Розглядаємо розповсюджені документи у сфері захисту персональних даних, що незабаром з’являться у вітчизняній практиці.
Ідея зробити цей допис з’явилася, коли я почула історію про те, що в першій половині ХХ ст. в США, Канаді, Великій Британії та деяких інших країнах магазини взуття використовували портативні флюорографи для того, щоб продемонструвати покупцю, як взуття пасує до розміру стопи (X-Ray fitting test). Від цієї послуги відмовились в другій половині ХХ ст., коли був з’ясований негативний вплив рентгенівського випромінювання на організм людини.
Чому цей історичний факт привернув мою увагу? Тому що рентген був новою технологією для того часу й з позиції сучасного законодавця, зокрема європейського, перед використанням флюорографа, магазин мав би задокументувати оцінку його впливу на покупця та продавця на основі загальнодоступних даних. Буквально так само, як зараз власники мобільних додатків в ЄС оцінюють вплив ШІ-компонентів на безпеку обробки персональних даних та приватність своїх користувачів.
Але про все по порядку. Вперше вимога документувати оцінку впливу з'явилась в США з прийняттям закону про національну екологічну політику (National Environmental Policy Act) в 1969 році. Федеральні агентства були зобов'язані оцінювати вплив на навколишнє середовище своїх пропозицій в інфраструктурних проєктах, розвідці енергоресурсів тощо. Наслідуючи цю практику, Канада та Європейський Союз запровадили схожі законодавчі акти. Ці приклади важливі, оскільки засвідчують, як давно в західному правовому просторі оцінка впливу існує як юридично значущий документ. До слова, Закон України "Про оцінку впливу на довкілля" також вимагає дотримання процедури з підготовки та подання звіту про оцінку впливу, що має аналізувати потенційний вплив планованої діяльності на довкілля, визначає вимоги до структури такого звіту тощо.
В сучасних умовах вимога щодо проведення оцінки впливу не обмежується екологією й розповсюджена в інших галузях, одна з яких – сфера захисту персональних даних.
Загальний регламент про захист даних (General Data Protection Regulation, GDPR) в ЄС, як і законодавство багатьох країн світу, вимагає від компаній, які обробляють персональні дані клієнтів та працівників, проводити оцінку впливу для фіксації масштабу обробки даних, її цілей, ідентифікованих ризиків та вжитих заходів захисту, іншими словами – відповідності обробки даних вимогам закону.
Коли вимагається оцінка впливу? За загальним правилом, у праві приватності ми оцінюємо обробку персональних даних, якщо її характер потенційно створює високий ризик для прав і свобод фізичних осіб. Наприклад, використовується нова технологія (ШІ чи механізм автентифікації за біометричними даними тощо), або обробка потрібна для того, щоб оцінювати персональні якості клієнтів/працівників з метою подальшого прийняття відносно них автоматизованих юридично значущих рішень (як-то видавати кредит чи нараховувати премію тощо). GDPR, як і інші законодавчі акти, визначає випадки, коли оцінка впливу на захист даних є обов’язковою.
А що з оцінкою інтересів? Оцінка легітимних (законних) інтересів – це документ, який дозволяє зафіксувати й у разі потреби продемонструвати наглядовому органу (та суду), що дані, які збираються, потрібні компанії для досягнення конкретно визначеної мети, їх обсяг є пропорційним характеру обробки, а права та інтереси фізичних осіб не переважають над відповідними інтересами компанії. В протилежному випадку, обробку за цією правовою підставою здійснювати заборонено. Говорячи мовою прикладів, йдеться про такі цілі обробки, як забезпечення безпеки вебсайту/мобільного додатку, попередження шахрайства під час надання сервісу, визначення рівня задоволеності клієнта послугою для її покращення, в певних випадках – надсилання прямого маркетингу за відсутності згоди користувача тощо. Можливо, зараз для читача ця інформація прозвучить дивно, адже чинне законодавство не зобов’язує виокремлювати такі обробки даних, а тим більше – документувати їх, але в недалекому майбутньому описані зміни стануть обов'язковими й для українського ринку.
Що являють собою ці документи? Якщо звернутись до тексту GDPR, там неможливо знайти вичерпних вимог щодо підготовки оцінок впливу чи інтересів, максимум – опорні пункти (системний опис передбачених операцій, оцінку ризиків для прав і свобод фізичних осіб тощо). Очікування наглядових органів від цих документів містяться в актах м’якого права – рекомендаціях. Той факт, що за кордоном оцінки впливу давно використовуються у різних галузях, дозволяє говорити про вже сформоване усталене розуміння юридичної спільноти, яким питанням в них слід приділяти увагу та як будувати їх структуру. Судова практика також приходить на поміч в цьому питанні.
Перспективи в Україні. У вітчизняній правозастосовній практиці ці документи набудуть розповсюдження з приведенням Закону України «Про захист персональних даних» у відповідність до GDPR. Законопроєкт 8153, про який я згадувала в попередньому дописі цього блогу, передбачає обов’язковість письмового висновку про «оцінку впливу обробки персональних даних» для низки випадків, а також вказує, що перелік видів обробки, при застосуванні яких контролер зобов’язаний здійснити таку оцінку впливу, затверджується контролюючим органом.
Враховуючи, що новий Закон запровадить ризик-орієнтований підхід до обробок даних, письмовий висновок про оцінку впливу обробки персональних даних / оцінку легітимного інтересу слугуватиме найпершим доказом: для контролюючого органу – в разі перевірки та для суду – при оскарженні рішення про накладення штрафу.
Нагадаю, що ризик-орієнтований підхід передбачає, що компанія не ставиться однаково до всіх операцій з обробки персональних даних. Замість цього вона докладає більше зусиль для захисту даних, ступінь ризиковості яких є вищим, що відповідає принципу пропорційності, а отже й достатність заходів, вжитих для захисту, та їх відповідність рівню ризику буде оцінюватись саме на підставі висновку про проведену оцінку.
Приклади з європейської практики. Грецький наглядовий орган із захисту персональних даних розглядав справу відносно Афінської міської транспортної організації, встановивши, зокрема, недостатню ґрунтовність оцінки впливу на захист даних та порушення принципу обмеження зберігання даних в електронній системі обліку проїзних квитків.
Як контролер персональних даних, транспортна організація обробляла дані пасажирів про їх пересування: під час купівлі квитка, база даних зберігала хешоване значення, що є результатом комбінації номера картки пасажира (або номера паспорта чи іншого документа, що посвідчує особу) та 8-значного PIN-коду, а також місяця і року народження та спеціальної категорії пільговика. Незважаючи на те, що імена пасажирів не зазначались ані на квитку чи в базі даних, співставлення вказаних вище параметрів дозволяло ідентифікувати «цифровий слід» пасажира, який має транспортну картку з певним номером, що, в свою чергу, дозволяло встановити його/її пересування, адже інформація про поїздки зберігалась протягом 20 років. Це, власне, й спричинило констатацію порушення принципу обмеження зберігання даних.
Крім того, наглядовий орган залишився незадоволеним рівнем підготовки документа про оцінку ризиків: по-перше, останній був відсутній на момент початку перевірки, по-друге, поспіхом (очевидно) підготовлений висновок не містив чіткого пояснення підходу, застосованого для визначення ймовірності ідентифікованих ризиків та їх потенційних наслідків, що дозволило встановити порушення ст. 35(1) GDPR.
В іншому випадку, іспанський наглядовий орган наклав штраф в розмірі 16 тис. євро на компанію, що встановила систему контролю доступу до приміщення за відбитком пальця (тобто з використанням біометричних даних) одночасно з системою пропускних карток.
Система працювала таким чином, що для перевірки особи її біометричні дані порівнювалися з біометричними шаблонами всіх працівників. Наглядовий орган зазначив, що існують альтернативні системи, які відповідають принципам мінімізації, пропорційності та необхідності, і що для того, аби використовувати біометричну автентифікацію, контролер повинен продемонструвати високий рівень підзвітності та конфіденційності – цьому слугує підхід privacy by design та privacy by default. Він зобов’язує обґрунтувати необхідність та пропорційність системи на етапі до її встановлення, а також задокументувати, що не існує менш інтрузивних альтернатив для досягнення поставлених цілей. Відтак, перш ніж впроваджувати таку систему, контролер повинен був провести оцінку ризиків та визначити, чи можливо застосувати альтернативний спосіб досягнення тих самих результатів.
Замість висновків. Описані документи – не лише про ризики, а й про можливості зміцнити позиції бізнесу – перед контролюючим органом та клієнтом – шляхом послідовного створення безпечного середовища, що в нових реаліях буде значною конкурентною перевагою.
