Оцінка впливу та інтересів: новації в українській правозастосовній практиці
Розглядаємо розповсюджені документи у сфері захисту персональних даних, що незабаром з’являться у вітчизняній практиці.
Ідея зробити цей допис з’явилася, коли я почула історію про те, що в першій половині ХХ ст. в США, Канаді, Великій Британії та деяких інших країнах магазини взуття використовували портативні флюорографи для того, щоб продемонструвати покупцю, як взуття пасує до розміру стопи (X-Ray fitting test). Від цієї послуги відмовились в другій половині ХХ ст., коли був з’ясований негативний вплив рентгенівського випромінювання на організм людини.
Чому цей історичний факт привернув мою увагу? Тому що рентген був новою технологією для того часу й з позиції сучасного законодавця, зокрема європейського, перед використанням флюорографа, магазин мав би задокументувати оцінку його впливу на покупця та продавця на основі загальнодоступних даних. Буквально так само, як зараз власники мобільних додатків в ЄС оцінюють вплив ШІ-компонентів на безпеку обробки персональних даних та приватність своїх користувачів.
Але про все по порядку. Вперше вимога документувати оцінку впливу з'явилась в США з прийняттям закону про національну екологічну політику (National Environmental Policy Act) в 1969 році. Федеральні агентства були зобов'язані оцінювати вплив на навколишнє середовище своїх пропозицій в інфраструктурних проєктах, розвідці енергоресурсів тощо. Наслідуючи цю практику, Канада та Європейський Союз запровадили схожі законодавчі акти. Ці приклади важливі, оскільки засвідчують, як давно в західному правовому просторі оцінка впливу існує як юридично значущий документ. До слова, Закон України "Про оцінку впливу на довкілля" також вимагає дотримання процедури з підготовки та подання звіту про оцінку впливу, що має аналізувати потенційний вплив планованої діяльності на довкілля, визначає вимоги до структури такого звіту тощо.
В сучасних умовах вимога щодо проведення оцінки впливу не обмежується екологією й розповсюджена в інших галузях, одна з яких – сфера захисту персональних даних.
Загальний регламент про захист даних (General Data Protection Regulation, GDPR) в ЄС, як і законодавство багатьох країн світу, вимагає від компаній, які обробляють персональні дані клієнтів та працівників, проводити оцінку впливу для фіксації масштабу обробки даних, її цілей, ідентифікованих ризиків та вжитих заходів захисту, іншими словами – відповідності обробки даних вимогам закону.
Коли вимагається оцінка впливу? За загальним правилом, у праві приватності ми оцінюємо обробку персональних даних, якщо її характер потенційно створює високий ризик для прав і свобод фізичних осіб. Наприклад, використовується нова технологія (ШІ чи механізм автентифікації за біометричними даними тощо), або обробка потрібна для того, щоб оцінювати персональні якості клієнтів/працівників з метою подальшого прийняття відносно них автоматизованих юридично значущих рішень (як-то видавати кредит чи нараховувати премію тощо). GDPR, як і інші законодавчі акти, визначає випадки, коли оцінка впливу на захист даних є обов’язковою.
А що з оцінкою інтересів? Оцінка легітимних (законних) інтересів – це документ, який дозволяє зафіксувати й у разі потреби продемонструвати наглядовому органу (та суду), що дані, які збираються, потрібні компанії для досягнення конкретно визначеної мети, їх обсяг є пропорційним характеру обробки, а права та інтереси фізичних осіб не переважають над відповідними інтересами компанії. В протилежному випадку, обробку за цією правовою підставою здійснювати заборонено. Говорячи мовою прикладів, йдеться про такі цілі обробки, як забезпечення безпеки вебсайту/мобільного додатку, попередження шахрайства під час надання сервісу, визначення рівня задоволеності клієнта послугою для її покращення, в певних випадках – надсилання прямого маркетингу за відсутності згоди користувача тощо. Можливо, зараз для читача ця інформація прозвучить дивно, адже чинне законодавство не зобов’язує виокремлювати такі обробки даних, а тим більше – документувати їх, але в недалекому майбутньому описані зміни стануть обов'язковими й для українського ринку.
Що являють собою ці документи? Якщо звернутись до тексту GDPR, там неможливо знайти вичерпних вимог щодо підготовки оцінок впливу чи інтересів, максимум – опорні пункти (системний опис передбачених операцій, оцінку ризиків для прав і свобод фізичних осіб тощо). Очікування наглядових органів від цих документів містяться в актах м’якого права – рекомендаціях. Той факт, що за кордоном оцінки впливу давно використовуються у різних галузях, дозволяє говорити про вже сформоване усталене розуміння юридичної спільноти, яким питанням в них слід приділяти увагу та як будувати їх структуру. Судова практика також приходить на поміч в цьому питанні.
Перспективи в Україні. У вітчизняній правозастосовній практиці ці документи набудуть розповсюдження з приведенням Закону України «Про захист персональних даних» у відповідність до GDPR. Законопроєкт 8153, про який я згадувала в попередньому дописі цього блогу, передбачає обов’язковість письмового висновку про «оцінку впливу обробки персональних даних» для низки випадків, а також вказує, що перелік видів обробки, при застосуванні яких контролер зобов’язаний здійснити таку оцінку впливу, затверджується контролюючим органом.
Враховуючи, що новий Закон запровадить ризик-орієнтований підхід до обробок даних, письмовий висновок про оцінку впливу обробки персональних даних / оцінку легітимного інтересу слугуватиме найпершим доказом: для контролюючого органу – в разі перевірки та для суду – при оскарженні рішення про накладення штрафу.
Нагадаю, що ризик-орієнтований підхід передбачає, що компанія не ставиться однаково до всіх операцій з обробки персональних даних. Замість цього вона докладає більше зусиль для захисту даних, ступінь ризиковості яких є вищим, що відповідає принципу пропорційності, а отже й достатність заходів, вжитих для захисту, та їх відповідність рівню ризику буде оцінюватись саме на підставі висновку про проведену оцінку.
Приклади з європейської практики. Грецький наглядовий орган із захисту персональних даних розглядав справу відносно Афінської міської транспортної організації, встановивши, зокрема, недостатню ґрунтовність оцінки впливу на захист даних та порушення принципу обмеження зберігання даних в електронній системі обліку проїзних квитків.
Як контролер персональних даних, транспортна організація обробляла дані пасажирів про їх пересування: під час купівлі квитка, база даних зберігала хешоване значення, що є результатом комбінації номера картки пасажира (або номера паспорта чи іншого документа, що посвідчує особу) та 8-значного PIN-коду, а також місяця і року народження та спеціальної категорії пільговика. Незважаючи на те, що імена пасажирів не зазначались ані на квитку чи в базі даних, співставлення вказаних вище параметрів дозволяло ідентифікувати «цифровий слід» пасажира, який має транспортну картку з певним номером, що, в свою чергу, дозволяло встановити його/її пересування, адже інформація про поїздки зберігалась протягом 20 років. Це, власне, й спричинило констатацію порушення принципу обмеження зберігання даних.
Крім того, наглядовий орган залишився незадоволеним рівнем підготовки документа про оцінку ризиків: по-перше, останній був відсутній на момент початку перевірки, по-друге, поспіхом (очевидно) підготовлений висновок не містив чіткого пояснення підходу, застосованого для визначення ймовірності ідентифікованих ризиків та їх потенційних наслідків, що дозволило встановити порушення ст. 35(1) GDPR.
В іншому випадку, іспанський наглядовий орган наклав штраф в розмірі 16 тис. євро на компанію, що встановила систему контролю доступу до приміщення за відбитком пальця (тобто з використанням біометричних даних) одночасно з системою пропускних карток.
Система працювала таким чином, що для перевірки особи її біометричні дані порівнювалися з біометричними шаблонами всіх працівників. Наглядовий орган зазначив, що існують альтернативні системи, які відповідають принципам мінімізації, пропорційності та необхідності, і що для того, аби використовувати біометричну автентифікацію, контролер повинен продемонструвати високий рівень підзвітності та конфіденційності – цьому слугує підхід privacy by design та privacy by default. Він зобов’язує обґрунтувати необхідність та пропорційність системи на етапі до її встановлення, а також задокументувати, що не існує менш інтрузивних альтернатив для досягнення поставлених цілей. Відтак, перш ніж впроваджувати таку систему, контролер повинен був провести оцінку ризиків та визначити, чи можливо застосувати альтернативний спосіб досягнення тих самих результатів.
Замість висновків. Описані документи – не лише про ризики, а й про можливості зміцнити позиції бізнесу – перед контролюючим органом та клієнтом – шляхом послідовного створення безпечного середовища, що в нових реаліях буде значною конкурентною перевагою.
- Безбар’єрність у лікарнях: чому доступ до медичних послуг виходить за межі пандусів Ігор Ткаченко 15:10
- Де отримати криптоліцензію у 2025 році? Юлія Барабаш 12:25
- Як сплачує податки та подає звітність контрольована іноземна компанія (КІК) Сергій Пагер 09:19
- Тренди світових витрат засобами візуалізації: військо, освіта, охорона здоров’я Христина Кухарук вчора о 19:13
- Як роботодавцю повернути кошти, сплачені працівнику за скасованим рішенням суду Альона Прасол вчора о 14:30
- Чому підприємці бояться виходити на новий рівень і як подолати цей бар’єр? Олександр Висоцький вчора о 14:12
- "Ситник проти України" – чи може справедливість бути упередженою? Дмитро Зенкін вчора о 12:57
- Нові правила подачі заявок на торговельні марки Сергій Барбашин вчора о 11:45
- Суд відмовив у позові до ФОП щодо псування техніки після ремонту Артур Кір’яков 05.05.2025 19:08
- Літо, тераси та куріння: чи є заборона для літніх майданчиків? Олег Сніцар 05.05.2025 17:12
- Регіональні тренди запитів "Відео ШІ" в Україні: піки, спад і соціальні фактори Христина Кухарук 05.05.2025 17:03
- Мінеральна угода США та України: шанс на нову енергополітику чи дорогий експеримент? Ростислав Никітенко 05.05.2025 15:55
- Інвестування в Україну – аналіз досвіду іноземних компаній Сильвія Красонь-Копаніаж 05.05.2025 13:30
- Як спадкоємцю за кордоном не загубитися у правовому лабіринті Світлана Приймак 05.05.2025 13:28
- Психологічна готовність до пластичної операції – більше, ніж "налаштування" Дмитро Березовський 05.05.2025 12:42
- Пенсійна реформа 2025 року 408
- Регіональні тренди запитів "Відео ШІ" в Україні: піки, спад і соціальні фактори 170
- Літо, тераси та куріння: чи є заборона для літніх майданчиків? 101
- Чому ми приймаємо нелогічні фінансові рішення? 97
- Тренди світових витрат засобами візуалізації: військо, освіта, охорона здоров’я 94
-
Суд наказав знести відпочинковий комплекс на Дніпрі у Києві
Бізнес 17313
-
Reuters дізналося зміст нового пакета санкцій ЄС проти Росії
Бізнес 6363
-
Україна переходить до остаточного знищення Чорноморського флоту
Думка 6162
-
"Що скажуть люди": чому нас так хвилює думка інших — і як повернути собі себе
Життя 4016
-
Господарем параду у Москві стане Сі. Його бультер’єр Путін від безсилля атакує Україну
Думка 3553