Думка експерта
Що варто знати про нові правила опрацювання персональних даних?
Двадцять п’ятого травня набрав чинності Регламент Європейського парламенту і Ради ЄС від 27 квітня 2016 р. про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух даних (далі — регламент).
Зміна політики приватності в ЄС не залишилася поза увагою. Більше того, ледве набравши чинність, Регламент дав підґрунтя для перших скарг проти інтернет-гігантів. Так, того ж 25 травня позивач в особі неприбуткової організації «None of Your Business» звинуватив Facebook, Google, Instagram, WhatsApp у шантажі – доступ до сервісів компаній залежить від згоди користувача на опрацювання його персональних даних («take it or leave it»). «Facebook навіть заблокував акаунти користувачів, які не надали згоди. Врешті-решт перед користувачами поставав вибір: або видалити свій акаунт, або натиснути «Я погоджуюся з умовами та правилами користування».
Це не вільний вибір. Все це більше нагадує виборчий процес у Північній Кореї» (Макс Шремс, Голова компанії NOYB).
28 травня французька правозахисна група Quadrature du Net («La Quad») подала подібні скарги проти Facebook, Google (Gmail, YouTube, Search), Apple, Amazon та LinkedIn. Крім того, La Quad обіцяє подати додаткові скарги проти Skype, Outlook, Android, WhatsApp і Instagram. До слова, така політика компаній, відповідно до Регламенту, загрожує їм адміністративним штрафом у розмірі до 4% від загального глобального річного обігу за попередній фінансовий рік.
Тож якими є новації Регламенту щодо врегулювання питання опрацювання персональних даних і яким чином він посприяв вирішенню проблем захисту права людини на приватне життя?
1. Запроваджено концепцію «згоди» фізичної особи на опрацювання її персональних даних. В основі всіх нововведень Регламенту – принцип повного та абсолютного інформування особи про всі дії з її персональними даними. Цей принцип тісно пов’язаний із концепцією згоди – вільно наданого, конкретного, проінформованого та однозначного свідчення погодження фізичної особи на опрацювання її персональних даних. Відповідно, це означає, що згода має бути виключно результатом усвідомленого вибору фізичної особи щодо опрацювання її персональних даних для однієї цілі. Наприклад, не є усвідомленим вибором автоматичне проставлення галочок у «consent boxes».
Проте на практиці вже виникають ситуації, за яких згоду намагаються отримати, так би мовити, обманним шляхом, зокрема під виглядом згоди на правила та умови користування сервісами. Інакше фізичній особі відмовляють у користуванні відповідними онлайновими сервісами. Яскравим прикладом є наведені вищі скарги проти інтернет-корпорацій.
2. Закріплено право на стирання персональних даних, або «право бути забутим». Відповідно до статті 17 Регламенту, фізична особа, дані якої опрацьовуються, має право на негайне стирання своїх персональних даних, включно з посиланнями на такі персональні дані чи їхні копії.
Як і будь-яке правило, це також має свої винятки. Зокрема, воно не поширюється на випадки, коли інформація є необхідною для досягнення цілей суспільного інтересу, наукового чи історичного дослідження, статистичних цілей, формування, здійснення або захисту правових претензій тощо.
Виникає запитання: а чи можна заперечити опрацювання персональних даних? Так, безумовно. Компанія зобов’язана припинити опрацювання ваших персональних даних у разі наявності відповідного запиту. Наприклад, ви можете вимагати видалення фотографії, на якій вас чітко можна ідентифікувати. Проте питання опрацювання фотографій є доволі делікатним. Віднедавна туристи занепокоїлися тим, чи зобов’язані вони видаляти світлину, на якій чітко видно обличчя третіх осіб. Регламент надає свободу вибору: або запросити згоду, що досить часто буде обтяжливим, або розмити зображення третіх осіб з метою унеможливлення їхньої ідентифікації. Інший вихід – обмежити доступ до вашої сторінки.
3. Забезпечено доступ фізичних осіб до персональних даних, які збирають щодо них. Чимала кількість справ як у Європейському суді з прав людини, так і в Суді Європейського Союзу стосувалася скарг заявників на відсутність у них доступу до власних персональних даних, зокрема, до медичних карток із результатами діагнозів, результатів обстежень тощо або відомостей, які зберігають щодо працівників їхні роботодавці. Регламент запропонував дві головні новації в цьому напрямку. По-перше, закріпив право фізичної особи на доступ до персональних даних, що збирають щодо неї, у тому числі до інформації про цілі збирання таких даних, їхніх одержувачів та наслідки такого опрацювання.
По-друге, Регламент чітко визначив, що компанія, яка збирала персональні дані щодо фізичної особи, зобов’язана надати доступ останній до її персональних даних щонайменше протягом одного місяця з дня отримання відповідного запиту від фізичної особи. З урахуванням складності та кількості запитів такий строк може бути продовжено на два місяці.
4. Удосконалено алгоритм захисту персональних даних. Квінтесенцією Регламенту є те, що особа сама визначає бажаний ступінь та межі втручання в своє приватне життя. Технічно ще на етапі розроблення онлайн-продукту має бути впроваджено механізми і технології, що максимально забезпечать захист персональних даних користувача. Наприклад, на момент реєстрації в соціальній мережі автоматично налаштовується обмежений доступ до профайлу фізичної особи, відкрити який для інших користувачів може виключно за власним бажанням відповідна фізична особа.
Крім того, компанія, яка опрацьовує персональні дані, несе відповідальність за те, щоб сторонні особи не отримали доступу до персональних даних фізичної особи, дані якої опрацьовуються. Для цього впроваджено використання псевдонімів і кодування даних. Відповідно, дані уособлюються не з конкретною фізичною особою, а з псевдонімом, який обирає така особа і який одноособово володіє кодом доступу до персональних даних. Відтак, вибір політики приватності лишається на розсуд самого користувача.
Для чого варто знати і вміти застосовувати положення Регламенту? Все дуже просто. Персональні дані – по суті, приватна інформація – не існують без прив’язки до конкретної фізичної особи, а відтак будь-які прогалини в регулюванні цих даних можуть призвести, та, власне, і призводять, до порушень прав людини, про що свідчить практика ЄСПЛ з прав людини. Зокрема, систематичними порушеннями права людини на приватність є такі:
- передача спеціальних категорій персональних даних без згоди фізичної особи, дані якої опрацьовуються (справа «Авілкіна та інші проти Російської Федерації», рішення від 6 червня 2013 р.);
- зберігання органами державної влади відбитків пальців, зразків клітин і профілів ДНК особи, щодо якої було винесено виправдувальний вирок (справа «С. та Марпер проти Сполученого Королівства», рішення від 4 грудня 2008 р.), причому навіть саме зберігання даних, що стосуються приватного життя фізичної особи, становить порушення статті 8 Конвенції;
- внесення персональних даних особи до баз даних органів державної влади й подальше використання таких даних для інших цілей (справа «Шимоволос проти Росії», рішення від 21 червня 2011 року);
- збирання персональних медичних даних пацієнта державною медичною установою без згоди самого пацієнта (справа «Л. Х. проти Латвії», рішення від 29 квітня 2014 р.);
- перешкоджання доступу фізичних осіб, дані яких опрацьовуються, до власних персональних даних (справа «К. Х. та інші проти Словаччини», рішення від 28 квітня 2008 р.) та інші.
І наостанок: яке значення має Регламент для України?
Перед українцями, певно, неодноразово поставало питання того, наскільки важливим є знання тонкощів Регламенту. Є кілька аспектів його застосування. Першим фактором є екстериторіальність дії Регламенту, зокрема, сфера його дії поширюється на українські компанії, які опрацьовують персональні дані резидентів ЄС. Проте не менш суттєвим є той факт, що гармонізація українського законодавства до права ЄС є одним із пріоритетних завдань імплементації Угоди про асоціацію між Україною та Євросоюзом.
До слова, включення питання щодо приведення українського законодавства у відповідність до Регламенту до проекту змін до Плану дій з реалізації Національної стратегії у сфері прав людини на період до 2020 року свідчить про важливість європейського документу для забезпечення захисту прав людини в Україні.
Джерело: Юридичний вісник України
You must be logged in to post a comment Login