Обмін даними з партнерами, єдина клієнтська база та маркетингова стратегія – розглядаємо статус спільних контролерів та нові наслідки звичних дій.
Медичний заклад і наукова установа досліджують новий метод лікування, група будівельних компаній реалізує узгоджену маркетингову стратегію, автоперевізник та туроператор разом організовують відпочинок туристів, декілька ФОП надають освітні послуги з іноземної мови з використанням однієї CRM-системи – що може об’єднувати ці партнерства, окрім отримання прибутку?
Один з неочевидних варіантів відповіді на це питання – це обробка персональних даних клієнтів та ризики порушень нового законодавства.
В Україні традиційно відомі терміни «володілець» та «розпорядник» персональних даних. З оновленням Закону України «Про захист персональних даних» їх замінять «контролер» та «оператор», а також з’явиться новий статус – «спільний контролер».
Що таке спільний контроль?
Концепція спільного контролерства запозичується з європейського Загального регламенту із захисту даних (GDPR). Суть цього підходу полягає в тому, щоб не дозволити бізнесу перекладати відповідальність і змусити врегульовувати домовленості між партнерами таким чином, щоб вони не перешкоджали реалізації прав суб'єктів даних, а регулятор мав можливість їх перевірити. Іншими словами, ця концепція створює умови для виконання принципів прозорості та підзвітності суб’єктами господарювання, які спільно обробляють персональні дані й можуть приймати рішення про те, чому і як вони обробляються. А порушення принципів, як вже згадувалось у попередніх публікаціях, є окремою підставою для застосування штрафних санкцій.
Законопроєкт № 8153 від 25.10.2022 передбачає, що якщо два та більше контролерів разом визначають цілі та засоби обробки персональних даних, вони вважаються спільними контролерами й зобов’язані:
укласти договір, який чітко визначає їхні ролі;
розподілити «сфери впливу», в тому числі, хто є відповідальним за комунікацію з суб’єктами персональних даних;
оприлюднити визначений законом перелік інформації.
Законопроєкт вказує, що положення договору, які регулюють розподіл обов’язків та впливають на права суб’єктів персональних даних, є інформацією, яка становить суспільний інтерес, і надається в порядку, встановленому Законом України «Про доступ до публічної інформації». При цьому, суб’єкт даних може здійснювати свої права щодо кожного з контролерів незалежно від умов договору, та ознайомитись зі змістом договору в порядку, встановленому вказаним Законом.
Чому для бізнесу важливо розуміти свій статус?
Насправді бізнес може не знати, що є спільним контролером за новим законодавством. Юридично незалежні суб'єкти господарювання можуть бути роками задіяні в обслуговуванні спільних клієнтів і при цьому бути досить автономними у своїй діяльності. Проблема з’являється тоді, коли та чи інша обробка даних потрапляє в поле зору регулятора – при перевірці або за скаргою невдоволеного клієнта. Перед бізнесом постає задача захистити свою позицію, адже від цього залежатиме міра відповідальності. Зробити це можна лише певними засобами доказування, а їх створення цілком і повністю залежить від своєчасності та послідовності вжитих бізнесом кроків. Важливий нюанс: усталений підхід загальноєвропейського наглядового органу із захисту даних (EDPB) полягає в тому, що кваліфікація статусу учасників відносин у сфері захисту персональних даних відбувається на основі оцінки фактичних обставин, встановлених в ході адміністративної процедури, а формальні домовленості, що надаються сторонами як докази в ході розслідування, мають дещо другорядне значення.
Є й інша проблема. У динамічних проєктах, де задіяно багато сторін і характер співпраці змінюється дуже швидко, буває важко відслідкувати та своєчасно задокументувати всі аспекти співпраці та зміни, що впливають на статус учасника обробки даних, але саме від цього значною мірою залежить позиція захисту перед регулятором.
Тож нерідко спільне контролерство стає джерелом неприємних сюрпризів. До слова, не кожна обробка персональних даних за участі кількох суб'єктів господарювання призводить до виникнення в них спільного контролю. Деякі з наведених на початку цього допису прикладів можуть породжувати як відносини окремого контролерства, так і спільного – все залежить від того, як побудована обробка даних. Тож все вирішує оцінка індивідуального випадку та стратегія, яку бажано напрацьовувати завчасно, не чекаючи перевірки регулятора.
Приклади з європейської практики
Суб'єкт даних, який мав заборгованість перед однією компанією, отримав відмову в реєстрації на навчальний курс в іншій компанії з підстав заборгованості перед її партнером. Як результат – він поскаржився в наглядовий орган м. Гамбург (Німеччина). Регулятор констатував, що ведення спільної бази клієнтів кількома юридично незалежними особами робить їх спільними контролерами та вимагає укладення договору, який відображатиме фактичний розподіл обов'язків. Констатувавши порушення ст. 26 GDPR, наглядовий орган наклав штраф у розмірі 13 тис. євро.
Інший випадок: провайдер хмарних обчислень вважав, що виступав посередником між клієнтами, які генерували запити на отримання даних, та ресурсами, що власне надавали інформацію. Провайдер стверджував, що його клієнти є контролерами, а він лише обробляє дані від їх імені – тобто є оператором (процесором) з доволі обмеженою роллю.
У ході розслідування наглядовий орган Словенії встановив, що бізнес-модель хмарних обчислень була побудована таким чином, що клієнти практично не мали впливу на технічні та організаційні заходи, які застосовував провайдер, тобто він визначав їх сам. За сукупністю обставин, оцінки характеру обробки даних та ролі клієнтів, наглядовий орган кваліфікував статус провайдера як контролера, але оскільки і він, і його клієнти визначали цілі та засоби обробки даних, їхня співпраця була визначена як спільне контролерство та порушення в тому числі ст. 26 GDPR.
Замість висновків
За сучасних умов технічний аспект комерційної взаємодії нерідко виходить на перший план, а в певних випадках може відіграти вирішальну роль у визначенні правового статусу її учасників і, як наслідок – визначенні обсягу відповідальності та переліку заходів, які необхідно (було) вжити.
Оновлення законодавства із захисту персональних даних неминуче. Релевантної правозастосовної практики в Україні немає, адже законопроєкт № 8153 передбачає значну кількість новел. Як вони будуть застосовуватись, значною мірою залежатиме від новоствореного регулятора. Відтак, при оскарженні перших штрафів доведення правової позиції визначатиметься спроможністю бізнесу пояснити, що і як відбувається з персональними даними всередині обробки – і це задача самого бізнесу.
