GDPR (General Data Protection Regulation 2016/679) – це регламент ЄС, який встановлює вимоги щодо захисту персональних даних фізичних осіб (у т.ч., користувачів сайтів). Він набрав чинності 24 травня 2016 року, а почав застосовуватися з 25 травня 2018 р.

GDPR установлює норми щодо захисту фізичних осіб у зв'язку з опрацюванням персональних даних і норми про вільний рух персональних даних, захищає фундаментальні права і свободи фізичних осіб, зокрема їхнє право на захист персональних даних. Він також містить вимоги до тих, хто збирає, використовує та обробляє персональні дані у своїй роботі.

Зміст

• Чи потрібно виконувати GDPR, якщо мій сайт не розташований в Європі?
• Що таке право бути забутим?
• Які дані підлягають захисту згідно GDPR?
• Який штраф за порушення GDPR?
• Чи потрібна згода користувача веб-сайту на збереження cookies?
• E-mail розсилки і GDPR: чи потрібно і як дотримуватися?
• Що обов'язково потрібно включити в публічну оферту?
• Що вважається згодою (Яким чином користувач повинен давати згоду на обробку даних)?
• Який чек-лист пунктів для контролю сайту на відповідність GDPR?

 

Чи потрібно виконувати GDPR, якщо мій сайт не розташований в Європі?

У першу чергу, під норми GDPR підпадають компанії, засновані в ЄС, або які мають будь-яке представництво на території ЄС – тобто мають європейський «осідок» (територіальна дія):

• організація на території ЄС;
• не обов’язково наявний статус юридичної особи;
• наявність стабільних домовленостей з контролером (визначає цілі та засоби обробки персональних даних) або обробником.

Таким чином, якщо компанія створена за законодавством ЄС, то на неї однозначно поширюються норми GDPR.

При цьому, наприклад, якщо суб’єкт господарювання заснований в Україні, але має представництво або філію на території ЄС, навіть без статусу юридичної особи, чи хоча б одного представника чи агента на території ЄС, й при цьому здійснює обробку персональних даних (при передачі даних клієнтів, працівників або партнерів до материнської компанії або представництва та подальшої їх обробки), він може розглядатися як такий, що має осідок на території ЄС, і повинен відповідати вимогам GDPR.

Разом з цим, по відношенню до українських компаній є більш релевантною екстериторіальна дія GDPR, тобто норми поширюються і на компанії, які знаходяться поза межами ЄС.

Екстериторіальний принцип застосовується не завжди, а, зокрема, у разі:

1. Постачання товарів чи наданням послуг таким суб'єктам даних у ЄС, незалежно від того, чи вимагають оплату від таких суб'єктів даних, за умови, що:

1. • веб-сайт доступний мовою однієї з держав-членів ЄС (наприклад, якщо на веб-сайті є можливість замовити товари чи послуги такою мовою);
   • пропозиція поставки товарів чи надання послуг поширюється на територію ЄС (навіть якщо такі товари або послуги безкоштовні);
   • просування товарів чи послуг, зокрема, у формі контекстної реклами в пошукових системах, спрямоване на споживачів на території ЄС;
   • валюта оплати держави-члена ЄС (наприклад, на веб-сайті є можливість замовити товари чи послуги й оплати в євро);
   • використання національних доменів однієї чи декількох держав-членів ЄС.

Наприклад, у разі якщо компанія має веб-сайт виключно на українській мові, хоча і може приймати оплату і в іноземній валюті, то він не буде вважатися як такий, що орієнтований на закордонну аудиторію, а отже і не буде підпадати під норми GDPR. При цьому, якщо сайт розроблений (перекладений) і є доступний не лише українською мовою, а, наприклад, французькою, і замовлення зроблено громадянином Франції хоч і на території України, він вже буде вважатися як такий, що орієнтований на закордонну аудиторію, а отже і буде підпадати під норми GDPR.

2. Моніторингу поведінки суб'єктів даних, якщо така поведінка має місце у межах ЄС, де необхідно встановити, чи:

• • застосовуються до фізичної особи інструменти відстежування в Інтернеті для збирання персональних даних, у тому числі для подальшого профайлінгу (прийняття рішення щодо фізичної особи або для проведення аналізу, або передбачення її чи його особистих переваг, поведінки чи ставлення) такої особи.

Наприклад, українська компанія розробила мобільний додаток для здійснення «домашніх» тренувань та дотримання певного режиму харчування, який збирає персональні дані та моніторить активність користувачів, в тому числі і на території ЄС. Таким чином, такий додаток буде здійснювати моніторинг певних персональних даних користувачів у межах ЄС, а отже і буде підпадати під норми GDPR.

Отже, нові правила GDPR поширюються і на звичайних користувачів, які користуються європейськими онлайн-сервісами або відвідують веб-сайти, перебуваючи в одній з країн ЄС. Але якщо і компанія, і користувач знаходяться за межами ЄС, дія GDPR на них не розповсюджуються.

Що таке право бути забутим?

GDPR вводить таке право для суб’єктів даних, як право на стирання ("право бути забутим") (ст.19 GDPR).

Так, користувач веб-сайту повинен мати право на стирання своїх персональних даних, яке повинен здійснити власник веб-сайту, як контролер, а також забезпечити, щоб це зробили треті особи, яким передавались такі дані без будь-якої безпідставної затримки, у т.ч. їхні копії чи відтворення.

Також таке зобов’язання виникає у контролера за наявності хоча б однієї з наведених нижче підстав:

a) немає більше потреби в персональних даних для цілей, для яких їх збирали чи іншим чином опрацьовували;

b) користувач веб-сайту відкликає згоду, на якій ґрунтується опрацювання його персональних даних та якщо немає іншої законної підстави для опрацювання;

c) користувач веб-сайту заперечує проти опрацювання його персональних даних, якщо таке опрацювання:

• є необхідним для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера, чи
• є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина;
• немає жодних першочергових законних підстав для опрацювання, або
• суб'єкт даних заперечує проти опрацювання його персональних даних для цілей прямого маркетингу, у тому числі, профайлінгу, тією мірою, якщо це стосується прямого маркетингу.

d) персональні дані опрацьовували незаконно;

e) персональні дані необхідно стерти для дотримання встановленого законом зобов'язання, закріпленого в законодавстві ЄС або держави-члена, яке поширюється на контролера;

f) персональні дані збирали в зв'язку з пропонуванням послуг інформаційного суспільства (наприклад, веб-сайт із платними відео, іграми, курсами із рекламою), зокрема, безпосередньо дитині, якщо дитина досягла щонайменше 16 років, або лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини.

При цьому, GDPR встановлює і певні виключення із зазначеного правила. Так, власник веб-сайту, як контролер, має право не стирати персональні дані залежно від ступеня необхідності в опрацюванні:

a) для реалізації права на свободу вираження поглядів та свободу інформації;

b) для дотримання встановленого законом зобов'язання, що вимагає опрацювання згідно з законодавством ЄС або держави-члена, яке поширюється на контролера, або для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;

c) на підставах суспільного інтересу в сфері охорони суспільного здоров'я;

d) для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей, тією мірою, якою таке стирання ймовірно унеможливить або серйозно обмежить досягнення цілей такого опрацювання; або

e) для формування, здійснення або захисту правових претензій.

Які дані підлягають захисту згідно GDPR?

Згідно зі статтею 4 (1) GDPR, під персональними даними розуміється будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати прямо чи опосередковано, зокрема, за такими ідентифікаторами як:

• ім'я;
• ідентифікаційний номер;
• дані про місцеперебування;
• онлайн-ідентифікатор (п.30 Преамбули GDPR роз’яснено, що фізичні особи можуть бути пов'язані з онлайн-ідентифікаторами за допомогою їхніх пристроїв, додатків, інструментів чи протоколів, зокрема IP-адрес та файлів cookies (реп'яшків));
• або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.

Наприклад, персональними даними, які збираються на веб-сайті, окрім зазначених вище, можуть бути e-mail, номер телефону, дата народження, адреса місця проживання, дані щодо місцезнаходження особи, медичні дані, уподобання (у т.ч., кава чи чай) тощо.

Який штраф за порушення GDPR?

GDPR виділяє 2 категорії сум адміністративних штрафів, які можуть накласти наглядові органи ЄС за порушення GDPR:

1. До 10 мільйонів євро або, у випадку підприємства, до 2 % від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за наступні порушення:

• умов отримання згоди дитини на веб-сайтах згідно із ст.8 GDPR;
• умов обробки, що не вимагає ідентифікації згідно із ст.11 GDPR;
• загальних обов’язків контролера і оператора, у т.ч. порушення принципу «захист даних за призначенням і за замовчуванням», збереження записів опрацювання даних, безпеки персональних даних, нотифікації наглядового органу та суб’єкта персональних даних про порушення захисту, призначення відповідального співробітника з питань захисту даних та ін. згідно із ст. 25–39, 42, 43 GDPR;

2. До 20 мільйонів євро або, у випадку підприємства, до 4 % від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за наступні порушення:

• основних принципів обробки персональних даних відповідно до ст.5 GDPR;
• законності обробки персональних даних відповідно до ст.6 GDPR;
• умов надання згоди відповідно до ст.7 GDPR;
• обробки спеціальних категорій персональних даних відповідно до ст.9 GDPR;
• порушення прав суб’єктів даних відповідно до ст.12–22 GDPR;
• порушення порядку передачі персональних даних до одержувача в третій країні чи до міжнародної організації відповідно до ст.44–49 GDPR;
• порушення будь-яких обов’язків відповідно до закону держави-члена ЄС, на розширення вимог GDPR;
• невідповідність постанові або тимчасовому чи остаточному обмеженню на опрацювання чи призупинення потоків даних наглядового органу ЄС відповідно до ст.58(2) GDPR або ненадання доступу як порушення ст.58(1) GDPR.

Чи потрібна згода користувача веб-сайту на збереження cookies?

Згідно з визначеннями поняття «персональні дані» в GDPR, даний термін охоплює і онлайн-ідентифікатори, зокрема файли cookies. Згідно з роз’ясненням про надання згоди за GDPR (Guidelines on Consent under Regulation 2016/679), організаціям, ймовірно, знадобиться згода для використання інструментів відстеження в Інтернеті, включаючи файли cookies, додатки чи інше програмне забезпечення.

Виходячи з критеріїв, передбачених GDPR, згода на збирання/використання файлів cookies повинна:

1. Містити "конкретну інформацію" про відповідну обробку даних (уточнення які саме файли-реп’яшки збираються);
2. Надаватися "до початку обробки" (при відкритті веб-сайту необхідні файли-реп’яшки повинні перебувати на паузі, а факультативні – вимкнені, до отримання згоди на обробку персональних даних від користувачів веб-сайту);
3. Залучати "активну поведінку" від користувача (наприклад, проставлення відмітки, натискання кнопок); і
4. Бути "реальним вибором, що надається безкоштовно".

E-mail розсилки і GDPR: чи потрібно і як дотримуватися?

Якщо на e-mail розсилки розповсюджується GDPR (про те, як це визначити розповідалось вище), потрібно дотримуватись кількох основних правил.

Зокрема, потрібно пам’ятати, що надсилання будь-яких розсилок, інформаційних повідомлень, наприклад, дайджестів, періодичної інформації про новини, події, продукцію або послуги, допускається лише за умови, що користувачі веб-сайту надали свою згоду на обробку своїх персональних даних саме з такою метою (ціллю).

Так, недостатньо буде, щоб мета «надсилання e-mail розсилок» згадувалась серед переліку інших. Навпаки, її потрібно чітко відокремити, щоб користувачі могли надати свою згоду саме на отримання цих розсилок позитивною, ствердною дією (натискання на кнопку, самостійне проставлення позначки користувачами веб-сайту) до початку збирання своїх персональних даних.

При цьому користувачі веб-сайту повинні самостійно обрати чи надавати їм згоду на обробку своїх персональних даних чи ні. Тобто використання так званих pre-ticked boxes (коли позначка вже проставлена) замість користувача – ні в тин, ні в ворота.

Таким чином, отримання згоди від користувачів під час їхньої реєстрації на веб-сайті буде недостатньо для надсилання їм інформаційних матеріалів. Так само, буде визнаватись порушенням використання їхніх персональних даних (наприклад, e-mail та імені), отриманих внаслідок здійснення ними замовлення/розрахунків (через кошик для покупок або послугу формування електронних рахунків тощо) для розсилання пропозицій про інші товари або послуги чи інших маркетингових повідомлень.

З іншого боку, функціонал веб-сайту повинен забезпечувати, щоб користувачі, які більше не бажають отримувати e-mail розсилки, могли відкликати свою згоду із такою ж легкістю (не обов’язково у тій же формі), як вона надавалась.

Що обов'язково потрібно включити в публічну оферту?

Варто зазначити, що GDPR не містить згадки про такий документ, як політика конфіденційності/публічна оферта, однак визначає основні вимоги до інформації, яку необхідно надати у разі збирання персональних даних від суб’єкта даних (ст.13 GDPR).

Так, можемо виділити основні розділи, які обов’язково повинні бути враховані:

1. Загальні положення – повинен містити інформацію про володільця персональних даних (суб’єкта господарювання – власника веб-сайту, що збирає відповідні персональні дані), у тому числі, його контактні дані, та контактні дані його представника та/чи співробітника з питань захисту даних (за наявності).
2. Законні інтереси володільця персональних даних (суб’єкта господарювання – власника веб-сайту, що збирає відповідні персональні дані) або третьої сторони (якщо обробка персональних даних здійснюється на цій підставі).
3. Мета (цілі) обробки персональних даних та підстави для збирання/обробки таких даних –повинен містити вичерпний та чіткий перелік цілей для чого збираються ті чи інші персональні дані на веб-сайті, а також підстав для такого збирання та подальшої обробки так персональних даних. Зокрема, те, чи є надання персональних даних статутною чи договірною вимогою, або вимогою, необхідною для укладення контракту, а також — чи зобов’язаний користувач веб-сайту компанії надати персональні дані, та про можливі наслідки ненадання таких даних.
4. Способи і терміни обробки персональних даних - повинен містити вичерпний та чіткий перелік способів які використовуються для обробки персональних даних та строк такої обробки. Варто зауважити, що строк повинен бути обмежений метою обробки і не може бути необмеженим.
5. Права суб’єктів персональних даних - повинен містити вичерпний та чіткий перелік прав, передбачених чинним законодавством України (ст.8 Закону України «Про захист персональних даних») та інших прав, передбачених GDPR (у тому числі, права подавати скаргу до наглядового органу, права на виправлення, стирання, обмеження опрацювання щодо користувача веб-сайту компанії або на заперечення проти опрацювання, а також права на мобільність даних, а також, де застосовно, права на відкликання згоди в будь-який момент – ст.12-22 GDPR).
6. Наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу (ст.22 GDPR).
7. Взаємодія з третіми особами - повинен містити перелік осіб, яким передаються персональні дані суб’єктів – користувачів веб-сайту (за наявності), а також деталі щодо передачі таких персональних даних третім країнам чи міжнародним організаціям (якщо відповідна передача відбувається) та наявні гарантії і вжитті заходи щодо такої передачі.

Що вважається згодою (Яким чином користувач повинен давати згоду на обробку даних)?

Згідно з визначенням, наданим у ст.4 (11) GDPR «згода» суб’єкта даних означає будь-яке:

• вільно надане,
• конкретне,
• поінформоване
• однозначне зазначення бажань суб’єкта даних,
• яким він або вона, шляхом оформлення заяви чи проявом чітких ствердних дій, підтверджує згоду на опрацювання своїх персональних даних.

Таким чином, Регламентом встановлено критерії до згоди суб’єкта, основним з яких є вчинення активних ствердних дій, що їх підтверджує.

Таке ствердження може проявлятися, зокрема, у формі письмової заяви, в тому числі електронними засобами, або у формі усної заяви. Це може включати:

• заповнення клітинки позначкою під час відвідування веб-сайту в мережі Інтернет;
• обрання технічних налаштувань або іншу заяву чи поведінку, що чітко вказують на погодження суб’єктом даних із запропонованим опрацюванням персональних даних.

При цьому, мовчання, автоматичне заповнення клітинок позначками або бездіяльність, відповідно, не становлять надання згоди. Наприклад, поширене серед українських веб-сайтів повідомлення «Продовжуючи використання цього сайту, Ви погоджуєтесь на застосування файлів-cookiess» не вважається достатньою підставою для збирання персональних даних користувачів згідно з GDPR.

Згоду не можна вважати такою, що було добровільно надано, якщо суб’єкт даних не здійснює справжнього чи добровільного вибору, або неспроможний відмовити в наданні згоди або її відкликанні, не заподіюючи при цьому шкоди.

Згода повинна поширюватися на всі види опрацювання даних, що здійснюють для однакової цілі або цілей. У разі, якщо опрацювання передбачає досягнення множинних цілей, згода потрібна для кожної з них. Якщо згоду суб’єкта даних необхідно надати після електронного запиту, у такому разі запит повинен бути чітким, точним та не мати надмірно негативних наслідків для використання послуги, для якої його надають.

Який чек-лист пунктів для контролю сайту на відповідність GDPR?

Щоб визначити, чи потрібно вам, маючи сайт в Україні, перейматися цим GDPR, варто відповісти собі на такі запитання:

• Чи маєте ви у структурі юридичну особу, зареєстровану в ЄС?
• Чи реалізовуєте ви послуги/товари в ЄС?
• Чи доступна версія вашого сайту мовами ЄС?
• Чи є оплата (за ваші товари-роботи-послуги) в євро або одній з валют ЄС?
• Чи маєте доступ до баз даних клієнтів/працівників з ЄС (наприклад, ІТ-аутсорс)?

Щоб зрозуміти, чи відповідає сайт вимогам GDPR, серед багатьох інших, вам потрібно відповісти також на такі запитання:

• Чи збираються персональні дані (ім’я, онлайн-ідентифікатори, e-mail тощо) користувачів на сайті (наприклад, через форми реєстрації, пікселі, файли-cookies, вбудовані лайки соціальних мереж та інші подібні соціальні плаґіни, у т.ч. третіх осіб)?
• Чи отримують користувачі сайту необхідну інформацію до початку збирання персональних даних (зокрема, через Політику конфіденційності), у тому числі, щодо того, що їхні персональні дані збираються чи передаються третім особам, чи обробляються іншим чином?
• Чи можуть користувачі отримати доступ до необхідної їм інформації про обробку їхніх персональних даних легко (для цього не потрібно робити багато кроків, уся потрібна інформація розміщена системно, із перехресними гіперпосиланнями)?
• Чи функціонал сайту дозволяє користувачам сайту вільно обрати чи надавати згоду на обробку персональних даних – відсутні поля із проставленими позначками, вони можуть обирати чи погоджуватись, чи ні ствердною дію щодо кожної мети окремо (наприклад, натисканням на кнопку чи проставленням позначки навпроти реєстрації на сайті, а також навпроти e-mail розсилки)?
• Чи розміщені на сайті форми та документи містять чіткі пояснення простою та зрозумілою мовою, у тому числі, щодо цілей збирання персональних даних користувачів сайту?
• Чи не здійснюється використовуються персональні дані користувачів сайту, отримані під час здійснення замовлення товару/послуги, для надсилання маркетингових пропозиції щодо інших товарів/послуг?
• Чи використовує сайт дійсні електронні сертифікати безпеки (наприклад, сертифікат SSL, протокол https), достатнє для захисту ПД користувачів сайту програмне, апаратне забезпечення?
• Чи шифруються паролі користувачів сайту та не зберігаються у текстових файлах?
• Чи поставлено при відкритті сайту необхідні файли cookies на паузу та вимкнено факультативні файли cookies до отримання згоди на обробку ПД від користувачів сайту?
• Чи не передаються ідентифікатори користувачів автоматично третім особам через лайки (вподобайки) соціальних мереж та інші подібні вбудовані плаґіни, інструменти веб-аналітики, рекламу, файли-cookiess без інформування про це користувачів сайту компанії та без отримання попередньої згоди на таку обробку персональних даних?
• Чи функціонал веб-сайту забезпечує виконання прав користувачів (зокрема, права бути забутим (право на стирання своїх персональних даних, право відкликати згоду)?

Дякуємо Олексію Бежевцю bezhevets@l-a.com.ua, партнеру Юридичної компанії "Правовий Альянс" www.l-a.com.ua за докладні відповіді.

Якщо Вашій компанії необхідно привести сайт у відповідність вимогам GDPR, підготувати політики та інструкції, тексти положень, "Правовий Альянс" готовий Вам у цьому допомогти.

 

Дата: 02.09.2019 Автор: Олексій

Голосування 1 2 3 4 5