Спільний контроль у бізнесі: чому статус має значення?
Обмін даними з партнерами, єдина клієнтська база та маркетингова стратегія – розглядаємо статус спільних контролерів та нові наслідки звичних дій.
Медичний заклад і наукова установа досліджують новий метод лікування, група будівельних компаній реалізує узгоджену маркетингову стратегію, автоперевізник та туроператор разом організовують відпочинок туристів, декілька ФОП надають освітні послуги з іноземної мови з використанням однієї CRM-системи – що може об’єднувати ці партнерства, окрім отримання прибутку?
Один з неочевидних варіантів відповіді на це питання – це обробка персональних даних клієнтів та ризики порушень нового законодавства.
В Україні традиційно відомі терміни «володілець» та «розпорядник» персональних даних. З оновленням Закону України «Про захист персональних даних» їх замінять «контролер» та «оператор», а також з’явиться новий статус – «спільний контролер».
Що таке спільний контроль?
Концепція спільного контролерства запозичується з європейського Загального регламенту із захисту даних (GDPR). Суть цього підходу полягає в тому, щоб не дозволити бізнесу перекладати відповідальність і змусити врегульовувати домовленості між партнерами таким чином, щоб вони не перешкоджали реалізації прав суб'єктів даних, а регулятор мав можливість їх перевірити. Іншими словами, ця концепція створює умови для виконання принципів прозорості та підзвітності суб’єктами господарювання, які спільно обробляють персональні дані й можуть приймати рішення про те, чому і як вони обробляються. А порушення принципів, як вже згадувалось у попередніх публікаціях, є окремою підставою для застосування штрафних санкцій.
Законопроєкт № 8153 від 25.10.2022 передбачає, що якщо два та більше контролерів разом визначають цілі та засоби обробки персональних даних, вони вважаються спільними контролерами й зобов’язані:
- укласти договір, який чітко визначає їхні ролі;
- розподілити «сфери впливу», в тому числі, хто є відповідальним за комунікацію з суб’єктами персональних даних;
- оприлюднити визначений законом перелік інформації.
Законопроєкт вказує, що положення договору, які регулюють розподіл обов’язків та впливають на права суб’єктів персональних даних, є інформацією, яка становить суспільний інтерес, і надається в порядку, встановленому Законом України «Про доступ до публічної інформації». При цьому, суб’єкт даних може здійснювати свої права щодо кожного з контролерів незалежно від умов договору, та ознайомитись зі змістом договору в порядку, встановленому вказаним Законом.
Чому для бізнесу важливо розуміти свій статус?
Насправді бізнес може не знати, що є спільним контролером за новим законодавством. Юридично незалежні суб'єкти господарювання можуть бути роками задіяні в обслуговуванні спільних клієнтів і при цьому бути досить автономними у своїй діяльності. Проблема з’являється тоді, коли та чи інша обробка даних потрапляє в поле зору регулятора – при перевірці або за скаргою невдоволеного клієнта. Перед бізнесом постає задача захистити свою позицію, адже від цього залежатиме міра відповідальності. Зробити це можна лише певними засобами доказування, а їх створення цілком і повністю залежить від своєчасності та послідовності вжитих бізнесом кроків. Важливий нюанс: усталений підхід загальноєвропейського наглядового органу із захисту даних (EDPB) полягає в тому, що кваліфікація статусу учасників відносин у сфері захисту персональних даних відбувається на основі оцінки фактичних обставин, встановлених в ході адміністративної процедури, а формальні домовленості, що надаються сторонами як докази в ході розслідування, мають дещо другорядне значення.
Є й інша проблема. У динамічних проєктах, де задіяно багато сторін і характер співпраці змінюється дуже швидко, буває важко відслідкувати та своєчасно задокументувати всі аспекти співпраці та зміни, що впливають на статус учасника обробки даних, але саме від цього значною мірою залежить позиція захисту перед регулятором.
Тож нерідко спільне контролерство стає джерелом неприємних сюрпризів. До слова, не кожна обробка персональних даних за участі кількох суб'єктів господарювання призводить до виникнення в них спільного контролю. Деякі з наведених на початку цього допису прикладів можуть породжувати як відносини окремого контролерства, так і спільного – все залежить від того, як побудована обробка даних. Тож все вирішує оцінка індивідуального випадку та стратегія, яку бажано напрацьовувати завчасно, не чекаючи перевірки регулятора.
Приклади з європейської практики
Суб'єкт даних, який мав заборгованість перед однією компанією, отримав відмову в реєстрації на навчальний курс в іншій компанії з підстав заборгованості перед її партнером. Як результат – він поскаржився в наглядовий орган м. Гамбург (Німеччина). Регулятор констатував, що ведення спільної бази клієнтів кількома юридично незалежними особами робить їх спільними контролерами та вимагає укладення договору, який відображатиме фактичний розподіл обов'язків. Констатувавши порушення ст. 26 GDPR, наглядовий орган наклав штраф у розмірі 13 тис. євро.
Інший випадок: провайдер хмарних обчислень вважав, що виступав посередником між клієнтами, які генерували запити на отримання даних, та ресурсами, що власне надавали інформацію. Провайдер стверджував, що його клієнти є контролерами, а він лише обробляє дані від їх імені – тобто є оператором (процесором) з доволі обмеженою роллю.
У ході розслідування наглядовий орган Словенії встановив, що бізнес-модель хмарних обчислень була побудована таким чином, що клієнти практично не мали впливу на технічні та організаційні заходи, які застосовував провайдер, тобто він визначав їх сам. За сукупністю обставин, оцінки характеру обробки даних та ролі клієнтів, наглядовий орган кваліфікував статус провайдера як контролера, але оскільки і він, і його клієнти визначали цілі та засоби обробки даних, їхня співпраця була визначена як спільне контролерство та порушення в тому числі ст. 26 GDPR.
Замість висновків
За сучасних умов технічний аспект комерційної взаємодії нерідко виходить на перший план, а в певних випадках може відіграти вирішальну роль у визначенні правового статусу її учасників і, як наслідок – визначенні обсягу відповідальності та переліку заходів, які необхідно (було) вжити.
Оновлення законодавства із захисту персональних даних неминуче. Релевантної правозастосовної практики в Україні немає, адже законопроєкт № 8153 передбачає значну кількість новел. Як вони будуть застосовуватись, значною мірою залежатиме від новоствореного регулятора. Відтак, при оскарженні перших штрафів доведення правової позиції визначатиметься спроможністю бізнесу пояснити, що і як відбувається з персональними даними всередині обробки – і це задача самого бізнесу.
- З чого починати описувати бізнес-процеси? Жанна Кудрицька вчора о 23:46
- Неустойка за неповернення майна з оренди: між штрафом та пенею Дмитро Шаповал вчора о 13:56
- Стягнення шкоди з закладу освіти та батьків внаслідок пошкодження ока дитині Артур Кір’яков вчора о 13:11
- СЗЧ – вихід з ситуації є Сергій Пєтков вчора о 10:18
- Декілька ФОП: оптимізація податків чи дроблення бізнесу? Сергій Пагер вчора о 09:07
- Захист дітей від насильства: як працює модель Барнахус в Україні та Польщі Галина Скіпальська 23.04.2025 17:02
- ПРРО як шлях до детенізації бізнесу та збільшення надхожень у бюджет Андрій Сухов 23.04.2025 11:59
- Cпеціальні військові операції – міжнародна політика кремля Сергій Пєтков 23.04.2025 10:18
- 100 днів, які не повернули мир в Україну Дмитро Пульмановський 23.04.2025 10:15
- За фасадом новобудови: як виявити ризики перед купівлею Юрій Бабенко 22.04.2025 15:32
- Як енергетичні компанії оптимізують КІК: досвід ЄС та українські реалії Ростислав Никітенко 22.04.2025 11:46
- 4 помилки, які заважають власнику бізнесу побудувати сильну компанію Олександр Висоцький 22.04.2025 10:27
- Где покупать жилую недвижимость и какую? Володимир Стус 21.04.2025 23:53
- ТЦК – треш, хайп, фейк або соціальна допомога військовим та їх сім’ям Сергій Пєтков 21.04.2025 19:52
- Китай закручує "рідкоземельну гайку". Як Україні скористатися своїм шансом? Ксенія Оринчак 21.04.2025 16:53
- Омріяна Перемога: яким українці бачать закінчення війни? 150
- Стажування і підвищення кваліфікації: сенси та підходи 139
- Люди в центрі змін: як Франковий університет створює сучасне академічне середовище 111
- ТЦК – треш, хайп, фейк або соціальна допомога військовим та їх сім’ям 96
- Китай закручує "рідкоземельну гайку". Як Україні скористатися своїм шансом? 92
-
Казахстан заявив, що видобуватиме стільки нафти, скільки потрібно йому, а не ОПЕК
Бізнес 27171
-
"Останній інгредієнт отруйного коктейлю". У Швейцарії стривожені різким зростанням франка
Фінанси 19948
-
"Я приніс вам мир". Чому зірвались мирні переговори у Лондоні і що далі – сценарії
15424
-
У юристки Панаіотіді пройшов обшук. ЇЇ чоловік Коболєв каже, що вилучили телефони й компʼютер
Бізнес 7750
-
Держборг України у 2025 році вперше перевищить "психологічну" позначку 100% – МВФ
Фінанси 6063