Спільний контроль у бізнесі: чому статус має значення?
Обмін даними з партнерами, єдина клієнтська база та маркетингова стратегія – розглядаємо статус спільних контролерів та нові наслідки звичних дій.
Медичний заклад і наукова установа досліджують новий метод лікування, група будівельних компаній реалізує узгоджену маркетингову стратегію, автоперевізник та туроператор разом організовують відпочинок туристів, декілька ФОП надають освітні послуги з іноземної мови з використанням однієї CRM-системи – що може об’єднувати ці партнерства, окрім отримання прибутку?
Один з неочевидних варіантів відповіді на це питання – це обробка персональних даних клієнтів та ризики порушень нового законодавства.
В Україні традиційно відомі терміни «володілець» та «розпорядник» персональних даних. З оновленням Закону України «Про захист персональних даних» їх замінять «контролер» та «оператор», а також з’явиться новий статус – «спільний контролер».
Що таке спільний контроль?
Концепція спільного контролерства запозичується з європейського Загального регламенту із захисту даних (GDPR). Суть цього підходу полягає в тому, щоб не дозволити бізнесу перекладати відповідальність і змусити врегульовувати домовленості між партнерами таким чином, щоб вони не перешкоджали реалізації прав суб'єктів даних, а регулятор мав можливість їх перевірити. Іншими словами, ця концепція створює умови для виконання принципів прозорості та підзвітності суб’єктами господарювання, які спільно обробляють персональні дані й можуть приймати рішення про те, чому і як вони обробляються. А порушення принципів, як вже згадувалось у попередніх публікаціях, є окремою підставою для застосування штрафних санкцій.
Законопроєкт № 8153 від 25.10.2022 передбачає, що якщо два та більше контролерів разом визначають цілі та засоби обробки персональних даних, вони вважаються спільними контролерами й зобов’язані:
- укласти договір, який чітко визначає їхні ролі;
- розподілити «сфери впливу», в тому числі, хто є відповідальним за комунікацію з суб’єктами персональних даних;
- оприлюднити визначений законом перелік інформації.
Законопроєкт вказує, що положення договору, які регулюють розподіл обов’язків та впливають на права суб’єктів персональних даних, є інформацією, яка становить суспільний інтерес, і надається в порядку, встановленому Законом України «Про доступ до публічної інформації». При цьому, суб’єкт даних може здійснювати свої права щодо кожного з контролерів незалежно від умов договору, та ознайомитись зі змістом договору в порядку, встановленому вказаним Законом.
Чому для бізнесу важливо розуміти свій статус?
Насправді бізнес може не знати, що є спільним контролером за новим законодавством. Юридично незалежні суб'єкти господарювання можуть бути роками задіяні в обслуговуванні спільних клієнтів і при цьому бути досить автономними у своїй діяльності. Проблема з’являється тоді, коли та чи інша обробка даних потрапляє в поле зору регулятора – при перевірці або за скаргою невдоволеного клієнта. Перед бізнесом постає задача захистити свою позицію, адже від цього залежатиме міра відповідальності. Зробити це можна лише певними засобами доказування, а їх створення цілком і повністю залежить від своєчасності та послідовності вжитих бізнесом кроків. Важливий нюанс: усталений підхід загальноєвропейського наглядового органу із захисту даних (EDPB) полягає в тому, що кваліфікація статусу учасників відносин у сфері захисту персональних даних відбувається на основі оцінки фактичних обставин, встановлених в ході адміністративної процедури, а формальні домовленості, що надаються сторонами як докази в ході розслідування, мають дещо другорядне значення.
Є й інша проблема. У динамічних проєктах, де задіяно багато сторін і характер співпраці змінюється дуже швидко, буває важко відслідкувати та своєчасно задокументувати всі аспекти співпраці та зміни, що впливають на статус учасника обробки даних, але саме від цього значною мірою залежить позиція захисту перед регулятором.
Тож нерідко спільне контролерство стає джерелом неприємних сюрпризів. До слова, не кожна обробка персональних даних за участі кількох суб'єктів господарювання призводить до виникнення в них спільного контролю. Деякі з наведених на початку цього допису прикладів можуть породжувати як відносини окремого контролерства, так і спільного – все залежить від того, як побудована обробка даних. Тож все вирішує оцінка індивідуального випадку та стратегія, яку бажано напрацьовувати завчасно, не чекаючи перевірки регулятора.
Приклади з європейської практики
Суб'єкт даних, який мав заборгованість перед однією компанією, отримав відмову в реєстрації на навчальний курс в іншій компанії з підстав заборгованості перед її партнером. Як результат – він поскаржився в наглядовий орган м. Гамбург (Німеччина). Регулятор констатував, що ведення спільної бази клієнтів кількома юридично незалежними особами робить їх спільними контролерами та вимагає укладення договору, який відображатиме фактичний розподіл обов'язків. Констатувавши порушення ст. 26 GDPR, наглядовий орган наклав штраф у розмірі 13 тис. євро.
Інший випадок: провайдер хмарних обчислень вважав, що виступав посередником між клієнтами, які генерували запити на отримання даних, та ресурсами, що власне надавали інформацію. Провайдер стверджував, що його клієнти є контролерами, а він лише обробляє дані від їх імені – тобто є оператором (процесором) з доволі обмеженою роллю.
У ході розслідування наглядовий орган Словенії встановив, що бізнес-модель хмарних обчислень була побудована таким чином, що клієнти практично не мали впливу на технічні та організаційні заходи, які застосовував провайдер, тобто він визначав їх сам. За сукупністю обставин, оцінки характеру обробки даних та ролі клієнтів, наглядовий орган кваліфікував статус провайдера як контролера, але оскільки і він, і його клієнти визначали цілі та засоби обробки даних, їхня співпраця була визначена як спільне контролерство та порушення в тому числі ст. 26 GDPR.
Замість висновків
За сучасних умов технічний аспект комерційної взаємодії нерідко виходить на перший план, а в певних випадках може відіграти вирішальну роль у визначенні правового статусу її учасників і, як наслідок – визначенні обсягу відповідальності та переліку заходів, які необхідно (було) вжити.
Оновлення законодавства із захисту персональних даних неминуче. Релевантної правозастосовної практики в Україні немає, адже законопроєкт № 8153 передбачає значну кількість новел. Як вони будуть застосовуватись, значною мірою залежатиме від новоствореного регулятора. Відтак, при оскарженні перших штрафів доведення правової позиції визначатиметься спроможністю бізнесу пояснити, що і як відбувається з персональними даними всередині обробки – і це задача самого бізнесу.
- Пенсійна рулетка Андрій Павловський вчора о 19:35
- Чому у відпустках приймають рішення про звільнення? Ольга Малахова вчора о 17:10
- Made in Vietnam, approved in Kyiv: схема по-новому Дана Ярова вчора о 17:02
- Час розблокувати будівництво нових об'єктів та залучення інвестицій в громадах Лариса Білозір 10.07.2025 20:41
- Заповіт у Дубаї: нові можливості для українців у DIFC Courts Олена Широкова 10.07.2025 15:45
- Конфлікти у бізнесі: як перетворити загрозу на джерело зростання Олександр Скнар 10.07.2025 14:36
- У кожному дроні – сертифікат світової байдужості Дана Ярова 10.07.2025 12:05
- Бізнес з країнами Близького Сходу: що потрібно знати про гроші, темп і традиції Любомир Паладійчук 09.07.2025 21:38
- Фінансова свобода: що ми насправді вкладаємо у це поняття? Олександр Скнар 09.07.2025 14:34
- Нова ера на енергетичних ринках: кінець диктатури цін Ксенія Оринчак 08.07.2025 16:49
- Український бізнес на Близькому Сході: культура, право і підводні камені Олена Широкова 08.07.2025 16:12
- Замість реформи – репертуар. Замість дій – кастинг на премʼєра Дана Ярова 08.07.2025 15:54
- Преюдиційне значення рішення МКАС при ТПП України для інших спорів: правовий аналіз Валентина Слободинска 08.07.2025 14:47
- Чому бізнес-коучинг стає все більш затребуваним? Олександр Скнар 08.07.2025 14:27
- Негаторний чи віндикаційний позов: який спосіб захисту обрати у земельному спорі? Андрій Лотиш 08.07.2025 14:03
- Пенсійна рулетка 170
- Військово-економічна пастка: чому зламався бум РФ 149
- Медіація у бізнесі: чи готові українські компанії до альтернативних рішень? 105
- Негаторний чи віндикаційний позов: який спосіб захисту обрати у земельному спорі? 52
- Справи про міжнародне викрадення дітей в світлі практики Верховного Суду 51
-
"Цифри шокують". Гетманцев оприлюднив дані про найбільші в Україні пенсії
Фінанси 17555
-
Банк ЄС анонсував 600 млн євро для України: найбільша сума – на відновлення ГЕС
Фінанси 4940
-
Лідер картелю ОПЕК несподівано перевищив квоту з видобутку нафти
Бізнес 4842
-
"По-справжньому довіряти одне одному": сім фраз, які використовують пари з міцною довірою
Життя 4842
-
Україна за допомогою ЄБРР запустить нову фондову біржу: меморандум
Фінанси 4770