Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
О важности privacy notice и ее соответствии GDPR. Что писать, а что не писать...
Олег Климчук, советник, Sayenko Kharenko

Совсем недавно Марк Цукерберг (не требует представления) более десяти (!) часов отвечал на вопросы конгрессменов и членов Палаты представителей США в связи с разгоревшимся скандалом из-за утечки персональных данных пятидесяти миллионов пользователей Facebook. В ответ на вопрос конгрессмена Оррина Хэтча "Какие законодательные изменения помогли бы решить проблемы, похожие на историю с Cambridge Analytica? И какие были бы бесполезны в таких вопросах?" он ответил, что в первую очередь это "понятная и практичная" политика конфиденциальности.1 Собственник Facebook далее признал, что когда такой документ изложен в виде длинного юридического документа, для большинства людей он становится тяжелым для понимания. Такой документ, с одной стороны, должен быть понятным для потребителей, но, с другой стороны, должен охватывать все нюансы работы сервиса таким образом, чтобы не ограничивать его работу.

1 https://www.washingtonpost.com/news/the-switch/wp/2018/04/10/transcript-of-mark-zuckerbergs
-senate-hearing/?noredirect=on&utm_term=.1584fbd2d4df

В ответе Марка Цукерберга лаконично и емко описана не только проблематика касательно privacy policy, которую, среди всего прочего, пытается решить General Data Protection Regulation (GDPR), но и также основные принципы регулирования privacy policy в GDPR. Более детальная характеристика "понятности и практичности" предлагается нами в этой статье.

Но сначала терминология

В первую очередь важно различать privacy policy и privacy notice. На практике довольно часто под этими двумя понятиями (и не только в Украине) понимают одно и то же – документ, в котором указывается, каким образом владелец персональных данных обрабатывает персональные данные.

Но под privacy policy более правильно понимать внутренний документ владельца персональных данных, который регулирует порядок обработки персональных данных в рамках организации (например, сотрудниками, привлекаемыми третьими лицами)2. Субъектам персональных данных этот документ не предоставляется.

2 https://iapp.org/media/pdf/resource_center/IAPP%20Privacy%20Certification%20Glossary%202.1.0.2.pdf

Согласно ст. 24 GDPR, где это является оправданным, меры владельца персональных данных по имплементации надлежащих технических и организационных мер, направленных на соответствие GDPR, должны также включать имплементацию надлежащих политик по защите персональных данных (data protection policies). Украинским аналогом такого документа является порядок обработки персональных данных, на необходимость разработки и внедрения которого на предприятии указывается в самом определении "владелец персональных данных" в ст. 1 Закона Украины "О защите персональных данных" (т. е. физическое или юридическое лицо, которое определяет цель обработки персональных данных, состав таких данных, а также процедуры их обработки).

В свою очередь, privacy notice – это документ, который адресован субъектам персональных данных и в котором владелец персональных данных указывает, каким образом он обрабатывает (собирает, использует, передает и т. д.) персональные данные. По сравнению с privacy policy, privacy notice является более лаконичным документом, но оба документа должны соответствовать друг другу.

Положения privacy notice должны логично исходить из положений privacy policy, а privacy policy должна быть направлена на выполнение того, что заявил владелец персональных данных в privacy notice.

Кто-то может утверждать, что по своей сути privacy notice является европейским аналогом украинского согласия на обработку персональных данных. Но это не так. Нужно помнить, что согласие – это только одно из оснований для обработки персональных данных (статьи 6 и 9 GDPR, статьи 7, 11, 29 Закона Украины "О защите персональных данных"). В рамках обработки персональных данных владелец персональных данных может и не использовать согласие в качестве основания для обработки, а полагаться на другие предусмотренные основания. В последнем случае в privacy notice ничего не будет сказано о согласии. Если владелец персональных данных все же полагается на согласие в качестве основания для обработки, тогда privacy notice может быть изложено таким образом, чтобы содержать запрос предоставить согласие. Нажатие электронной кнопки "Я согласен" допускается GDPR, но поставленная автоматически по умолчанию галочка, а также позиция, что бездействие или отсутствие ответа будут считаться согласием, не считаются обеспечивающими соответствие GDPR. Во исполнение требований ч. 2 ст. 7 GDPR требуется, чтобы запрос на согласие был четко отделен от любой другой информации (и privacy notice в данном случае – не исключение).

С другой стороны, если владелец персональных данных запрашивает согласие на обработку отдельно от privacy notice (например, запрос по электронной почте), тогда он в своем запросе на согласие должен предоставить ссылку на privacy notice.

В этой статье мы остановимся более подробно именно на требованиях GDPR к privacy notice.

Что писать в privacy notice?

Требования к содержанию privacy notice предусмотрены в статьях 12 – 14 GDPR.

В первую очередь privacy notice должно быть изложено в лаконичной и легкодоступной форме, без утаивания каких-либо положений и, что немаловажно, простым и понятным (т. е. не юридическим) языком (ч. 1 ст. 12 GDPR).

В тех случаях, когда владелец персональных данных получает персональные данные непосредственно от субъектов, в privacy notice нужно обязательно указать следующую информацию (ст. 13 GDPR):

а. Цель обработки персональных данных.

б. Юридическое основание для обработки персональных данных (основания для обработки предусмотрены в ч. 1 ст. 6 GDPR). Владелец персональных данных может указать одно или несколько возможных оснований для обработки. В тех случаях, когда основанием для обработки является необходимость защиты законных интересов владельца персональных данных или третьего лица, владелец персональных данных должен четко указать, в чем именно состоит этот законный интерес.

в. Если применимо, информация о том, что владелец имеет намерение передать персональные данные в страну, не входящую в Европейское экономическое пространство (ЕЭП) или международную организацию. Владелец также должен сообщить, принято ли решение об адекватности защиты персональных данных в стране, не входящей в ЕЭП, в которую владелец намеревается передать данные. Если согласно GDPR страна не является обеспечивающей адекватную защиту персональных данных, владелец персональных данных должен: 1) сделать ссылку на предпринятые надлежащие и подходящие меры по обеспечению защиты персональных данных (ст. 46 GDPR), а также 2) указать средства, используя которые субъект персональных данных может получить копию документа, который обосновывает такие меры, или указать, где такие документы доступны.

г. Срок обработки персональных данных или, если конкретный срок определить невозможно, критерии, по которым возможно определить такой срок.

д. Права, которые имеет субъект персональных данных в связи с обработкой его персональных данных (право на доступ к своим персональным данным, право на удаление или уничтожение персональных данных, право на ограничение обработки своих персональных данных или право возражать против их обработки, право переноса персональных данных (right of portability), право подать жалобу).

Если непредоставление субъектом персональных данных своих данных может привести к определенным последствиям (например, невозможность дальнейшего использования онлайн-сервиса), то на такие последствия должно быть четко указано.

Если основанием для обработки персональных данных является согласие, то в privacy notice должно быть четко указано, что владелец персональных данных имеет право отозвать свое согласие.

е. Информацию о наличии автоматизированного решения, включая профайлинг, а также о значимости и последствиях такой обработки для субъекта персональных данных.

ж. Название и контактные данные владельца персональных данных и, где это требуется, название и контактные данные его представителя.

з. Контактные данные человека, ответственного за надлежащую обработку персональных данных (data protection officer).

Указанные выше требования применяются к тем случаям, когда персональные данные собираются непосредственно от субъекта персональных данных. Если персональные данные не собираются непосредственно от субъектов персональных данных, тогда владелец персональных данных должен дополнительно указать в privacy notice (ст. 14 GDPR):

а. Категории персональных данных, которые обрабатываются.

б. Источники, из которых получены персональные данные и, если имеет место, получены ли такие данные из публичных источников информации.

Остальные требования аналогичны тем, которые выдвигаются к privacy notice в случае сбора персональных данных непосредственно от субъектов. На практике достаточно часто требования статей 13 и 14 GDPR объединяются в одном privacy notice.

Вся информация, которую необходимо предоставить субъектам персональных данных во исполнение статей 13 и 14 GDPR, должна быть предоставлена последним бесплатно (ч. 5 ст. 12 GDPR).

Что не писать в privacy notice?

В первую очередь в privacy notice нельзя использовать сложные юридические формулировки и конструкции.

Кроме того, privacy notice не должно быть длинным юридическим документом. Но, с другой стороны, требования GDPR к privacy notice изложены таким образом, чтоб владелец персональных данных раскрыл субъекту персональных данных все аспекты обработки персональных данных последнего. В этой связи владельцу персональных данных важно найти баланс между лаконичностью и полнотой privacy notice, которые одновременно требует GDPR.

Эти требования далеко не формальные. Несоблюдение базовых требований к privacy notice может привести к негативным последствиям (например, штрафам, или нанести вред репутации), поскольку privacy notice будет считаться дефектным.

Релевантность для Украины

Не Верховная Рада Украины принимала GDPR, но соблюдать его требования все-таки необходимо и в Украине. GDPR будет применяться экстратерриториально, если:

а. Владелец или распорядитель персональных данных имеет присутствие в ЕС (например, юридическое лицо, сервер, сотрудники), даже если обработка персональных данных производится за пределами ЕС.

б. Обработка касается персональных данных лиц, находящихся в ЕС, владельцем или распорядителем, которые не имеют присутствия в ЕС, но которые 1) предлагают товары или услуги (даже если бесплатно) субъектам персональных данных, находящимся в ЕС, или 2) осуществляют мониторинг за действиями (поведением) субъектов персональных данных, которые последние осуществляют в пределах ЕС.

Соответствие GDPR без наличия присутствия украинского владельца персональных данных в ЕС – это не столько вопрос штрафов, которые, кстати, довольно внушительные (например, 4 % от глобального годового оборота или до 20 миллионов евро), сколько вопрос репутации, текущих и будущих перспектив работы с партнерами из ЕС и лояльности потенциальных клиентов и потребителей из ЕС.

ВЫВОД:

GDPR предъявляет более высокие требования к privacy notice, чем те, которые предусмотрены действующим Законом Украины "О защите персональных данных". Точнее, владельцу персональных данных в своем privacy notice нужно будет достаточно детально раскрыть все ключевые моменты обработки персональных данных с тем, чтобы субъекты персональных данных могли однозначно понимать, каким образом и кем обрабатываются их персональные данные.

На сегодня можно утверждать, что политики конфиденциальности большинства украинских владельцев персональных данных не отвечают требованиям GDPR и минимум требуют более детального изложения. Обеспечение соответствия требованиям GDPR становится насущной необходимостью для тех, кто работает с ЕС и в ЕС.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua