Персональний захист

Про ризики поводження з особистими даними.

Персональні дані були і залишаються конфіденційними. Немає сумнівів, що ступінь конфіденційності менше не становитиметься. Про те, на що потрібно звернути увагу, аби не порушувати законодавство — розповідає Анастасія Казанкіна, адвокат «Дубинський & Ошарова».

Приклад FB

У цьому місяці компанія Facebook була оштрафована в Сполучених Штатах Америки за позовом Федеральної торгової комісії США (FTC) на суму $5 млрд за втрату контролю над величезною кількістю особистих даних користувачів даної мережі.

Facebook також порушив закон, зловживаючи телефонними номерами, отриманими з метою безпеки облікового запису, та націлюючи рекламу на своїх користувачів. Крім того, компанія обманювала десятки мільйонів користувачів, стверджуючи, що функція розпізнавання обличчя в сервісі не включена за замовчуванням, хоча насправді вона була включена.

З метою уникнення подібних порушень у майбутньому Facebook відтепер зобов’язаний створити окремий незалежний комітет із конфіденційності при раді директорів. Метою комітету є обмеження контролю генерального директора компанії Марка Цукерберга над рішеннями, які стосуються осіб користувачів та їхніх персональних даних.

Також Цукерберг і співробітники, які відповідають за дотримання нових нормативних вимог, повинні будуть подавати у FTC щоквартальні звіти про те, як компанія дотримується програми конфіденційності, а також щорічно проходити сертифікацію. Порушення порядку спричинить персональні адміністративні та кримінальні санкції. Крім того, мають бути внесені ряд змін до політики конфіденційності.

У 2018 році прибутки Facebook становили $55,8 млрд. Тож, навряд чи зазначений штраф значною мірою вплине на діяльність компанії, хоча його розмір є безпрецедентним.

Українські нюанси

Здавалося б, питання захисту персональних даних мало стосується України. Насправді, це не так.

По-перше, в Україні діє Закон України «Про захист персональних даних», відповідно до якого володільці, розпорядники персональних даних і треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

Так, ст. 188-39 Кодексу України про адміністративні правопорушення передбачено адміністративну відповідальність за порушення законодавства у сфері захисту персональних даних. Крім того, ст. 182 Кримінального кодексу України передбачено кримінальну відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу. Недотримання законодавчих вимог несе за собою накладення штрафів, а в окремих випадках може призвести й до обмеження волі.

Насправді Єдиний державний реєстр судових рішень містить уже достатню кількість постанов про притягнення до відповідальності осіб, винних у незаконному розповсюдженні персональних даних. Хоча сума штрафів значно відрізняється від прикладу з Facebook, нехтувати зазначеним Законом не варто.

По-друге, порушення прав на захист персональних даних може стати підставою для позову про стягнення моральної шкоди. Особи, чиї персональні дані були незаконно розголошені, звертаються до суду за отриманням компенсації. І наразі суди переважно задовольняють такі позови, щоправда, зменшуючи суми компенсацій до розумного, на їхню думку, мінімуму.

По-третє, варто пам’ятати, що в певних випадках на українські компанії поширюються й положення Загального регламенту про захист даних (General Data Protection Regulation, GDPR), що набув чинності 25 травня 2018 року. Зокрема, якщо обробка персональних даних пов’язана із постачанням товарів чи наданням послуг на території Європейського Союзу або з моніторингом поведінки суб’єктів даних, якщо така поведінка має місце на території ЄС.

У такому випадку компанія, навіть не перебуваючи в юрисдикції ЄС, має докласти максимальних зусиль для узгодження своєї діяльності з GDPR. Сума штрафів, що вже почали накладати контролюючі органи, є непоганим стимулом для цього.

Наприклад, перший штраф, який було накладено за порушення GDPR, становив €400 тис. за два факти незаконного доступу до даних пацієнтів португальського госпіталю. Сума є досить значною для того, щоб українські підприємці доклали зусиль з метою дотримання вимог GDPR.

При цьому, недостатньо викласти формальні Private Policy на веб-сайті компанії. Адже у разі потрапляння в коло уваги контролюючого органу перевірці підлягатиме не дотримання формальностей, а насправді вживані компанією заходи щодо захисту персональних даних. Компанії ж знадобиться допомога не тільки юриста, а й технічного спеціаліста.

Варто це здійснити також і з огляду на плани України з імплементації GDPR до українського законодавства. Так, п. 11 Плану заходів щодо виконання Угоди про асоціацію з ЄС, затвердженого постановою Кабміну №1106 від 25.07.17, передбачено вдосконалення законодавства про захист персональних даних з метою приведення його у відповідність з GDPR.

Хоча наразі питання GDPR поки що знято з порядку денного, підстав вважати, що його вирішення затягнеться на десятиріччя, також немає. А тому відкладати українським компаніям роботу з вдосконалення своєї політики щодо захисту персональних даних не варто.