Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
Законодавча боротьба Євросоюзу за захист приватного життя своїх співгромадян
Максим Ходак, адвокат, Адвокатської контори Law & More (Нідерланди)

Вступ

Перша ейфорія щодо можливостей комп'ютерних технологій минула. Цікаво зауважити, що ще у 1985 р. філософ і комп'ютерний теоретик Джеймс Моор висловлював свою стурбованість небезпекою непомітності комп'ютерної технології. Він уважав, що це будуть ті двері, які відкриють доступ до прихованого контролю, комп'ютерного криміналу та порушення приватного життя. Технологію може бути запрограмовано таким чином, що користувач навіть не підозрює, що його дані вилучають або за ним таємно підглядають.

Моор передбачав майбутнє. На сьогодні щоденна кількість скандалів і постраждалих від порушення приватного життя, стеження, шахрайства, обману та комп'ютерного криміналітету виходить за всі осяжні рамки. На жаль, ця проблематика занадто повільно просочувалася у свідомість користувачів, професіоналів і законодавців.

Винуватці того, що відбувається, – це не лише компанії, рекламні агентства, маркетологи, страхові компанії та уряди. Люди самі постійно виносять один одного на привселюдний огляд, не запитуючи дозволу. Прикладом цьому є відеоролики із глузуваннями між підлітками, мстиві порновідео колишніх закоханих і анонімні нападки в соціальних мережах.

У цьому місяці сумна спроба самогубства на терасі, наповненій людьми в Нідерландському місті Розендаалі, до вселюдного шоку громадськості країни, призвела до того, що спостерігачі замість того, щоб допомагати бідоласі, гарячково схопили свої телефони, щоб захопити драматичну сцену на камеру і поділитися цим у соцмережах.

Головні етичні цінності, на яких заснований європейський світогляд, зазнають сьогодні постійної атаки. Онлайн-революція призводить до того, що не лише особисте життя, а й воля, незалежність, власна гідність і соціальна справедливість розхитуються в усі боки в європейському суспільстві. Через культуру страху дії усе більше і більше людей реєструються, що збільшує конфлікт між свободою та безпекою.

Регламент ЄС про захист персональних даних

У контексті цієї технологічної, моральної й етичної какофонії, яка без перебільшення набуває хронічних форм загального психозу, наслідки яких стануть по-справжньому видимими через роки, європейський законодавець уживає цього року спробу захистити суспільство не лише від самого себе, а й від нападок та атак професійних компаній і організацій, які з кожним днем стають усе більш витонченими в проникненні в приватне життя європейських громадян.

У травні цього року в законодавстві Європейського Співтовариства в галузі захисту персональних даних (далі – ПД) буде здійснено найбільші зміни за останні два десятиліття. Чинні правила було сформульовано ще у 90-і роки минулого століття, і режим роботи з обробкою інформації, що існує нині, перестав відповідати дійсності та поставленим цілям.

Для захисту прав фізичних осіб стосовно персональних даних на зміну чинній Директиві щодо захисту даних 95/46/EC прийде новий законодавчий акт – Загальний Регламент ЄС щодо захисту персональних даних. Регламент має на меті не просто посилити захист і розширити права всіх громадян ЄС із забезпечення недоторканності їх персональних даних, він також вимагає узгодження законів про недоторканність даних на території Європейського Співтовариства та зміни підходу організацій у всьому регіоні до проблеми недоторканності даних.

Цікаво зауважити, що новий Регламент прямо стосується й українських компаній, які працюють на європейських ринках. У цій статті буде розглянуто головні положення вищезгаданого Регламенту, а також висвітлено важливі зміни, що відбулися в європейському законодавстві в галузі захисту ПД.

Головні нововведення в Регламенті ЄС

Нове законодавче положення матиме важливі наслідки не лише для фізичних осіб, а й для компаній, що займаються бізнесом у зоні ЄС.

Шість найбільш важливих нововведень Регламенту полягатимуть у такому:

1. Більш широкий перелік видів підприємницької діяльності підпадає під дію Регламенту. Також, якщо до нововведення під основоположне визначення "персональні дані" потрапляли лише документи, що містять імена, адреси й таке інше, то зараз це визначення було розширено і дані, пов'язані з IP-адресами, MAC-адресами, cookie-файли, що зберігають суто індивідуальну інформацію про користувача мережі тощо, також потраплять під Регламент.

2. Новий Регламент діє не лише на компанії, що знаходяться у ЄС, але також на підприємства із країн, що не входять до ЄС, які пропонують товари або послуги суб'єктам персональних даних у європейських країнах або стежать за поведінкою суб'єктів даних (за умови, що така поведінка має місце в межах ЄС). Інакше кажучи, будь-яка обробка персональних даних людей, які перебуватимуть у ЄС, потраплятиме під норми, установлені новим Регламентом. Це нововведення дуже важливе для українських компаній, оскільки навіть організації, у яких немає офісу або дочірньої компанії на території ЄС, але які поставляють свої послуги на європейський ринок, зазнають впливу Регламенту і таким чином будь-які дії, що включають у себе обробку персональних даних, суворо моніторитимуться.

3. Регламент установив нові правила одержання згоди на обробку персональних даних. Попередня Директива вже впровадила правило, що згода має завжди бути отримана, але тепер ця згода повинна бути однозначною і підтвердженою. Тобто "мовчання, попередньо відмічені поля галочкою чи бездіяльність" не вважатимуться легітимною згодою на обробку персональних даних.

4. Регламент впроваджує кілька основних принципів обробки персональних даних і вимагає від компаній продемонструвати, як вони додержуються цих принципів.

1) Законність, справедливість і прозорість

Принцип законності, справедливості та прозорості потребує не лише одержання згоди на обробку даних, а й також поінформованості суб'єкта про тип оброблюваних даних. Інформація має бути представлена їй/йому в прозорій та доступній формі і викладена зрозумілою й простою мовою. Зокрема, щоб досягти прозорості, суб'єкт повинен одержати інформацію про особу контролера, мету збору інформації і також має бути обізнаний про ризики, закони, захисних заходи та свої права стосовно обробки даних.

2) Цільове обмеження

Персональні дані можуть бути оброблені тільки для точно позначених і законних цілей. Якщо ж із первісної мети випливатиме інша мета, то згоду має бути надано для обох. Однак за цим принципом криється безліч інших аспектів. Наприклад, чим більше суб'єктів обробки даних охоплено, тем точніше мету має бути описано.

3) Мінімізація даних

Особисті дані мають відповідати, мати стосунок і обмежуватися цілями, для яких такі дані обробляються. Це положення повертає до цільового обмеження збору й обробки персональних даних. Цей принцип повинен призвести до скорочення збору даних до мінімально можливого рівня.

4) Точність даних

Персональні дані повинні бути точними й актуальними. Застарілі та неточні дані необхідно виправляти або видаляти.

5) Обмеження зберігання

Персональні дані повинні зберігатися рівно стільки, скільки вони необхідні для тих цілей, для яких їх було зібрано. Якщо ж зберігання більше не потрібне, то підприємства повинні видаляти ці дані. Регламент також уточнює, що компанії повинні проводити регулярні перевірки з метою чищення застарілої інформації.

6) Цілісність і конфіденційність

Цей принцип зачіпає основи захисту приватного життя людей. Відповідно до цього принципу контролер повинен упевнитися, що дані захищені від несанкціонованої та незаконної обробки.

7) Сьомий принцип: звітність

Принцип звітності, установлений новим Регламентом, накладає на компанії відповідальність за дотримання всіх вищезгаданих правил. Компанії повинні впевнитися, що вони дотримуються всіх технічних та організаційних вимог і уповноважені організації мають право вимагати від організацій усі звіти про обробку персональних даних.

Збільшення уваги до дотримання вимог, що випливають із цього принципу, виявилося однією з найбільш значущих і жорстких змін, які вносить Регламент.

5. Регламент наділяє приватних осіб низкою нових прав, а також зміцнює деякі права, що вже існували в межах попередньої Директиви, а саме:

1) Право на переміщення даних

Регламент запроваджує право приватних осіб на отримання, копіювання та перенесення їх персональних даних до баз іншого контролера та/або обробників даних. Це правило було внесене з метою захисту прав споживача і спричиняє значні зусилля з боку організації-контролера, що обробляє ці дані.

2) Право заперечення

Регламент дозволяє приватним особам заперечувати певним видам обробки їх персональних даних: прямому маркетингу (пряме звернення до осіб через електронну пошту або рекламні оголошення на веб-сайтах), обробці з метою захисту законних інтересів або виконання будь-якого завдання в суспільних інтересах / реалізації владних повноважень, а також обробці даних із дослідницькою чи статистичною метою.

3) Право на видалення даних

Регламент дозволяє приватним особам вимагати знищення або видалення їх персональних даних, якщо ці дані більше не потрібні для тих цілей, для яких їх було зібрано, об'єкт обробки зняв свою угоду, об'єкт обробки заперечує або інформацію було незаконно оброблено.

4) Право на обмеження обробки даних

Регламент гарантує, що при накладенні обмеження на обробку ПД компаніям дозволяється зберігати персональні дані, але їм не дозволяється їх обробляти.

5) Право на одержання відповіді на запит

Якщо приватна особа не знає про те, що її дані обробляються, і про те, як вони обробляються, то вона не зможе здійснювати всі інші права. Таким чином, організація повинна відповідати на будь-які запити об'єкта обробки про зібрані про нього дані.

6. У разі витоку персональних даних контролер даних зобов'язаний довести цей факт до відома Комітету із захисту персональних даних (регулятора) не пізніше ніж через 72 години після того, як контролерові стало відомо про такий витік. Це правило може не дотримуватися тільки в разі, якщо це малоймовірно, що права та свободи людей буде порушено. Але також згідно з Регламентом компанії зобов'язані документувати факти витоку даних, навіть якщо про такі витоки не повідомляється до Комітету із захисту персональних даних. Організації-контролери ПД до того ж зобов'язані вести внутрішній журнал обліку випадків злому даних.

Якщо ж порушення будь-якої статті Регламенту буде встановлено, це може призвести до штрафу в розмірі до 20000000 євро або до 4 % від світового річного обороту компанії.

Переваги та недоліки нового закону

В основному Регламент вплине позитивно на розвиток бізнесу, але також він може привнести певні перешкоди. У цей момент 28 держав – членів ЄС мають різні та суперечливі закони про захист персональних даних, що ускладнює роботу компаній. Завдяки появі Регламенту ці закони будуть гармонізовані і нічим не відрізнятимуться. Водночас закон дуже часто зазнає критики, оскільки безліч правил видаються занадто суворими і залишається багато місця для інтерпретації.

Висновок

Попри те, що Моор і справді передбачив майбутнє і інтернет-технології в наш час спричиняють прихований контроль, комп'ютерний кримінал і порушення приватного життя, європейський законодавець намагається захистити своїх громадян від порушення їхніх прав. Новий Регламент – серйозна спроба Євросоюзу на шляху до забезпечення надійного захисту недоторканності, на сьогодні хиткого, приватного життя та персональних даних громадян ЄС і людей, що перебувають у європейських країнах.

Найголовнішим нововведенням є не лише той факт, що дія Регламенту поширюється на країни, що не входять до ЄС, а також посилено правила з одержання згоди на обробку персональних даних, 7 головних принципів обробки даних і збільшено штрафи.

З першого погляду новий Регламент може видатися занадто складним і таким, що спричиняє занадто серйозні наслідки, оскільки він також зачіпає українські компанії. Але, з іншого боку, найбільшою перевагою Регламенту є потенційне впорядкування розрізнених норм і правил. Дотепер компаніям доводилося враховувати правила щодо захисту даних 28 різних держав – членів ЄС. Таким чином, щоб закон і можливі штрафи ніяк не торкнулися українських компаній, дуже важливо спланувати детальну стратегію і пройти етапи підготовки впровадження політики практики дотримання вимог нового Регламенту.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання ЮРИСТ&ЗАКОН
Контакти редакції:
uz@ligazakon.ua