Но­ві ланд­ша­фти за­хи­сту пер­со­наль­них да­них: де­які по­ра­ди

Yurydychna Gazeta - - АНАЛІТИКА | ТЕЛЕКОМУНІКАЦІЇ / МЕДІА / ТЕХНОЛОГІЇ - Алі­наА і ПОДОЛЯК,ПОДОЛЯК адво­кат пра­кти­ки «Ін­те­ле­кту­аль­на вла­сність» МЮГ «Eterna Law»

Ін­тер­нет та ци­фро­ві те­хно­ло­гії транс­фор­му­ють наш світ. Сьо­го­дні Big Data – це осно­ва всіх он­лайн бі­знес-мо­де­лей. Май­же що­дня ми чи­та­є­мо но­ви­ни не ли­ше про по­зи­тив­ні мо­жли­во­сті від ви­ко­ри­ста­н­ня Big Data, але й про на­слід­ки їх ви­пад­ко­вої втра­ти або нав­ми­сно­го не­сан­кціо­но­ва­но­го до­сту­пу. До­ма­шня по­бу­то­ва те­хні­ка по­ча­ла «роз­мов­ля­ти» з лю­дьми та між со­бою, «ро­зум­ні» комп’юте­ри зма­га­ю­ться з про­фе­сій­ни­ми грав­ця­ми у вір­ту­аль­но­му сві­ті комп’ютер­них ігор, а ма­ши­ни ви­вча­ють ал­го­ри­тми по­ве­дін­ки лю­дей та са­мо­стій­но ді­а­гно­сту­ють за­хво­рю­ва­н­ня.

«Па­ли­вом» для всіх цих до­ся­гнень є Big Data – ве­ли­кі й рі­зно­ма­ні­тні на­бо­ри да­них, які по­стій­но та швид­ко збіль­шу­ю­ться. Що са­ме скла­дає ці на­бо­ри да­них? Ду­же ча­сто це осо­би­сті да­ні: он­лайн-фор­ма, яку ви за­пов­ни­ли для стра­ху­ва­н­ня ав­то­мо­бі­ля; ста­ти­сти­ка ва­шо­го фі­тнес-тре­ке­ра; ві­део­ка­ме­ри, у по­ле зо­ру яких ви по­тра­пи­ли у тор­го­во­му цен­трі; пу­блі­ка­ції та лай­ки в со­ці­аль­них ме­ре­жах, які ви зро­би­ли ми­ну­ло­го ти­жня чи на­віть три ро­ки то­му. Цей спи­сок мо­жна про­дов­жу­ва­ти, він ні­ку­ди не зни­кає, а хтось не­ві­до­мий все зби­рає та ана­лі­зує.

Зро­зумі­ло, що ви­ко­ри­ста­н­ня ве­ли­ких да­них має на­слід­ки для кон­фі­ден­цій­но­сті, за­хи­сту цих да­них, на чо­му, вла­сне, і зо­се­ре­дже­на ува­га но­во­го єв­ро­пей­сько­го стан­дар­ту за­хи­сту пер­со­наль­них да­них – General Data Protection Regulation (GDPR, Ре­гла­мент). Він на­би­рає чин­но­сті 25.05.2018 р.

У кра­ї­нах ЄС нор­ми Ре­гла­мен­ту ма­ють пря­му дію та по­ши­рю­ю­ться на всі кра­ї­ни-чле­ни. По­стає ло­гі­чне за­пи­та­н­ня про те, чо­му про но­вий Ре­гла­мент го­во­рять в Укра­ї­ні. Якщо, на­при­клад, укра­їн­ська ком­па­нія має спів­ро­бі­тни­ків, які є гро­ма­дя­на­ми кра­їн-чле­нів ЄС, або ком­па­нія ве­де спра­ви чи має клі­єн­тів у Єв­ро­пі, то во­на, ймо­вір­но, під­па­дає під дію GDPR.

Ниж­че по­го­во­ри­мо про де­які по­ра­ди для укра­їн­ських ком­па­ній, які вар­то вра­ху­ва­ти, щоб від­по­від­а­ти ви­мо­гам Ре­гла­мен­ту, а та­кож про те, як під­го­ту­ва­ти­ся, щоб вже зав­тра ве­сти свій бі­знес з єв­ро­пей­ськи­ми кон­тр­аген­та­ми.

Оче­ви­дно, що сьо­го­дні спосо­би збо­ру пер­со­наль­них да­них мо­жуть бу­ти най­рі­зно­ма­ні­тні­ши­ми. Зокре­ма, да­ні мо­жуть зби­ра­ти­ся вна­слі­док про­ве­де­н­ня тран­за­кцій­них (бан­ків­ських, по­што­вих) опе­ра­цій або бу­ти пе­ре­да­ни­ми пев­ній ком­па­нії тре­тьою осо­бою, або зби­ра­ти­ся он­лайн че­рез рі­зно­ма­ні­тні сай­ти, сер­ві­си, пла­тфор­ми, бо­ти то­що. За­ле­жно від спосо­бу збо­ру пер­со­наль­них да­них, вже сьо­го­дні укра­їн­ським ком­па­ні­ям ва­жли­во пе­ре­гля­ну­ти на пре­дмет від­по­від­но­сті Ре­гла­мен­ту фор­му до­ку­мен­та-зго­ди від клі­єн­та чи ко­ри­сту­ва­ча на оброб­ку йо­го пер­со­наль­них да­них, пра­ви­ла/умо­ви ко­ри­сту­ва­н­ня ті­єю чи ін­шою по­слу­гою ком­па­нії (або сер­ві­сом то­що), по­лі­ти­ку кон­фі­ден­цій­но­сті, в якій за­зви­чай мі­сти­ться ін­фор­ма­ція про те, як обро­бля­ю­ться пер­со­наль­ні да­ні. Най­імо­вір­ні­ше, ці до­ку­мен­ти по­тре­бу­ють сут­тє­вих змін, щоб від­по­від­а­ти но­вим ви­мо­гам. То­му якщо ви по­кла­да­є­те­ся на зго­ду клі­єн­та як на юри­ди­чну під­ста­ву оброб­ки йо­го да­них, ва­жли­во про­ве­сти аде­ква­тну пе­ре­вір­ку змі­сту до­ку­мен­та-зго­ди на оброб­ку пер­со­наль­них да­них та спосо­бу йо­го отри­ма­н­ня на пре­дмет від­по­від­но­сті но­вим пра­ви­лам.

Ре­гла­мент вдо­ско­на­лив та­кі пра­ва суб’єктів пер­со­наль­них да­них, як пра­во бу­ти ін­фор­мо­ва­ним, пра­во бу­ти за­бу­тим та пра­во за­бо­ро­ни­ти оброб­ку да­них. Пра­во бу­ти ін­фор­мо­ва­ним про оброб­ку пер­со­наль­них да­них суб’єкта ви­ра­жа­є­ться, зокре­ма, у спосо­бі до­ве­де­н­ня до та­ко­го суб’єкта ін­фор­ма­ції про ме­ту, спо­сіб оброб­ки да­них то­що. З Ре­гла­мен­ту вба­ча­є­ться, що та­ка зго­да не мо­же бу­ти ча­сти­ною умов ко­ри­сту­ва­н­ня чи по­лі­ти­ки кон­фі­ден­цій­но­сті, а має бу­ти від­кри­тою, яв­но ви­ра­же­ною та не­за­ву­а­льо­ва­ною. Та­кож ва­жли­во вра­ху­ва­ти, що суб'єкт да­них, від­по­від­но до Ре­гла­мен­ту, мо­же звер­ну­ти­ся в будь-який час із за­пи­том про ви­да­ле­н­ня йо­го пер­со­наль­них да­них або про за­бо­ро­ну оброб­ки та­ких да­них.

Ва­жли­во пам’ята­ти, що «онов­ле­на» зго­да на оброб­ку пер­со­наль­них да­них, що від­по­від­ає Ре­гла­мен­ту, має бу­ти одер­жа­на та­кож від тих суб’єктів, які вже на­да­ли її до то­го мо­мен­ту, ко­ли всі про­це­ду­ри ком­па­нії бу­ли при­ве­де­ні у від­по­від­ність до GDPR (тоб­то від тих суб’єктів, які на­да­ли зго­ду «за ста­ри­ми пра­ви­ла­ми»). В ін­шо­му ви­пад­ку ком­па­нія не має пра­ва обро­бля­ти пер­со­наль­ні да­ні, що бу­ли отри­ма­ні «за ста­ри­ми пра­ви­ла­ми». Якщо за­про­по­но­ва­на ком­па­ні­єю зго­да не від­по­від­ає ви­мо­гам GDPR, чи мо­же­те ви по­кла­да­ти­ся на аль­тер­на­тив­ну юри­ди­чну під­ста­ву за­кон­но­сті оброб­ки та­ких да­них?

З по­ло­жень Ре­гла­мен­ту та­кож вба­ча­є­ться, що якщо пер­со­наль­ні да­ні пе­ре­да­ю­ться тре­тім осо­бам, які мо­жуть здій­сню­ва­ти оброб­ку цих да­них, та­кі осо­би у ро­зу­мін­ні зга­да­но­го пра­во­во­го акту є «роз­по­ря­дни­ка­ми» («data processor» – мо­вою Ре­гла­мен­ту). От­же, тре­тя сто­ро­на мо­же обро­бля­ти осо­би­сті да­ні від іме­ні во­ло­діль­ця да­них («data controller» – мо­вою Ре­гла­мен­ту).

З огля­ду на те, що GDPR ви­су­ває низ­ку ви­мог, яких має до­дер­жу­ва­ти­ся як во­ло­ді­лець, так і роз­по­ря­дник пер­со­наль­них да­них, щоб про­де­мон­стру­ва­ти свою «від­по­від­ність» но­вим ви­мо­гам, ком­па­нії ва­жли­во про­ана­лі­зу­ва­ти вла­сну ро­бо­ту з да­ни­ми, а та­кож ті опе­ра­ції з оброб­ки да­них, що здій­сню­ю­ться, та ви­яви­ти по­тен­цій­ні ри­зи­ки, пов’яза­ні з та­кою оброб­кою. У цьо­му аспе­кті ре­ко­мен­ду­є­мо пе­ре­гля­ну­ти свої до­го­во­ри з роз­по­ря­дни­ка­ми да­них, щоб пе­ре­ко­на­ти­ся, що во­ни вза­га­лі існу­ють, ма­ють де­та­лі­зо­ва­ні по­ло­же­н­ня що­до пра­вил оброб­ки да­них та пе­ред­ба­ча­ють аде­ква­тну від­по­від­аль­ність роз­по­ря­дни­ків у ра­зі по­ру­шень. Якщо ви ще не ви­ко­ри­сто­ву­є­те до­го­во­ри з роз­по­ря­дни­ка­ми на оброб­ку пер­со­наль­них да­них, по­ду­май­те про їх впро­ва­дже­н­ня (зокре­ма, як кри­те­рію оцін­ки за­хи­сту да­них), адже це ви­мо­га GDPR.

Та­кож ре­ко­мен­ду­є­мо пе­ре­гля­ну­ти вну­трі­шні про­це­ду­ри та си­сте­ми, щоб пе­ре­ко­на­ти­ся, що ви мо­же­те ви­ко­на­ти но­ві ви­мо­ги що­до від­по­від­но­сті про­це­ду­рі по­ві­дом­ле­н­ня про ви­тік да­них. Так, во­ло­діль­ці ма­ти­муть 72 го­ди­ни, щоб по­ві­до­ми­ти упов­но­ва­же­ний ор­ган вла­ди про ви­тік ін­фор­ма­ції. Якщо ви­тік мо­же при­зве­сти до ви­со­ко­го ри­зи­ку для окре­мих осіб, та­кі осо­би та­кож ма­ють бу­ти про це по­ві­дом­ле­ні про­тя­гом 72 го­дин. У та­ко­му ви­пад­ку ва­жли­во, щоб роз­по­ря­дник у вста­нов­ле­ний Ре­гла­мен­том строк по­ві­до­мив во­ло­діль­ця про ви­тік, щоб спіль­ни­ми зу­си­л­ля­ми змен­ши­ти мо­жли­ві не­га­тив­ні на­слід­ки.

З огля­ду на ви­кла­де­не, ра­ди­мо пе­ре­гля­ну­ти свої уго­ди на оброб­ку пер­со­наль­них да­них з роз­по­ря­дни­ка­ми на пре­дмет на­яв­но­сті за­зна­че­ної ви­ще ви­мо­ги Ре­гла­мен­ту. Та­кож це сто­су­є­ться збе­рі­га­н­ня пер­со­наль­них да­них у хмар­них те­хно­ло­гі­ях. Та­кі хмар­ні збе­рі­га­чі у ро­зу­мін­ні Ре­гла­мен­ту є роз­по­ря­дни­ка­ми да­них, а то­му во­ло­ді­лець да­них по­ви­нен укла­сти пи­сьмо­ву уго­ду з хмар­ним збе­рі­га­чем про оброб­ку пер­со­наль­них да­них, в якій пе­ред­ба­чи­ти спо­сіб оброб­ки да­них остан­нім, йо­го від­по­від­аль­ність, ви­зна­чи­ти пе­ре­лік те­хні­чних та ор­га­ні­за­цій­них за­хо­дів, що ма­ють бу­ти вжи­ті роз­по­ря­дни­ком (зокре­ма, ши­фру­ва­н­ня у бу­дья­кий спо­сіб), спо­сіб по­ві­дом­ле­н­ня про ви­тік да­них то­що.

Та­кож по­ду­май­те, чи ви­сту­пає ва­ша ком­па­нія роз­по­ря­дни­ком да­них від іме­ні будь- яко­го ін­шо­го

Во­ло­діль­ці ма­ти­муть 72 го­ди­ни, щоб по­ві­до­ми­ти упов­но­ва­же­ний ор­ган вла­ди про ви­тік ін­фор­ма­ції

во­ло­діль­ця. Якщо так, то вам до­ве­де­ться до­три­му­ва­ти­ся пря­мих вка­зі­вок GDPR. Пе­ре­ко­най­те­ся в то­му, що ри­зик штра­фних сан­кцій за не­до­три­ма­н­ня Ре­гла­мен­ту пов­ні­стю зро­зумі­лий на рів­ні ке­рів­ни­ка/ ра­дни­ка ке­рів­ни­ка. Ро­з­глянь­те, які за­хо­ди мо­жна вжи­ти для змен­ше­н­ня цих ри­зи­ків.

У цьо­му сві­ті Big Data, шту­чно­го ін­те­ле­кту та ма­шин­но­го на­вча­н­ня пи­та­н­ня за­хи­сту пер­со­наль­них да­них акту­аль­не, як ні­ко­ли. Тож час пра­виль­но онов­лю­ва­ти до­ку­мен­ти з ве­ли­ки­ми да­ни­ми, вра­хо­ву­ю­чи до­ся­гну­тий про­грес і во­дно­час не­ми­ну­че «вті­ле­н­ня у жи­т­тя» Ре­гла­мен­ту. Хо­ча, без­пе­ре­чно, це пра­во­вий акт, що ви­кли­кає без­ліч дис­ку­сій та подаль­ших пра­кти­чних пи­тань.

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.