Что нужно знать о новых правилах обработки персональных данных?

"Якщо уявити, що персональні дані – це капітал, який формує і живить новий єдиний цифровий ринок, то чи є їхній захист фундаментальним правом людини?"

Ян Крюгер, виконавчий віце-президент SAI Global

25 травня 2018 року набрав чинності Регламент Європейського Парламенту і Ради ЄС від 27 квітня 2016-го про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух даних.

Зміна політики приватності в Європейському Союзі не залишилася без уваги з боку експертів.

Більше того, ледве встигнувши набрати чинність, Регламент дав підґрунтя для перших скарг проти інтернет-гігантів.

Так, того ж 25 травня 2018 року позивач в особі неприбуткової організації "None of Your Business" звинуватив Facebook, Google, Instagram, WhatsApp у шантажі – доступ до сервісів компаній залежить від згоди користувача на опрацювання його персональних даних ("take it or leave it").

"Facebook навіть заблокував акаунти користувачів, які не надали згоди. Врешті-решт перед користувачами поставав вибір: або видалити свій акаунт, або натиснути "Я погоджуюся з умовами та правилами користування".

Це не вільний вибір. Все це більше нагадує виборчий процес у Північній Кореї" (Макс Шремс, Голова компанії NOYB).

28 травня французька правозахисна група Quadrature du Net ("La Quad") подала подібні скарги проти Facebook, Google (Gmail, YouTube, Search), Apple, Amazon та LinkedIn. Крім того, La Quad обіцяє подати додаткові скарги проти Skype, Outlook, Android, WhatsApp і Instagram.

До слова, така політика компаній, відповідно до Регламенту, загрожує їм адміністративним штрафом у розмірі до 4% від загального глобального річного обігу за попередній фінансовий рік.

Якими є новації Регламенту щодо врегулювання питання опрацювання персональних даних і яким чином він посприяв вирішенню проблем захисту права людини на приватне життя?

1. Запроваджено концепцію "згоди" фізичної особи на опрацювання її персональних даних.

В основі всіх нововведень Регламенту – принцип повного та абсолютного інформування особи про всі дії з її персональними даними.

Цей принцип тісно пов’язаний із концепцією згоди – вільно наданого, конкретного, проінформованого та однозначного свідчення погодження фізичної особи на опрацювання її персональних даних.

Відповідно, це означає, що згода має бути виключно результатом усвідомленого вибору фізичної особи щодо опрацювання її персональних даних для однієї цілі. Наприклад, не є усвідомленим вибором автоматичне проставлення галочок у "consent boxes".

Проте на практиці вже виникають ситуації, за яких згоду намагаються отримати так би мовити обманним шляхом – зокрема, під виглядом згоди на правила та умови користування сервісами.

Інакше фізичній особі відмовляють у користуванні відповідними онлайновими сервісами. Яскравим прикладом є наведені вищі скарги проти інтернет-корпорацій.

2. Закріплено право на стирання персональних даних, або "право бути забутим".

Відповідно до статті 17 Регламенту, фізична особа, дані якої опрацьовуються, має право на негайне стирання своїх персональних даних, включно з посиланнями на такі персональні дані чи їхні копії.

Як і будь-яке правило, це також має свої винятки. Зокрема, воно не поширюється на випадки, коли інформація є необхідною для досягнення цілей суспільного інтересу, наукового чи історичного дослідження, статистичних цілей, формування, здійснення або захисту правових претензій та інше.

Виникає запитання: а чи можна заперечити опрацювання персональних даних? Так, безумовно.

Компанія зобов’язана припинити опрацювання ваших персональних даних у разі наявності відповідного запиту. Наприклад, ви можете вимагати видалення фотографії, на якій вас чітко можна ідентифікувати.

Проте: питання опрацювання фотографій є доволі делікатним.

Віднедавна туристи занепокоїлись тим, чи зобов’язані вони видаляти світлину, на якій чітко видно обличчя третіх осіб.

Регламент надає свободу вибору: або запросити згоду, що досить часто буде обтяжливим, або розмити зображення третіх осіб з метою унеможливлення їхньої ідентифікації. Інший вихід – обмежити доступ до вашої сторінки.

3. Забезпечено доступ фізичних осіб до персональних даних, які збирають щодо них.

Чимала кількість справ як у Європейському суді з прав людини, так і в Суді Європейського Союзу стосувалася скарг заявників на відсутність у них доступу до власних персональних даних, зокрема до медичних карток з результатами діагнозів, результатів обстежень і так далі або відомостей, які зберігають щодо працівників їхні роботодавці.

Регламент запропонував дві головні новації в цьому напрямку.

По-перше, закріпив право фізичної особи на доступ до персональних даних, що збирають щодо неї, у тому числі до інформації про цілі збирання таких даних, їхніх одержувачів та наслідки такого опрацювання.

По-друге, Регламент чітко визначив, що компанія, яка збирала персональні дані щодо фізичної особи, зобов’язана надати доступ останній до її персональних даних щонайменше протягом одного місяця з дня отримання відповідного запиту від фізичної особи. З урахуванням складності та кількості запитів такий строк може бути продовжено на два місяці.

4. Удосконалено алгоритм захисту персональних даних.

Квінтесенцією Регламенту є те, що особа сама визначає бажаний ступінь та межі втручання у своє приватне життя.

Технічно ще на етапі розроблення онлайн-продукту має бути впроваджено механізми і технології, що максимально забезпечать захист персональних даних користувача.

Наприклад, на момент реєстрації в соціальній мережі автоматично налаштовується обмежений доступ до профайлу фізичної особи, відкрити який для інших користувачів може виключно за власним бажанням відповідна фізична особа.

Крім того, компанія, яка опрацьовує персональні дані, несе відповідальність за те, щоб сторонні особи не отримали доступу до персональних даних фізичної особи, дані якої опрацьовуються.

Для цього впроваджено використання псевдонімів і кодування даних. Відповідно, дані уособлюються не з конкретною фізичною особою, а з псевдонімом, який обирає така особа і який одноособово володіє кодом доступу до персональних даних.

Відтак, вибір політики приватності лишається на розсуд самого користувача.

Для чого варто знати і вміти застосовувати положення Регламенту?

Все дуже просто. Персональні дані – по суті, приватна інформація – не існують без прив’язки до конкретної фізичної особи, а відтак будь-які прогалини в регулюванні персональних даних можуть призвести до порушень прав людини.

Та, власне, і призводять, про що свідчить практика Європейського суду з прав людини. Зокрема, систематичними порушеннями права людини на приватність є такі:

– передача спеціальних категорій персональних даних без згоди фізичної особи, дані якої опрацьовуються (справа Авілкіна та інші проти Російської Федерації, рішення від 6 червня 2013 року);

– зберігання органами державної влади відбитків пальців, зразків клітин і профілів ДНК особи, щодо якої було винесено виправдувальний вирок (справа С. та Марпер проти Сполученого Королівства, рішення від 4 грудня 2008 року), причому навіть самé зберігання даних, що стосуються приватного життя фізичної особи, становить порушення статті 8 Конвенції;

– внесення персональних даних особи до баз даних органів державної влади і подальше використання таких даних для інших цілей (справа Шимоволос проти Росії, рішення від 21 червня 2011 року);

– збирання персональних медичних даних пацієнта державною медичною установою без згоди самого пацієнта (справа Л. Х. проти Латвії, рішення від 29 квітня 2014 року);

– перешкоджання доступу фізичних осіб, дані яких опрацьовуються, до власних персональних даних (справа К. Х. та інші проти Словаччини, рішення від 28 квітня 2008 року) та інші.

І наостанок : яке значення має Регламент для України?

Перед українськими читачами, певно, неодноразово поставало питання того, наскільки важливим є знання тонкощів Регламенту. Є кілька аспектів.

Першим фактором є екстериторіальність дії Регламенту – зокрема, сфера його дії поширюється на українські компанії, які опрацьовують персональні дані резидентів Європейського Союзу.

Проте не менш суттєвим є той факт, що гармонізація українського законодавства до права ЄС є одним із пріоритетних завдань імплементації Угоди про асоціацію між Україною та ЄС.

До слова, включення питання щодо приведення українського законодавства у відповідність до Регламенту до проекту змін до Плану дій з реалізації Національної стратегії у сфері прав людини на період до 2020 року свідчить про важливість європейського документу для забезпечення захисту прав людини в Україні.

Владислав Власюк, генеральний директор Директорату з прав людини, доступу до правосуддя та правової обізнаності Мін'юсту

Наталія Герасимчук, державний експерт з правової роботи Директорату