ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ В ЄС: ЗМІНИ, ЯКІ СТОСУЮТЬСЯ УКРАЇНИ

В червні у Верховній Раді зареєстровано законопроєкт про захист персональних даних № 5628. Законопроєкт має узгодити локальне законодавство з Регламентом ЄС про захист даних (GDPR) та встановити оновлені правила обробки персональних даних. Попередньо очікується, що (після прийняття) законопроєкт набере чинності в 2023 році. Але навіть до цього часу GDPR може впливати і впливає на український бізнес. Нижче ми розглянули деякі з останніх тенденцій у цій сфері.

Передача персональних даних в «треті країни»: стандартні договірні положення та оцінка передачі даних

Для цілей GDPR Україна вважається «третьою країною». Крім цього, ЄС не визнала нас країною, яка забезпечує адекватний захист персональних даних. У зв’язку з цим для передачі даних з ЄС в Україну компанії підписують документ під назвою Standard Contractual Clauses (SCC), який є належною підставою для передачі даних в цьому випадку.

До недавнього часу контрагенти ставилися до цього документа як до формальної вимоги, якої не важко дотримуватись. Однак за останній рік в питанні передачі даних в «треті країни» відбулися значні зміни:

• В липні 2020 року Суд Європейського Союзу прийняв рішення у справі Schrems II, яким визнав недійсним механізм передачі даних з ЄС в США, відомий як Privacy Shield. Крім цього, Суд встановив, що компанії з ЄС, які передають дані в «треті країни», повинні оцінити, чи будуть в таких країнах персональні дані захищені на рівні, сумісному з GDPR.

• В червні 2021 року були затверджені фінальні рекомендації Європейської ради із захисту персональних даних (EDPB) до проведення такої оцінки. Згідно з рекомендаціями сторони повинні оцінити, чи може законодавство та адміністративна практика «третьої країни» знівелювати ефективність гарантій, наданих щодо передачі персональних даних в конкретному випадку.

• В червні 2021 року також була прийнята нова редакція SCC. Вона враховує вказане рішення Суду Європейського Союзу та рекомендації EDPB та покладає на сторони обов’язок провести оцінку передачі даних та задокументувати її результати.

Наведені зміни передбачають активну участь контрагентів (зокрема, українських компаній) у підготовці документів щодо передачі даних. Оскільки саме компанії з «третіх країн» можуть допомогти європейським партнерам оцінити місцеве законодавство на предмет ризиків та задокументувати результати такої оцінки. З урахуванням наслідків Brexit окремо слід очікувати на новий режим передачі даних зі Сполученого Королівства в «треті країни», щодо якого вже відбуваються публічні консультації.

Скрупульозність до Big Tech компаній: можливий вплив на локальний бізнес

За період липень-вересень європейські регулятори у сфері захисту даних (DPA) наклали 2 найбільших штрафи за порушення GDPR:

• Люксембурзький DPA наклав штраф у розмірі 746 мільйонів євро на Amazon (припускається, що причиною штрафу є використання Amazon цільової реклами без належної згоди користувачів);

• Ірландський DPA наклав штраф у розмірі 225 мільйонів євро на WhatsApp через проблеми з прозорістю обробки даних.

Ці випадки підтверджують загальну тенденцію – намагання регуляторів змусити великі компанії дотримуватися єдиних правил та запобігти черговим масовим зловживанням під час обробки даних. Очікується, що така тенденція змусить і самі компанії переглянути свої процеси на відповідність GDPR та іншим релевантним вимогам. Так, після рішення у справі Schrems II такі компанії, скоріш за все, будуть більше уваги приділяти процесам передачі даних з ЄС підрядникам (чи субпідрядникам) в «треті країни», зокрема в Україну.

«Невидима рука» GDPR: відповідальність компаній, які знаходяться за межами ЄС

У травні цього року DPA Нідерландів прийняв рішення накласти штраф у 525 тисяч євро на Locatefamily.com – фактично веб-сайт, сервери якого, на думку регулятора, знаходяться в Канаді. При цьому DPA не встановив конкретну особу, яка є власником ресурсу.

Причина штрафу – порушення обов’язку щодо призначення представника в ЄС з питань обробки персональних даних (data representative). Такий обов’язок виникає у тих компаній, які підпадають під екстериторіальну дію GDPR та, при цьому, здійснюють певні види обробки даних, визначені в GDPR (наприклад, обробку, яка може становити особливий ризик для прав та свобод фізичних осіб з урахуванням її природи, обсягу, цілей тощо).

Це рішення демонструє, яким чином положення про екстериторіальну дію GDPR (одне з найменш досліджених на сьогодні) може працювати на практиці. Питання примусового виконання цього штрафу залишається відкритим. Незважаючи на це репутаційні втрати від рішення DPA Нідерландів – суттєві. Так, будь-який пошук інформації щодо Locatefamily (ресурсу, який дозволяє відшукати своїх родичів у різних країнах світу та повністю залежить від обробки даних) демонструє, що в нього були проблеми з виконанням вимог GDPR.

За останні 3 роки український бізнес пройшов етапи підвищеної уваги до GDPR (через положення про його екстериторіальність та високі розміри штрафів) та значною мірою ігнорування його положень. Проте наведені тенденції застосування GDPR та перспективи прийняття Законопроєкту можуть знову повернути питання комплаєнсу в сфері захисту даних до порядку денного локальних компаній.