання Data Processing Agreement – цілком можливо, що він використовує standard contractual clauses, у такому разі його поведінка цілком виправдана.

5. Ми вже відповідаємо вимогам GDPR (так, ми круті), але вирішили передати частину наших процесів на аутсорс. На що нам варто звернути увагу?

Достатньо поширеною практикою є ситуація, коли українська ІТ аутсорсингова компанія залучає субпідрядників. Постачальниками послуг у такому разі можуть виступати як юридичні особи, так і фізичні особи-підприємці.

Якщо субпідрядники матимуть доступ до персональних даних клієнтів вашого кінцевого замовника з Європи, то вони будуть визнаватися субобробниками в розумінні GDPR. У такому разі ви як обробник персональних даних повинні враховувати такі особливості:

• європейський замовник повинен попередньо надати вам у письмовому вигляді (зазвичай, це прописується в договорі) право залучати субпідрядників;
• ви зобов’язані укласти з таким субпідрядником Data Processing Agreement або включити data processing clauses до договору субпідряду. Водночас умови договору субпідряду повинні передбачати такий самий обсяг зобов’язань щодо обробки персональних даних, що й договір, укладений між європейським замовником та вами особисто;
• вже в процесі надання послуг ви повинні попередньо попереджувати європейського замовника про необхідність будь-яких змін у складі субобробників;
• ви як основний обробник залишаєтесь відповідальним перед замовником із Європи за порушення, що можуть бути вчинені залученими субобробниками.

Висновок

Одним із найважливіших нововведень GDPR є поширення сфери його дії не лише на контролерів, а й на обробників персональних даних. У контексті відносин ІТ аутсорсингу постачальники послуг підпадають під дію GDPR здебільшого саме як обробники персональних даних. Забезпечення відповідності обробників вимогам GDPR має суттєву специфіку у порівнянні з контролерами, яку слід обов’язково враховувати вашому бізнесу.