У червні у Верховній Раді зареєстровано законопроєкт про захист персональних даних № 5628. Законопроєкт має погодити локальне законодавство з Регламентом ЄС про захист даних (GDPR) і встановити оновлені правила опрацювання персональних даних. Попередньо очікується, що законопроєкт (після ухвалення) набере чинності у 2023 році. Але навіть до цього часу GDPR може впливати і впливає на український бізнес. Нижче ми розглянули деякі з останніх тенденцій у цій сфері.
Передача персональних даних у «треті країни»: стандартні договірні положення та оцінка передачі даних
Для цілей GDPR Україна вважається «третьою країною». Крім того, ЄС не визнав нас країною, яка забезпечує адекватний захист персональних даних. Через те для передачі даних із ЄС в Україну компанії підписують документ під назвою Standard Contractual Clauses (SCC), який є належною підставою для передачі даних у цьому випадку.
Донедавна контрагенти ставилися до цього документа як до формальної вимоги, якої не важко дотримуватися. Однак за останній рік у питанні передачі даних у «треті країни» відбулися значні зміни:
- у липні 2020 року Суд Європейського Союзу ухвалив рішення в справі Schrems II, яким визнав недійсним механізм передачі даних із ЄС у США, відомий як Privacy Shield. Крім того, Суд встановив, що компанії з ЄС, які передають дані в «треті країни», мають оцінити, чи будуть персональні дані в таких країнах захищені на рівні, сумісному з GDPR;
- у червні 2021 року було затверджено фінальні рекомендації Європейської ради із захисту персональних даних (EDPB) до проведення такої оцінки. Згідно з рекомендаціями, сторони мають оцінити, чи може законодавство та адміністративна практика «третьої країни» знівелювати ефективність гарантій, наданих щодо передачі персональних даних у конкретному випадку;
- у червні 2021 року також було ухвалено нову редакцію SCC. Вона враховує зазначене рішення Суду Європейського Союзу та рекомендації EDPB і покладає на сторони обов’язок провести оцінку передачі даних і задокументувати її результати.
Наведені зміни передбачають активну участь контрагентів (зокрема українських компаній) у підготовці документів щодо передачі даних. Оскільки саме компанії з «третіх країн» можуть допомогти європейським партнерам оцінити місцеве законодавство щодо ризиків і задокументувати результати такої оцінки. З огляду на наслідки Brexit окремо варто очікувати нового режиму передачі даних зі Сполученого Королівства в «треті країни», щодо якого вже відбуваються публічні консультації.
Скрупульозність до Big Tech компаній: можливий вплив на локальний бізнес
За період із липня до вересня європейські регулятори у сфері захисту даних (DPA) наклали 2 найбільші штрафи за порушення GDPR:
• люксембурзьке DPA наклало штраф у розмірі 746 мільйонів євро на Amazon (припускають, що причиною штрафу є використання Amazon цільової реклами без належної згоди користувачів);
• ірландське DPA наклало штраф у розмірі 225 мільйонів євро на WhatsApp через проблеми з прозорістю опрацювання даних.
Ці випадки підтверджують загальну тенденцію – намагання регуляторів змусити великі компанії дотримуватися єдиних правил і запобігти черговим масовим зловживанням під час опрацювання даних. Очікується, що така тенденція змусить і самі компанії переглянути свої процеси на відповідність GDPR та іншим релевантним вимогам. Так, після рішення в справі Schrems II такі компанії, імовірно, приділятимуть більше уваги процесам передачі даних із ЄС підрядникам (чи субпідрядникам) у «треті країни», зокрема в Україну.
«Невидима рука» GDPR: відповідальність компаній, які розташовані за межами ЄС
У травні цього року DPA Нідерландів ухвалило рішення накласти штраф у розмірі 525 тисяч євро на Locatefamily.com – фактично вебсайт, сервери якого, на думку регулятора, розміщено в Канаді. Водночас DPA не встановило конкретну особу, яка є власником ресурсу.
Причина штрафу – порушення обов’язку щодо призначення представника в ЄС із питань опрацювання персональних даних (data representative). Такий обов’язок виникає в тих компаній, які підпадають під екстериторіальну дію GDPR і водночас здійснюють певні види опрацювання даних, визначені в GDPR (наприклад, опрацювання, яке може становити особливий ризик для прав і свобод фізичних осіб з огляду на його природу, обсяг, цілі тощо).
Це рішення демонструє, як положення про екстериторіальну дію GDPR (одне з найменш досліджених наразі) може працювати на практиці. Питання примусового виконання цього штрафу залишається відкритим. Попри це репутаційні втрати від рішення DPA Нідерландів є суттєвими. Так, будь-який пошук інформації щодо Locatefamily (ресурсу, який дає змогу відшукати своїх родичів у різних країнах світу й повністю залежить від опрацювання даних) демонструє, що в нього були проблеми з виконанням вимог GDPR.
За останні 3 роки український бізнес пройшов етапи підвищеної уваги до GDPR (через положення про його екстериторіальність та високі розміри штрафів) і значною мірою ігнорування його положень. Проте наведені тенденції застосування GDPR і перспективи ухвалення законопроєкту можуть знову повернути питання комплаєнсу у сфері захисту даних до порядку денного локальних компаній.
Редакція не несе відповідальності за зміст матеріалу і може не поділяти точку зору його автора
Читайте також
We make it Grain: реєстрацію на міжнародну конференцію Grain Ukraine 2025 відкрито
