Спільний контроль у бізнесі: чому статус має значення?
Обмін даними з партнерами, єдина клієнтська база та маркетингова стратегія – розглядаємо статус спільних контролерів та нові наслідки звичних дій.
Медичний заклад і наукова установа досліджують новий метод лікування, група будівельних компаній реалізує узгоджену маркетингову стратегію, автоперевізник та туроператор разом організовують відпочинок туристів, декілька ФОП надають освітні послуги з іноземної мови з використанням однієї CRM-системи – що може об’єднувати ці партнерства, окрім отримання прибутку?
Один з неочевидних варіантів відповіді на це питання – це обробка персональних даних клієнтів та ризики порушень нового законодавства.
В Україні традиційно відомі терміни «володілець» та «розпорядник» персональних даних. З оновленням Закону України «Про захист персональних даних» їх замінять «контролер» та «оператор», а також з’явиться новий статус – «спільний контролер».
Що таке спільний контроль?
Концепція спільного контролерства запозичується з європейського Загального регламенту із захисту даних (GDPR). Суть цього підходу полягає в тому, щоб не дозволити бізнесу перекладати відповідальність і змусити врегульовувати домовленості між партнерами таким чином, щоб вони не перешкоджали реалізації прав суб'єктів даних, а регулятор мав можливість їх перевірити. Іншими словами, ця концепція створює умови для виконання принципів прозорості та підзвітності суб’єктами господарювання, які спільно обробляють персональні дані й можуть приймати рішення про те, чому і як вони обробляються. А порушення принципів, як вже згадувалось у попередніх публікаціях, є окремою підставою для застосування штрафних санкцій.
Законопроєкт № 8153 від 25.10.2022 передбачає, що якщо два та більше контролерів разом визначають цілі та засоби обробки персональних даних, вони вважаються спільними контролерами й зобов’язані:
- укласти договір, який чітко визначає їхні ролі;
- розподілити «сфери впливу», в тому числі, хто є відповідальним за комунікацію з суб’єктами персональних даних;
- оприлюднити визначений законом перелік інформації.
Законопроєкт вказує, що положення договору, які регулюють розподіл обов’язків та впливають на права суб’єктів персональних даних, є інформацією, яка становить суспільний інтерес, і надається в порядку, встановленому Законом України «Про доступ до публічної інформації». При цьому, суб’єкт даних може здійснювати свої права щодо кожного з контролерів незалежно від умов договору, та ознайомитись зі змістом договору в порядку, встановленому вказаним Законом.
Чому для бізнесу важливо розуміти свій статус?
Насправді бізнес може не знати, що є спільним контролером за новим законодавством. Юридично незалежні суб'єкти господарювання можуть бути роками задіяні в обслуговуванні спільних клієнтів і при цьому бути досить автономними у своїй діяльності. Проблема з’являється тоді, коли та чи інша обробка даних потрапляє в поле зору регулятора – при перевірці або за скаргою невдоволеного клієнта. Перед бізнесом постає задача захистити свою позицію, адже від цього залежатиме міра відповідальності. Зробити це можна лише певними засобами доказування, а їх створення цілком і повністю залежить від своєчасності та послідовності вжитих бізнесом кроків. Важливий нюанс: усталений підхід загальноєвропейського наглядового органу із захисту даних (EDPB) полягає в тому, що кваліфікація статусу учасників відносин у сфері захисту персональних даних відбувається на основі оцінки фактичних обставин, встановлених в ході адміністративної процедури, а формальні домовленості, що надаються сторонами як докази в ході розслідування, мають дещо другорядне значення.
Є й інша проблема. У динамічних проєктах, де задіяно багато сторін і характер співпраці змінюється дуже швидко, буває важко відслідкувати та своєчасно задокументувати всі аспекти співпраці та зміни, що впливають на статус учасника обробки даних, але саме від цього значною мірою залежить позиція захисту перед регулятором.
Тож нерідко спільне контролерство стає джерелом неприємних сюрпризів. До слова, не кожна обробка персональних даних за участі кількох суб'єктів господарювання призводить до виникнення в них спільного контролю. Деякі з наведених на початку цього допису прикладів можуть породжувати як відносини окремого контролерства, так і спільного – все залежить від того, як побудована обробка даних. Тож все вирішує оцінка індивідуального випадку та стратегія, яку бажано напрацьовувати завчасно, не чекаючи перевірки регулятора.
Приклади з європейської практики
Суб'єкт даних, який мав заборгованість перед однією компанією, отримав відмову в реєстрації на навчальний курс в іншій компанії з підстав заборгованості перед її партнером. Як результат – він поскаржився в наглядовий орган м. Гамбург (Німеччина). Регулятор констатував, що ведення спільної бази клієнтів кількома юридично незалежними особами робить їх спільними контролерами та вимагає укладення договору, який відображатиме фактичний розподіл обов'язків. Констатувавши порушення ст. 26 GDPR, наглядовий орган наклав штраф у розмірі 13 тис. євро.
Інший випадок: провайдер хмарних обчислень вважав, що виступав посередником між клієнтами, які генерували запити на отримання даних, та ресурсами, що власне надавали інформацію. Провайдер стверджував, що його клієнти є контролерами, а він лише обробляє дані від їх імені – тобто є оператором (процесором) з доволі обмеженою роллю.
У ході розслідування наглядовий орган Словенії встановив, що бізнес-модель хмарних обчислень була побудована таким чином, що клієнти практично не мали впливу на технічні та організаційні заходи, які застосовував провайдер, тобто він визначав їх сам. За сукупністю обставин, оцінки характеру обробки даних та ролі клієнтів, наглядовий орган кваліфікував статус провайдера як контролера, але оскільки і він, і його клієнти визначали цілі та засоби обробки даних, їхня співпраця була визначена як спільне контролерство та порушення в тому числі ст. 26 GDPR.
Замість висновків
За сучасних умов технічний аспект комерційної взаємодії нерідко виходить на перший план, а в певних випадках може відіграти вирішальну роль у визначенні правового статусу її учасників і, як наслідок – визначенні обсягу відповідальності та переліку заходів, які необхідно (було) вжити.
Оновлення законодавства із захисту персональних даних неминуче. Релевантної правозастосовної практики в Україні немає, адже законопроєкт № 8153 передбачає значну кількість новел. Як вони будуть застосовуватись, значною мірою залежатиме від новоствореного регулятора. Відтак, при оскарженні перших штрафів доведення правової позиції визначатиметься спроможністю бізнесу пояснити, що і як відбувається з персональними даними всередині обробки – і це задача самого бізнесу.
- Що допомагає вистояти в нестабільні часи: де знайти опори? Інна Бєлянська 16:39
- Перемога на полі бою: основа для реального миру Дмитро Пульмановський 16:09
- Припинення дії свідоцтва на ТМ у звязку з її невикористанням Ганна Палагицька 13:11
- Нові мита Трампа: що чекає на Україну та Ізраїль у новій торговій реальності Олег Вишняков вчора о 18:27
- Корупція у Президента чи безвідповідальність вартістю 2 млрд грн? Артур Парушевскі вчора о 14:23
- Регулювання RWA-токенів у 2025 році: як успішно запустити проєкт Іван Невзоров вчора о 13:50
- Непотрібний президент Валерій Карпунцов вчора о 13:38
- Стягнення додаткових витрат на навчання дитини за кордоном: на що необхідно звернути увагу Арсен Маринушкін вчора о 13:21
- Оформлення права власності на частку у спільному майні колишнього подружжя Альона Прасол вчора о 10:29
- В Україні з’явився "привид" стагфляції, що пішло не так? Любов Шпак вчора о 10:27
- Юридичне регулювання sweepstakes: основні аспекти та огляд за юрисдикціями Роман Барановський 02.04.2025 16:19
- Нелегальний ринок тютюну: як зупинити мільярдні втрати для бюджету України? Андрій Доронін 02.04.2025 15:05
- Перевірка компаній перед M&A: аудит, юридичні аспекти та роль менеджера Артем Ковбель 02.04.2025 02:12
- Адвокатура в Україні потребує невідкладного реформування Лариса Криворучко 02.04.2025 01:14
- Ретинол і літо: якими ретиноїдами можна користуватися влітку Вікторія Жоль 01.04.2025 09:44
-
"Найкрутіший код": До 50-річчя Microsoft Білл Гейтс відкрив доступ до його першої ОС
Бізнес 21874
-
Сигнали дефіциту: як тіло "підказує", що йому бракує вітамінів і мікроелементів
Життя 18057
-
СБУ затримала начальника управління податкової служби у Сумській області – фото
Бізнес 10611
-
У Кіровоградській області почали будувати ВЕС на 93 МВт. Гроші дає Укргазбанк
Бізнес 8802
-
"Складно, але не критично". З'явилась перша реакція влади України на мита Трампа
Бізнес 5068