Адаптація українського бізнесу до нових умов обробки персональних даних неминуча й те, наскільки болісним буде цей процес, залежить від своєчасно прийнятих рішень.
Україна зобов’язалась привести законодавство про захист персональних даних у відповідність до європейських вимог, підписавши Угоду про асоціацію з ЄС. Десять років потому Верховна Рада України повернулась до цього питання, прийнявши за основу законопроєкт 8153, який має оновити Закон України «Про захист персональних даних».
В медіапросторі починає з'являтись критика даного документу, а я пропоную зосередитись на огляді новел в прагматичному підході, адже адаптація українського бізнесу до нових умов обробки персональних даних клієнтів та працівників неминуча й те, наскільки болісним буде цей процес та його результат, залежить від своєчасно прийнятих рішень.
Для початку – контекст. Чинна редакція Закону України «Про захист персональних даних» (далі – Закон) ґрунтується на Директиві 95/46/ЄС, що регулювала питання захисту персональних даних в ЄС до 2018 року. На основі цього документу було розроблено Загальний регламент про захист даних (General Data Protection Regulation, GDPR), який значно посилив вимоги до роботи з персональними даними на європейському ринку. За шість років існування GDPR став своєрідним «золотим стандартом приватності». Законопроєкт 8153 від 25.10.2022 має на меті оновити чинний Закон і запровадити в Україні правила обробки персональних даних, аналогічні вимогам GDPR, з певними з особливостями.
Чому поява українського GDPR є викликом для бізнесу? Відверто, в Україні бізнес не звик надто турбуватись про захист персональних даних своїх клієнтів, адже законодавче середовище не створило для цього передумов: максимальна санкція за ст. 188-39 КУпАП становить 34 000 грн. Як наслідок – бізнес цим користується, а споживачі не мають ефективних способів протидії небажаному використанню їхніх даних.
У свідомості українського суспільства ще не розвинута культура приватності, а в бізнесу немає розуміння, що персональні дані – це не лише маркетинговий актив, стратегія просування та збільшення прибутку, а й джерело ризиків – фінансових та репутаційних, і не турбуватись про схоронність клієнтських даних та їх обмежене використання – означає собі нашкодити.
Вимоги, що закладаються законопроєктом 8153, безумовно ускладнять роботу бізнесу. І я говорю навіть не про неоднозначні положення, а про базово інший рівень вимог. Наприклад, на європейському ринку вже давно є нормою, що встановлення систем відеоспостереження або віддаленого робочого столу на корпоративних ноутбуках невід’ємно пов’язане зі створенням значного обсягу документації, яка фіксує оцінку ризиків, заходи їх мінімізації, визначає обмеження щодо збору та використання певних категорій даних, строків їх зберігання тощо. Те саме стосується маркетингу: звичка збирати максимальний обсяг даних через аналітичні інструменти та якомога частіше надсилати аудиторії email/SMS/Viber-розсилки з промокодами чи нагадуванням про переглянуті товари потребуватиме перегляду та зміни прийомів утримання клієнта, що не може не викликати обурення з боку маркетологів. Тож українському бізнесу варто починати готуватись до нововведень вже зараз, і не лише морально.
Основні зміни, які пропонуються. В межах цього допису пропоную тезовий огляд основних новел, що матимуть важливе значення для бізнесу.
Запровадження принципу підзвітності, який означає, що наглядовий орган може запитати, а бізнес повинен надати докази виконання вимог Закону у вигляді внутрішньої документації, що має створюватись в низці випадків, а також продемонструвати фактично вжиті заходи. Наприклад, якщо обробка даних відбувається на підставі легітимного (законного) інтересу, компанія повинна задокументувати оцінку такого інтересу й дотримуватись визначених для себе обмежень на практиці. Відсутність документів/заходів може розглядатись як порушення та слугувати підставою для накладення штрафу.
«Реформа» згоди як підстави обробки персональних даних. Зокрема, йдеться про заборону активації за замовчуванням чекбоксів «Я даю згоду на обробку персональних даних» на вебсайтах та в мобільних додатках, а також заборону включати пункти про згоду до умов договору зі споживачем, коли відмова від надання згоди унеможливлює придбання товару/послуги. Сюди ж можна віднести заборону використовувати згоду як підставу обробки даних у випадках, коли суб’єкт знаходиться у залежному чи підпорядкованому становищі (стосується, наприклад, згод працівників на користь роботодавця в певних випадках).
Визначення поняття «прямий маркетинг» та правил його здійснення, у тому числі, якщо суб’єкт даних не надавав згоди на маркетингову комунікацію, а відповідні дії (наприклад, email чи push-розсилка акційних пропозицій) реалізуються на підставі легітимного (законного) інтересу. До речі, мобільні додатки, що не передбачають опції вимкнення сповіщень, набридаючи акційними пропозиціями, також підпадатимуть під дію цих положень, і будуть змушені доопрацювати свій інтерфейс.
Надання можливості суб’єкту персональних даних звернутись до постачальника електронних комунікаційних мереж та/або послуг із запитом про встановлення контактних даних іншого абонента, який здійснює небажані виклики та повідомлення.
Заборона відстеження дій суб'єктів персональних даних за допомогою програмного забезпечення, вебсайтів, мобільних чи інших застосунків, крім певних випадків, визначених Законом та за умови дотримання принципів обробки персональних даних (див. п. 1 цього переліку). Зокрема, йдеться про використання cookies та інших трекінгових технологій – і це означає, що cookie-банери, які містять одну кнопку «Я погоджуюсь на використання cookies» стануть незаконними, хоча ці норми стосуються значно ширшого переліку обробок даних.
Встановлення вимог до відеоспостереження юридичними та фізичними особами і заборона обробки даних відеоспостереження у спосіб, несумісний з цілями, для яких вони були зібрані. Варто відзначити, що GDPR не містить спеціальної норми щодо відеоспостереження, і не обмежує на рівні закону перелік цілей, для яких останнє може використовуватись. Український законодавець демонструє дещо інший підхід, тож якщо відповідні положення законопроєкту будуть схвалені, то потребуватимуть подальших роз’яснень з боку контролюючого органу, адже нерідко бізнес використовує системи відеоспостереження не лише для цілей забезпечення безпеки й попередження правопорушень, а й з метою відстеження ефективності операційних процесів. В будь-якому випадку, така обробка даних потребуватиме документування.
Деталізація прав суб’єктів персональних даних (порівняно з чинною редакцією Закону) та статусів контролера, спільного контролера, оператора (володільця та розпорядника за термінологією чинного Закону). Запровадження договору про розподіл обов’язків з обробки персональних даних для спільних контролерів з можливістю ознайомитись з його змістом у порядку, встановленому Законом України «Про доступ до публічної інформації».
Зобов’язання здійснювати реєстрацію операцій з обробки персональних даних, іншими словами – зафіксувати кожну(!) обробку даних в спеціальному документі. З практичної точки зору, реєстр обробок персональних даних (або протокол в термінології законопроєкту) є документом, який зосереджує в собі вихідну інформацію про потоки даних в компанії. Для його ґрунтовної підготовки інколи вимагається тривалий час (і це нормально). Власнику бізнесу він дає можливість краще контролювати свої операційні процеси, тож чималі зусилля, що витрачаються на його підготовку, цілком виправдані.
Встановлення низки вимог до передачі персональних даних на територію іншої держави. Ці норми будуть застосовуватись, якщо бізнес має партнерів чи підрядників у інших країнах і передає їм персональні дані (наприклад, використовує CRM-системи або сервери, в тому числі хостинг/хмарні рішення/SaaS-продукти, провайдери яких є нерезидентами).
Визначення особливостей обробки персональних даних в трудових відносинах та при працевлаштуванні. Зокрема, йдеться про вимоги до обробки даних, що стосуються оцінки професійної компетентності кандидата, а також умови використання систем з біометричними даними працівників (наприклад, системи контролю доступу з входом за відбитком пальця чи сітківкою ока).
Зобов’язання повідомляти контролюючий орган про порушення безпеки персональних даних не пізніше 72 год. з моменту виявлення останнього, а суб’єктів персональних даних – без невиправданої затримки, з одночасним встановленням санкцій за невиконання цього обов’язку.
Встановлення штрафів за порушення вимог щодо обробки персональних даних у розмірі від 30 000 грн. до 3/5/8 % загального річного обороту юридичної особи за кожне окреме порушення вимог Закону (залежно від виду порушення).
Як запропоновані зміни вплинуть на бізнес? Передусім, комплаєнс приватності – це недешеве задоволення. До слова, екстериторіальний принцип дії GDPR (тобто необхідність виконання його вимог всіма іноземними компаніями, які хочуть працювати на ринку ЄС) якраз і був зумовлений тим, щоб місцеві товари не програвали в ціні іноземним всередині європейського ринку.
Проте, якщо абстрагуватись від емоцій «Чи на часі такі зміни?» та подивитись на неочевидні наслідки приведення бізнесу у відповідність до GDPR-like регулювання, можливо несподівано виявити їх позитивну сторону: в більшості випадків на старті бізнес не знає обсягів даних, що проходять в межах тих чи інших операційних процесів, і нерідко витрачає зайві ресурси на зайві дії. Або має «сліпі зони» контролю й ризикує втратити дані (й нашкодити репутації) там, де не підозрює такої вірогідності. В ході розробки необхідної документації ці прогалини зручно виправити. Так, змінювати бізнес-процеси – це складно, але коли розвиток був легкою справою?
Юристам та майбутнім DPO бізнесу доведеться опанувати новий набір навичок, який не є очевидним і тісно межує зі знаннями інформаційних технологій, але дозволяє побачити зворотній бік бізнесу під новим кутом, а судова практика з часом почне аналізувати легітимні (законні) інтереси контролерів та розрізняти обсяги даних, що одночасно обробляються за різними правовими підставами.
Очевидним є одне: регуляторні вимоги можна сприймати як тягар і формальність, а можна – як інструмент для створення конкурентної переваги та діалогу зі своєю цільовою аудиторією. Останній випадок – показник свідомого, відповідального бізнесу.
