GDPR українською мовою: ключові положення та поради
Хочемо ми цього чи ні, але персональні дані – це не лише цінний актив, а й велика відповідальність для бізнесу. Безвідповідальне використання персональних даних створює серйозні загрози для фундаментальних прав і безпеки людини. Європейська спільнота це гостро усвідомлює і встановлює жорсткі правила, комплаєнс з якими наразі є обов’язковою умовою для успішного функціонування будь-якого бізнесу.
General Data Protection Regulation – це
регламент Європейського Союзу, спрямований на захист персональних даних громадян ЄС та встановлення чітких правил їх збору, обробки й зберігання компаніями. Він визначає базові принципи роботи з персональними даними, вимоги до отримання згоди користувачів, перелік їхніх прав, а також обов’язки бізнесу й контрольних органів у цій сфері.
GDPR має екстериторіальну дію, а отже поширюється на всі компанії, які мають на меті обробляти персональні дані резидентів ЄС, навіть якщо така компанія безпосередньо не розташована на території ЄС.
Зосередьмося на ключових положеннях Регламенту.
1. Персональні дані – це більше, ніж здається
Згідно з GDPR, персональні дані – це будь-яка інформація, що стосується ідентифікованої фізичної особи, або такої фізичної особи, яку можливо ідентифікувати. Такий підхід виходить далеко за межі очевидних ідентифікаторів, на зразок імені, місця проживання чи номера телефону. До персональних даних також належать IP-адреси, cookie-файли, біометричні та медичні відомості, онлайн-ідентифікатори, а інколи й поєднання на перший погляд нейтральної інформації, яке дає змогу ідентифікувати конкретну особу серед інших.
На практиці найбільше труднощів виникає, коли справа доходить до роботи з даними стосовно стану здоров’я, біометричними та генетичним даними. Зокрема такі види даних часто використовуються фітнес-застосунками, онлайн-банкінгами, стартапами, що будують генеалогічні дерева або ж медичними платформами та застосунками для віддаленого моніторингу здоров’я.
Дані стосовно стану здоров’я за GDPR – це дані, які стосуються стану фізичного чи психічного стану здоров’я особи, у тому числі надання медичних послуг, що відображають її стан здоров’я. Наприклад, до таких даних відноситься інформація про лікування пацієнта, призначені апарати, діагнози тощо.
Біометричні дані – дані, отримані в результаті специфічної технічної обробки, що стосується фізичних, фізіологічних чи поведінкових характеристик фізичної особи, які дозволяють або підтверджують унікальну ідентифікацію цієї фізичної особи, наприклад, зображення обличчя або дактилоскопічні дані (відбитки пальців).
Генетичні дані – дані, що стосуються вроджених або набутих генетичних ознак фізичної особи, надають унікальну інформацію про фізіологію чи здоров’я такої фізичної особи та такі, що отримані, зокрема, в результаті аналізу біологічної проби, взятої у відповідної фізичної особи. Наприклад, до них відносять ДНК, РНК, хромосомних аналіз.
Цей перелік та критерії віднесення даних до певних категорій, на перший погляд, є очевидним, але насправді існують випадки, коли віднесення даних до тієї чи іншої категорії може викликати значні сумніви.
Уявімо ситуацію: Рентгенівський знімок жінки було опубліковано в науковому журналі разом із її ім’ям, яке було дуже незвичним. Поєднання цього імені з інформацією, відомою родичам або знайомим про те, що вона страждає на певне захворювання, робило жінку впізнаваною для деяких осіб, і такий рентгенівський знімок слід вважати персональними даними.
У результаті нейропсихіатричного тесту дитини в рамках судового розгляду щодо її опіки було подано її малюнок, що зображує сім’ю. Малюнок дає інформацію про настрій дівчинки та її ставлення до різних членів родини. Саме тому його можна вважати персональними даними в цьому контексті.
Можна зробити висновок, що визначальним є не лише зміст даних, а й їхня здатність потенційно розкривати інформацію про людину в конкретному контексті.
Більше про роботу з медичними даними читайте: Медичні персональні дані за GDPR: розбираємо датасети.
2. Хто відповідальний за дані?
Для того, щоб дати відповідь на дане питання, необхідно спершу розібратися з такими термінами за GDPR як “контролер”, “процесор” та “Data Protection Officer”.
Ключова різниця між контролером та процесором полягає у праві визначати фінальну мету обробки: якщо організація самостійно встановлює цілі та обирає інструменти для роботи з персональними даними, вона виступає контролером, якщо ж компанія лише виконує технічні операції за вказівкою та в інтересах іншої сторони, вона є процесором.
Щодо Data Protection Officer (DPO) – то GDPR не надає визначення такої особи і так само не встановлює конкретних вимог для зайняття даної посади, проте виходячи з низки публікацій на цю тему та системного аналізу норм GDPR, можна зробити висновок, що DPO – це співробітник з захисту персональних даних, який управляє процесами обробки даних користувачі та контролює дотримання вимог GDPR компанією.
Хто ж з них нестиме відповідальність у разі порушення?
Спершу може скластися враження, що відповідальність нестиме DPO, проте виходячи з формулювання обов’язків у ст. 24 (1) GDPR відповідальність в більшості випадків нестиме все ж контролер: “Зважаючи на специфіку, обсяг, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, контролер повинен вжити необхідних технічних і організаційних заходів для того, щоб гарантувати та бути здатним довести, що опрацювання здійснюють згідно з цим Регламентом”.
Як наслідок, організація, від імені якої здійснювався збір даних, несе першочергову відповідальність за їхню безпеку, навіть якщо збій стався з вини підрядника або через бездіяльність DPO. Навіть довівши факт порушення партнером наданих інструкцій, компанія не звільняється від санкцій автоматично: вона може бути притягнута до спільної відповідальності або покарана, наприклад, за неналежний аудит технічних спроможностей підрядника перед укладанням договору або ж значний рівень недбалості (наприклад, якщо компанія призначила DPO, який обіймає одразу декілька посад в компанії, що унеможливлює належне виконання ним своїх функцій). Саме тому критично важливо ретельно обирати надійних виконавців, зокрема зовнішніх DPO, оскільки юридичні ризики за помилки в управлінні даними залишаються на стороні замовника.
3. Основні правила роботи з персональними даними
Узагальнюючі вимоги GDPR до обробки персональних даних можна звести до наступних:
По-перше, обробка даних має базуватися на конкретній підставі. GDPR у ст. 6 (1) дає вичерпний перелік підстав для здійснення законної обробки персональних даних. Відповідно кожна обробка має базуватися на одній з перелічених у GDPR підстав (важливо врахувати, що для кожної конкретної обробки може бути лише одна підстава, інакше існує ризик заміни однієї підстави іншою, що порушує принцип цільового обмеження та загалом підриває законність обробки).
По-друге, обробка даних повинна мати визначену мету. Наприклад, для ведення кадрового обліку, надання послуг, маркетингових розсилок тощо.Така мета для кожної з категорії даних повинна зазначитися в політиці приватності компанії, а подальша обробка здійснюватися лише для визначених цілей.
По-третє, кількість даних, які збираються, має бути суворо обмеженою цілями обробки. Це означає, що компанія не повинна збирати більше даних, ніж це об’єктивно потрібно для реалізації цілей обробки. Наприклад, для оформлення замовлення в онлайн-магазині достатньо імені, адреси доставки та способу оплати. Збирати при цьому дані про вподобання користувача в кольорах чи брендах, історію переглядів товарів, які він ніколи не купував, або місцезнаходження поза часом покупки – це зайве.
По-четверте, дані не мають зберігатися довше, ніж це потрібно для заявлених цілей. Термін зберігання під кожну категорію даних теж краще зазначати в політиці приватності.
По-п’яте, необхідно забезпечити точність персональних даних і, за потреби, своєчасно їх оновлювати, зокрема за запитом суб’єкта даних, усі відповідні заходи компанії повинні гарантувати, що неточні дані будуть виправлені або видалені без зволікання відповідно до цілей їх обробки.
По-шосте, обробка персональних даних повинна здійснюватися таким чином, щоб гарантувати їх належний захист, зокрема від несанкціонованого або незаконного використання, випадкової втрати, знищення чи шкоди, із застосуванням відповідних технічних та організаційних заходів. Наприклад, псевдонімізація та шифрування, анонімізація даних.
По-сьоме, обробка персональних даних повинна здійснюватися в межах дозволеного законом без порушення прав людини, і людина має чітко розуміти, які її дані збираються, для чого і як використовуються.
По-восьме, контролер повинен мати змогу довести відповідність принципам обробки даних, а для цього йому потрібно документувати усі процеси обробки персональних даних, а також повідомляти наглядові органи у сфері захисту персональних даних про інциденти, пов’язані із забезпеченням безпеки персональних даних.
4. Особа є власником своїх даних і має право ними керувати
GDPR значно розширює права суб’єкта даних, акцентуючи увагу на ролі суб’єкта даних та його контролі над персональною інформацією. Людина є центром обробки даних, а контролер має забезпечувати їй можливість впливати на використання своїх даних.
Суб’єкт даних має такі права за GDPR.
| Стаття GDPR | Яке право закріплює | Що передбачає |
| 13,14 | Право бути поінформованим (right to be informed) | Суб’єкт даних має право знати, як обробляються його персональні дані, кому вони можуть передаватися, на яких правових підставах відбувається обробка, а також отримувати іншу інформацію, передбачену законом |
| 15 | Право на доступ (right of access) | Суб’єкт даних має право отримати доступ до своїх персональних даних, копію інформації, що зберігається у контролера, а також інші передбачені законом відомості |
| 16 | Право на зміну даних (right to rectification) | Суб’єкт даних має право виправляти недостовірну інформацію про себе та доповнювати дані, якщо вони є неповними. |
| 17 | Право на видалення даних (right to erasure) | Суб’єкту даних надана мож-ливість зробити запит, щоб його або її дані були видалені. Це право не є абсолютним і може обмежуватись. |
| 18 | Право на обмеження обробки (right to restriction ofprocessing) | Суб’єкт даних може запросити контролера даних припинити здійснювати обробку персональних даних. Обмежити обробку можна за допомогою тимчасового переміщення даних до іншої системи обробки, зробити вибрані дані недоступними для користувачів або тимчасово видалити опубліковані дані з вебсайту. |
| 20 | Право на перенесення даних (right to data portability) | Дозволяє суб’єктам даних отримати та повторно використати ті ж самі дані (наприклад, інформація зі смарт-девайсів) для власних цілей на інших сервісах. |
| 21 | Право на заперечення (right to object) | Суб’єкт даних має право заперечувати проти обробки його персональної інформації, якщо вона здійснюється на основі виконання публічного завдання або законного інтересу контролера. |
| 22 | Права, пов’язані з автоматизованим прийняттям рішень, зокрема профілюванням (rights related to automated decision making including profiling) | Суб’єкт даних має право не бути об’єктом рішень, що ухвалюються виключно за допомогою автоматизованої обробки (включно з профайлінгом) і які мають юридичні наслідки для особи, наприклад при наданні кредиту. |
Суб’єкт даних може реалізувати свої права шляхом подання запиту до контролера, причому шляхом подання одного запиту суб’єкт може реалізувати одразу декілька своїх прав.
Практичні поради замість висновку
- Створіть команду. Команда – це те, з чого починається будь-який продукт і те, що надає йому сенсу. Важливо чітко визначити, хто в компанії нестиме відповідальність за напрямок персональних даних або ж залучити таких спеціалістів на аутсорсі. Якщо є обов’язок призначати DPO – виконуємо, немає обов’язку і маєте відносно великий обсяг даних в обробці – все одно краще призначити.
- Визначте свою роль: ви процесор, контролер чи третя особа? В залежності від відповіді, обсяг і природа ваших обов’язків кардинально змінюється.
- Нонстоп навчання і тренінги. Світ персональних даних є дуже динамічним і подекуди заплутаним, а більшість суб’єктів, які працюють з даними, не мають юридичної освіти. Навчання і тренінги покликані надати базавий мінімум знань та підготовки для розуміння того, як влаштований процес захисту даних і на що треба звертати увагу.
- Приділяйте увагу міжнародним стандартам. Наприклад, ISO/IEC 20889:2018 щодо псевдонімізації або ISO/IEC 27000, 27001, 27002, 27005, 27701, 31000 щодо технічних заходів інформаційної безпеки, не замінюють всі вимоги GDPR, але допомагають отримати зовнішню оцінку внутрішніх процесів компанії та є репутаційною перевагою.
- Створіть план відновлення. Це документована стратегія компанії на випадок кібератаки або витоку даних, яка дозволяє швидко відновити роботу бізнесу. План визначає конкретні обов’язки членів команди: наприклад, маркетинговий відділ відповідає за своєчасне інформування клієнтів та комунікацію під час кризової ситуації
Для GDPR-комплаєнсу не існує універсальної пігулки, кожна компанія має свої особливості і відповідно потребує індивідуального та комплексного підходу до питання захисту персональних даних. Шаблонні політики давно втратили свою ефективність, і саме тому кваліфіковані DPO потрібні зараз усім. Legal IT Group мають достатній досвід та експертизу для того, щоб допомогти з повним процесом GDPR-комплаєнсу та уникнути штрафів.
