Спільний контроль у бізнесі: чому статус має значення?
Обмін даними з партнерами, єдина клієнтська база та маркетингова стратегія – розглядаємо статус спільних контролерів та нові наслідки звичних дій.
Медичний заклад і наукова установа досліджують новий метод лікування, група будівельних компаній реалізує узгоджену маркетингову стратегію, автоперевізник та туроператор разом організовують відпочинок туристів, декілька ФОП надають освітні послуги з іноземної мови з використанням однієї CRM-системи – що може об’єднувати ці партнерства, окрім отримання прибутку?
Один з неочевидних варіантів відповіді на це питання – це обробка персональних даних клієнтів та ризики порушень нового законодавства.
В Україні традиційно відомі терміни «володілець» та «розпорядник» персональних даних. З оновленням Закону України «Про захист персональних даних» їх замінять «контролер» та «оператор», а також з’явиться новий статус – «спільний контролер».
Що таке спільний контроль?
Концепція спільного контролерства запозичується з європейського Загального регламенту із захисту даних (GDPR). Суть цього підходу полягає в тому, щоб не дозволити бізнесу перекладати відповідальність і змусити врегульовувати домовленості між партнерами таким чином, щоб вони не перешкоджали реалізації прав суб'єктів даних, а регулятор мав можливість їх перевірити. Іншими словами, ця концепція створює умови для виконання принципів прозорості та підзвітності суб’єктами господарювання, які спільно обробляють персональні дані й можуть приймати рішення про те, чому і як вони обробляються. А порушення принципів, як вже згадувалось у попередніх публікаціях, є окремою підставою для застосування штрафних санкцій.
Законопроєкт № 8153 від 25.10.2022 передбачає, що якщо два та більше контролерів разом визначають цілі та засоби обробки персональних даних, вони вважаються спільними контролерами й зобов’язані:
- укласти договір, який чітко визначає їхні ролі;
- розподілити «сфери впливу», в тому числі, хто є відповідальним за комунікацію з суб’єктами персональних даних;
- оприлюднити визначений законом перелік інформації.
Законопроєкт вказує, що положення договору, які регулюють розподіл обов’язків та впливають на права суб’єктів персональних даних, є інформацією, яка становить суспільний інтерес, і надається в порядку, встановленому Законом України «Про доступ до публічної інформації». При цьому, суб’єкт даних може здійснювати свої права щодо кожного з контролерів незалежно від умов договору, та ознайомитись зі змістом договору в порядку, встановленому вказаним Законом.
Чому для бізнесу важливо розуміти свій статус?
Насправді бізнес може не знати, що є спільним контролером за новим законодавством. Юридично незалежні суб'єкти господарювання можуть бути роками задіяні в обслуговуванні спільних клієнтів і при цьому бути досить автономними у своїй діяльності. Проблема з’являється тоді, коли та чи інша обробка даних потрапляє в поле зору регулятора – при перевірці або за скаргою невдоволеного клієнта. Перед бізнесом постає задача захистити свою позицію, адже від цього залежатиме міра відповідальності. Зробити це можна лише певними засобами доказування, а їх створення цілком і повністю залежить від своєчасності та послідовності вжитих бізнесом кроків. Важливий нюанс: усталений підхід загальноєвропейського наглядового органу із захисту даних (EDPB) полягає в тому, що кваліфікація статусу учасників відносин у сфері захисту персональних даних відбувається на основі оцінки фактичних обставин, встановлених в ході адміністративної процедури, а формальні домовленості, що надаються сторонами як докази в ході розслідування, мають дещо другорядне значення.
Є й інша проблема. У динамічних проєктах, де задіяно багато сторін і характер співпраці змінюється дуже швидко, буває важко відслідкувати та своєчасно задокументувати всі аспекти співпраці та зміни, що впливають на статус учасника обробки даних, але саме від цього значною мірою залежить позиція захисту перед регулятором.
Тож нерідко спільне контролерство стає джерелом неприємних сюрпризів. До слова, не кожна обробка персональних даних за участі кількох суб'єктів господарювання призводить до виникнення в них спільного контролю. Деякі з наведених на початку цього допису прикладів можуть породжувати як відносини окремого контролерства, так і спільного – все залежить від того, як побудована обробка даних. Тож все вирішує оцінка індивідуального випадку та стратегія, яку бажано напрацьовувати завчасно, не чекаючи перевірки регулятора.
Приклади з європейської практики
Суб'єкт даних, який мав заборгованість перед однією компанією, отримав відмову в реєстрації на навчальний курс в іншій компанії з підстав заборгованості перед її партнером. Як результат – він поскаржився в наглядовий орган м. Гамбург (Німеччина). Регулятор констатував, що ведення спільної бази клієнтів кількома юридично незалежними особами робить їх спільними контролерами та вимагає укладення договору, який відображатиме фактичний розподіл обов'язків. Констатувавши порушення ст. 26 GDPR, наглядовий орган наклав штраф у розмірі 13 тис. євро.
Інший випадок: провайдер хмарних обчислень вважав, що виступав посередником між клієнтами, які генерували запити на отримання даних, та ресурсами, що власне надавали інформацію. Провайдер стверджував, що його клієнти є контролерами, а він лише обробляє дані від їх імені – тобто є оператором (процесором) з доволі обмеженою роллю.
У ході розслідування наглядовий орган Словенії встановив, що бізнес-модель хмарних обчислень була побудована таким чином, що клієнти практично не мали впливу на технічні та організаційні заходи, які застосовував провайдер, тобто він визначав їх сам. За сукупністю обставин, оцінки характеру обробки даних та ролі клієнтів, наглядовий орган кваліфікував статус провайдера як контролера, але оскільки і він, і його клієнти визначали цілі та засоби обробки даних, їхня співпраця була визначена як спільне контролерство та порушення в тому числі ст. 26 GDPR.
Замість висновків
За сучасних умов технічний аспект комерційної взаємодії нерідко виходить на перший план, а в певних випадках може відіграти вирішальну роль у визначенні правового статусу її учасників і, як наслідок – визначенні обсягу відповідальності та переліку заходів, які необхідно (було) вжити.
Оновлення законодавства із захисту персональних даних неминуче. Релевантної правозастосовної практики в Україні немає, адже законопроєкт № 8153 передбачає значну кількість новел. Як вони будуть застосовуватись, значною мірою залежатиме від новоствореного регулятора. Відтак, при оскарженні перших штрафів доведення правової позиції визначатиметься спроможністю бізнесу пояснити, що і як відбувається з персональними даними всередині обробки – і це задача самого бізнесу.
- Захист прав національних спільнот – основний критерій вступу України в Європейський Союз Сергій Пєтков 18:12
- Час убезпечувати тил Євген Магда 15:36
- Шанс або вирок: як бути бізнесу в епоху цифрової трансформації Богдан Данилко 15:16
- Звільнення багатодітних батьків від оподаткування на об’єкти житлової нерухомості Юрій Стеценко 13:39
- Це не працює в B2B-маркетингу: як уникнути найпоширеніших помилок Алла Болоховська 11:46
- Проєкт регулювання криптоактивів в UK Олександр Черних 11:00
- Проблеми з концентрацією уваги: чому виникають і чи варто бити на сполох? Ольга Малахова вчора о 20:51
- Корпоративна безпека під час війни: як управляти ризиками в умовах невизначеності Тетяна Андріанова вчора о 16:49
- Аргентина відкриває правду про нацистів і диктатуру Дмитро Зенкін вчора о 14:59
- Заповіт під вибухами: як військові передають останню волю без нотаріуса Світлана Приймак вчора о 13:47
- Цивільна відповідальність за дитину: суд присудив відшкодувати збитки за пожежу Артур Кір’яков вчора о 12:59
- Блекаут Іберії 28 квітня 2025: уроки для енергоринку Ростислав Никітенко вчора о 12:33
- Офіс повертається Алеся Карнаухова вчора о 10:21
- "Давайте вже після Паски": як працює самосаботаж Людмила Євсєєнко вчора о 10:00
- Російська федерація приречена на крах Сергій Пєтков 28.04.2025 19:28
-
"Жоден управитель їх не візьме". Чому київським будинкам без ОСББ підвищили тарифи
Бізнес 9854
-
Америка в тумані "величі". 100 днів Трампа у цифрах і фактах
6039
-
Апеляція ВАКС залишила під вартою нардепа Бондаря
Бізнес 4911
-
Як реагувати на путінське "припинення вогню" до 9 травня
Думка 4605
-
Між Трампом та Кремлем. Як Європа готується зміцнювати оборону без США
4190