GDPR – General Data Protection Regulation, у перекладі означає загальний регламент про захист даних. Це нормативно-правовий акт Європейського Союзу, який підлягає до виконання на території усіх держав-учасниць ЄС. Його було прийнято 14 квітня 2016 року, але почав він застосовуватися після дворічного перехідного періоду з моменту набрання чинності – з 25 травня 2018 року.
Основною метою GDPR є контроль за обміном персональними даними на території Європейського Союзу. Простою мовою це нові правила захисту персональних даних, прийняті Євросоюзом.
Визначення персональних даних відповідно до GDPR є достатньо широким і передбачає що персональні дані – це не лише інформація, яка прямо ідентифікує особу, а також і інформація, яка в сукупності з іншими даними може бути використана для ідентифікації особи.
Так, відповідно до офіційного визначення Європейської комісії, персональні дані — це будь-яка інформація щодо фізичної особи, не залежно від того, чи вона стосується його/її особистого, професійного чи суспільного життя. Це може бути що завгодно, зокрема: ім’я, домашня адреса, фотографія, адреса електронної пошти, банківські реквізити, повідомлення на сайтах соціальних мереж, медична інформація або IP-адреса комп’ютера.
Для розуміння предмету та цілі GDPR
Стаття 1 GDPR:
«1. Цей Регламент установлює норми щодо захисту фізичних осіб у зв’язку з опрацюванням персональних даних і норми про вільний рух персональних даних.
- Цей Регламент захищає фундаментальні права і свободи фізичних осіб, зокрема їхнє право на захист персональних даних.
- Вільний рух персональних даних у всьому Союзі не повинно бути обмежено чи заборонено із причин, пов’язаних із захистом фізичних осіб у зв’язку з опрацюванням персональних даних.»
Чому і навіщо
Явище, яке називають інформаційною революцією, триває досить давно. У країнах Євросоюзу майже кожна людина використовує кілька електронних пристроїв та з блискавичною швидкістю розповсюджує інформацію про себе. Кожна інстальована програма, кожне зроблене фото, підписка на новини, коментар чи лайк у соцмережі, навіть просто візит до сайту чи перегляд погоди – це все супроводжується розповсюдженням інформації, яка містить ознаки персональних даних.
На цьому фоні для країн Європейського союзу підвищення рівня нормативного регулювання у зазначеній сфері виглядало лише питанням часу і актуальність його зростала. GDPR, безсумнівно, є якісно новим та масштабним кроком. Ці правила покликані стати на захист інтересів усіх осіб, які знаходяться на території ЄС, що становить як мінімум 512 мільйонів людей.
Дотримуватися цих правил мають усі, хто займається збором та обробкою персональних даних цих людей.
Як це стосується українців
Немає значення на території якої країни світу розміщена компанія, якщо вона здійснює збір чи обробку інформації про осіб, які знаходяться на території Європейського Союзу – вона повинна слідувати нормам GDPR. Тобто, якщо такі особи користуються послугами компанії, яка знаходиться в Україні і внаслідок цього до компанії передається будь-яка інформація про них (ім’я, IP адреса, електронна пошта, навіть стан здоров’я чи релігійна приналежність), така інформація зберігається та використовується за правилами GDPR.
Так, це покладає додаткову відповідальність на українські компанії, а також зобов’язує їх здійснити додаткові витрати, пов’язані з імплементацією правил. Однак, є інший вихід – повністю відмовитися від отримання інформації, яка стосується громадян ЄС. Який шлях обрати – кожна компанія має можливість визначитися самостійно.
Для розуміння територіальної сфери дії GDPR
Стаття 3 GDPR:
«1. Цей Регламент застосовують до опрацювання персональних даних в контексті діяльності осідку контролера або оператора в Союзі, незалежно від того, чи відбувається власне опрацювання в межах Союзу чи ні.
- Цей Регламент застосовують до опрацювання персональних даних суб’єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов’язано з:
(a) постачанням товарів чи наданням послуг таким суб’єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб’єктів даних; або
(b) моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах Союзу.
- Цей Регламент застосовують до опрацювання персональних даних контролером, що має осідок поза межами Союзу, але в місці, де застосовується законодавство держави-члена в силу публічного міжнародного права.»
Відповідальність
У цьому ракурсі важливо зазначити про існування штрафних санкцій за порушення GDPR. Так, передбачається два типи штрафних санкцій:
1) за незначні порушення (розмір матеріальної відповідальності може сягати максимум 10 мільйонів євро або 2% від річного обороту компанії, в залежності від того, яка сума буде більшою);
2) за значні порушення, які пов’язані з порушенням основних принципів захисту персональних даних (розмір матеріальної відповідальності може сягати максимум 20 мільйонів євро або 4% від річного обороту компанії, в залежності від того, яка сума буде більшою).
Як бачимо, штрафні санкції за порушення GDPR є вкрай суттєвими і передбачається, що це має мотивувати компанії на імплементацію та дотримання механізму захисту персональних даних за правилами GDPR.
Як GDPR впливають на туристів і чи можна без згоди фотографувати людей на вулиці
Свого часу правила GDPR викликали жваві дискусії серед спільноти фотографів, зокрема тих, що спеціалізуються на сюжетній фотографії. Дехто стверджував, що GDPR повністю забороняють фотографувати людей на території Європейського Союзу без їх прямої згоди на це. З часом такі дискусії поширилися і на звичайних громадян, туристів, блогерів чи просто активних користувачів соціальних мереж. При цьому, висловлювалося багато міркувань, місцями діаметрально протилежних, але чіткої та однозначної доказової бази вони не містили.
Спробуємо навести чіткість у цьому питанні. Перш за все, варто зробити ремарку, що питання захисту персональних даних є досить делікатним і при застосуванні GDPR на практиці, багато в чому думки експертів розходяться. Це пов’язано зі складнощами інтерпретації деяких понять, процесів та явищ. У зв’язку з цим по сьогоднішній день виникають різного роду роз’яснення та коментарі, які стосуються застосування GDPR на практиці. Їх обов’язково слід брати до уваги при фаховій інтерпретації конкретних положень.
Так, варто звернути увагу на офіційний коментар IDPC (Information and Data Protection Commissioner – посадова особа Єврокомісії, до повноважень якої входить вирішення питань стосовно інформації та обробки даних), який стосується саме захисту інформації при здійсненні фотографування у громадських місцях (street photography). Цей документ містить позицію, що обмеження не застосовуються коли інформація (у даному випадку – зображення) збирається фізичною особою у процесі її особистої діяльності (це корелюється з пунктом с частини 2 статті 2 GDPR). Тобто, якщо фізична особа створює фотографію, яка містить зображення іншої фізичної особи і при цьому ця фотографія створюється виключно в особистих цілях, то жорсткі вимоги про захист персональних даних не застосовуються. Однак, цей же документ містить рекомендацію отримання згоди у випадку, коли фотограф виявить бажання опублікувати таке фото або використати його в комерційних цілях.
Отже, на наш погляд, слід дійти до висновку про те, що GDPR не містить прямої заборони на опублікування фотографій незнайомих людей, при цьому існує рекомендація отримання від них згоди на публікацію таких світлин. Якщо світлини не публікуються, то згода у будь-якому разі не потрібна.
Актуальність для нас
Зараз в Україні ми маємо ситуацію, коли персональні дані збираються, використовуються та розповсюджуються практично безконтрольно. Буденними є випадки отримання постійних повідомлень рекламного характеру про послуги таксі, акції у магазинах, до яких отримувач повідомлення не має жодного стосунку, повідомлення про публічні заходи тощо. Нажаль, при виявленні незаконного отримання, використання чи розповсюдження персональних даних, часто захистити свої права в Українських реаліях майже неможливо.
Так, в Україні з 1.01.2011 року діє Закон «Про захист персональних даних», який свого часу називали ледь не проривом у сфері захисту персональної інформації. Однак, на практиці до цього часу він не отримав достатньої регуляторної сили та не є ефективним бар’єром від правопорушень у цій сфері.
Тому, враховуючи екстериторіальну дію GDPR, можна стверджувати про додатковий вплив цих правил на якість відповідних правовідносин в Україні. Дійсно, такий вплив є опосередкованим, однак усе більше компаній досить органічно здійснюють імплементацію правил GDPR, оскільки так чи інакше це часто впливає на обсяг їх прибутку та репутацію.
Слід відверто визнати, що приведення діяльності будь-якої української організації у відповідність до правил GDPR навряд чи може мати на меті уникнення від суттєвої відповідальності, про яку зазначено вище, оскільки механізм притягнення до відповідальності та застосування штрафних санкцій навіть на території ЄС є досить неоднозначним. Однак, імплементація правил GDPR матиме позитивний вплив на діяльність організації, хоч і передбачає здійснення деяких витрат. У цьому ракурсі найкраща порада – власними силами або силами зовнішніх експертів здійснити комплексний аналіз діяльності компанії і привести її у відповідність до GDPR. Зрештою, європейське законодавство у якійсь мірі давно є вказівником напрямку для розвитку українського.
Цікаво знати
Закон України «Про захист персональних даних» було прийнято Верховною Радою України та підписано президентом В.Ф. Януковичем 1 червня 2010 року, однак, відповідно до його перехідних положень, він набрав чинності 1.01.2011 року.
Текст Закону прописано за зразком Директиви ЄС №95/46/EC, яка діяла до прийняття GDPR і була прийнята у далекому 1995 році. Це свідчить про низький рівень актуальності українського законодавства у сфері захисту персональних даних.
І на останок. Як захистити свої права в Україні
Відповідно до чинного законодавства України, контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють Уповноважений Верховної Ради України з прав людини (далі – Уповноважений) та суди. При цьому, постраждалий може звернутися одночасно і до суду і до Уповноваженого, законодавство цього не забороняє. Але варто розуміти, що Уповноважений з великою долею ймовірності зупинить вже розпочатий розгляд звернення, у випадку, якщо йому стане відомо що питання, яке є предметом розгляду скарги, розглядається в суді.
Уповноважений з власної ініціативи або у разі надходження до нього письмової скарги, має можливість проводити перевірку додержання законодавства про захист персональних даних. Про результатами такої перевірки Уповноважений обов’язково повідомляє заявника. Зокрема, він повідомляє про те, чи було виявлено порушення та яких заходів було вжито. Це регламентовано Порядком здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних, прийнятим у 2014 році.
Якщо внаслідок проведення перевірки буде встановлено факт порушення законодавства у сфері захисту персональних даних, то на відповідальних осіб може бути покладено штраф у розмірі від ста до двох тисяч неоподатковуваних мінімумів доходів громадян (від 1 700 до 34 000 гривень). А у разі виявлення під час перевірки ознак кримінального правопорушення Уповноважений зобов’язаний направити необхідні матеріали до правоохоронних органів.
При цьому, у будь-якому разі, особа, права якої були порушені, не отримає жодної компенсації. Компенсацію можна отримати лише після звернення до суду, за відповідним його рішенням. Таким чином, у більшості випадків найкращим алгоритмом дій вбачається звернення до Уповноваженого з метою встановлення факту правопорушення для подальшого звернення до суду з метою отримання матеріальної компенсації.
**********************
Корисне
Текст GDPR (англійська):
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG
Текст GDPR (українська). 25 квітня 2018 р. затверджено офіційний український переклад:
https://www.kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
Сергій Бабенко