Як національні органи до GDPR адаптуються
Поки компанії та суб’єкти даних ще оговтуються від неочікуваної квітневої зливи сповіщень про оновлені політики конфіденційності, державні органи з захисту персональних даних (Data Protection Authorities, для зручності – DPA) вже допрацьовують внутрішні правила гри. Далі підприємцям та їх юристам залишається лише дослухатися до найкращих практик і регулярно оновлювати закладки з сайтами вищих національних судів.
Реп’яшки
Хоча більшість компаній неприємно вражені вимогливістю Регламенту, є держави, які прийняли навіть більш суворі правила, аніж GDPR. Наприклад, у Німеччині на конференції представників місцевих DPA, яких у ФРН аж цілих шістнадцять (ще й на чолі з федеральним Комісіонером) вирішувалась доля cookies (які українською часто згадуються як «реп’яшки»).
У юридичному світі реп’яшки повинні відповідати вимогам GDPR та імплементованої в національні законодавства ePrivacy Directive, на які опираються національні закони про захист персональних даних. Конференція прийшла до висновку, що без згоди можуть використовуватися лише «суворо необхідні реп’яшки» (дані з яких будуть оброблятися на підставі законного інтересу контролера або як умова для виконання договірних зобов’язань), а трекінгові та профайлінгові реп’яшки повинні використовуватися лише після отримання прямої згоди суб’єкта даних (особи, дані про яку збираються) на це.
Компанії та організації, для яких використання аналітичних та маркетингових реп’яшків суттєво важливе, відгукнулися несхвально про обраний Конференцією напрямок. Більше того, таке рішення змушує нервувати й інших резидентів ЄС: оскільки виділення Німеччини (і, потенційно, ще кількох держав з суворими вимогами до приватності в Інтернеті) буде непропорційно затратною дією, компаніям та підприємцям необхідно буде орієнтуватися насамперед на найбільш суворе законодавство в межах ЄС, навіть якщо держава їх походження буде орієнтуватися на м’якший стандарт регулювання – наприклад, на сайті DPA Об’єднаного Королівства відвідувач бачить лише попередження про використання реп’яшків, і з нього не вимагається згода на їх використання. Це певною мірою вплинуло на те, що ePrivacy Regulation (акт обов’язкової сили, який має замінити ePrivacy Directive) поки продовжують допрацьовувати, зокрема з метою спростити правила використання реп’яшків.
Вік та захист дітей
GDPR залишає державам діапазони для прийняття рішень: наприклад, держави-учасниці ЄС самостійно можуть обрати вік, з якого їхній неповнолітній резидент може надавати згоду на обробку своїх персональних даних. Разом з тим, загальний вік, який за замовчуванням встановлює GDPR, становить 16 років, однак національні закони можуть знизити нижню межу до 13 років включно. Якщо повернутися до Німеччини, то вона наразі схильна дарувати своїм резидентам таке право лише на їхній шістнадцятий день народження. Для порівняння, Австрія дозволяє отримувати згоду від осіб, яким є 14 років, а Великобританія у національному законодавстві встановлює нижню межу у 13 років (хоча, що курйозно, у Шотландії цей вік знижений до 12 років з зауваженням, що згода може отримуватися лише у осіб, які розуміють природу своїх дій і можливі наслідки такої згоди).
Data Protection Impact Assessment
Схожа доля спіткала не лише вік суб’єктів даних та реп’яшки, а і питання про Data Protection Impact Assessment (DPIA). Як відомо, GDPR залишає за національними DPA можливість приймати списки операцій з обробки персональних даних, які потребують обов’язкової DPIA (так звані «чорні списки»), хоча деякі країни пішли іншим шляхом і приймали «білі» списки операцій, для яких DPIA не вимагається. Разом з тим, Бельгія може слугувати як приклад країни, у якій присутні обидва види списків операцій.
Для прикладу, Австрія наразі має білий список, у який входять 22 операції з обробки даних, звільнених від обов’язкової DPIA, серед яких найцікавішими є:
- HR-менеджмент (сюди входить обробка та збереження персональних даних в цілях управління фондом оплати праці згідно з вимогами до діловодства та звітності в межах «законів, норм колективних договорів та зобов’язань за трудовими договорами»; ці види обробки можуть включати в себе чутливі дані або відомості про кримінальну відповідальність особи, тому австрійський DPA підкреслює, що обробка таких даних дозволена без проведення DPIA лише якщо закон зобов’язує роботодавців збирати такі дані);
- обслуговування клієнтської бази та маркетинг для цілей власної підприємницької діяльності (визначається як «обробка власних даних компанії» або «куплених даних» (purchased data), що стосується покупців або пропозицій «розпочати ділові відносини», «здійснення маркетингових заходів» або надіслання інформаційних бюлетенів);
- встановлення систем CCTV (власники будівель та житлових будинків можуть встановлювати CCTV без проведення DPIA, якщо виконані інші вимоги до відеоспостереження, встановлені національними актами та судовою практикою – наприклад, якщо камера охоплює тільки територію, яка знаходиться у власності контролера);
- організація заходів (обробка персональних даних в цілях запрошення та реєстрації відвідувачів заходу, контакту з ними, організації подорожей та зупинок у готелях, управління витратами, пов’язаними з заходами, та створення записів щодо заходу, відео або фотографій) тощо.
Німеччина ж, у свою чергу, розпочала з чорних списків. 9 місцевих і федеральний DPA склали окремі списки операцій з обробки, які зобов’язують контролера чи обробника проводити DPIA. Багато в чому ці списки між собою схожі – багато з них охоплюють операції, що включають в себе:
- обробку даних про місцезнаходження особи у великих масштабах;
- аналітика, що базується на використанні великих даних (іншими словами, поєднання персональних даних з кількох різних джерел для наступної їх обробки);
- обробка у великих масштабах даних про працівників, що матиме на них суттєвий вплив (оскільки «суттєвий» залишається оціночним поняттям, кілька DPA рекомендують вважати «суттєвим» будь-який реально відчутний вплив);
- складання профілів суб’єктів даних у великих масштабах (це, зокрема, стосується соціальних мереж та застосунків для дейтінгу);
- аналітика даних, яка може суттєво вплинути на осіб (зазвичай маються на увазі різноманітні кредитні рейтинги, рейтинги страхових компаній тощо);
- програми нагород, які пов’язані з профілями покупців;
- застосунки і прилади для фітнесу тощо.
Незважаючи на більш спокійний підхід до захисту персональних даних, з чорних списків розпочав і DPA Об’єднаного Королівства. Хоча більшість з операцій вже знайомі з рекомендацій Робочої групи 29, є і кілька особливих, зокрема, у випадку «невидимої обробки»: необхідно проводити DPIA, якщо проводиться обробка персональних даних, отриманих не від суб’єкта даних безпосередньо, якщо контролер вважає, що повідомлення суб’єкта даних про обробку є неможливим або затребуватиме непропорційних зусиль. Також розважливою видається вимога оцінювати ризики, якщо внаслідок обробки створюється загроза (фізичному) здоров’ю чи безпеці особи.
Висновок
GDPR став сюрпризом для багатьох підприємств, однак не здивував національні DPA: пропозиції до зміни національного законодавства, підготовка списків обмежень щодо операцій з обробки персональних даних, дебати щодо віку, з якого закон дозволяє давати власну згоду на обробку своїх даних вже завершуються.
Незважаючи на те, що пройшло лише кілька місяців від набуття чинності, GDPR вже впливає на активну розбудову національного законодавства, яке сприяє більш виваженому та обережному ставленню до персональних даних. Наразі країни Європейського Союзу завершують роботу над внесенням змін до національного законодавства, і задля власного комплаєнсу життєво важливо бути в курсі останніх новин свого DPA.