Украинский бизнес стремительно развивается на просторах Интернета. Необходимо реальное правовое урегулирование вопросов превентивной защиты персональных данных и возмещения ущерба при их нарушении. Данная тема особенно актуальна для тех компаний, которые имеют доступ к персональным данным граждан ЕС, и где работают более 250 сотрудников, т.к. малые и средние предприятия не обязаны вести учет данных в большинстве случаев, предусмотренных Art. 30.5 GDPR.
Основные условия сбора, хранения, распространения персональных дынных и ответственность за их нарушение предусмотрены Законом Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI. Также ответственность за нарушение персональных данных закреплена в статье 182 Криминального кодекса Украины и в статье 188-39 Кодекса об административных правонарушениях Украины.
26 апреля 2017 Европейский суд по правам человека вынес решение в пользу истца касательно защиты его персональных данных путем возмещения 6 тыс. евро за причинение морального вреда, ссылаясь, в том числе, на Конвенцию о защите прав человека и основных свобод и Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных. Более детально с решением можно ознакомиться здесь.
Согласно п.11 Постановлению Кабинета Министров Украины от 25.10.2017 г. № 1106 «О выполнении Соглашения об ассоциации», предусмотрено «совершенствование законодательства о защите персональных данных с целью приведения его в соответствие с Регламентом (ЕС) 2016/679 (GDPR) до 25.05.2018 г.».
Штрафы невыполнения GDPR
GDPR предусматривает две категории административных штрафов, а именно:- до 10 миллионов евро или до 2 % совместного годового оборота компании за предыдущий финансовый год;
- до 20 миллионов евро или до 4 % совместного годового оборота компании за предыдущий финансовый год.
При этом очень сложно предусмотреть итоговую сумму административного штрафа, так как его размер может варьироваться в зависимости от различных факторов, например, таких:
- действия, совершенные нарушителем для исправления негативных последствий;
- степень взаимодействия нарушителя с надзорным органом;
- категории персональных данных;
- способ, которым регуляторному органу стало известно о правонарушениях, в частности, сообщил ли об этом сам нарушитель.
Интересным фактом остается то, что до сих пор нет прецедентов применения штрафов к компаниям, которые не являются резидентами стран-участниц ЕС. Например, достаточно критично оценивают возможность применения штрафов к компаниям-резидентам США, которые не имеют представительства в странах ЕС. Актуальным вопрос остается и для Украины: насколько является возможным оштрафовать компанию-резидента Украины за нарушение норм GDPR, которая не имеет постоянного представительства на территории ЕС?
Какая информация должна быть на сайте согласно GDPR
Основываясь на GDPR, многие компании идут верным путем, размещая на своих веб-сайтах такие документы: политика конфиденциальности (Privacy Policy), соглашение пользователя или условия использования сайта (Terms and Conditions или Terms of Use). Также важно разработать и следовать политике «Знай своего Клиента» (KYC Policy). Осуществляя сбор, хранение и обработку персональных данных, необходимо понимать следующие моменты:
- цели использования персональных данных;
- в каком объеме, при каких условиях возможна передача персональных данных третьим лицам;
- риски и ответственность компании;
- способы защиты персональных данных.
Важно обеспечить право пользователя удалить все свои данные (right to be forgotten, right to be erasure). С рекомендациями к содержанию Privacy Policy можно ознакомиться здесь.
Что такое Cookies
Стоит обратить внимание на такое новое понятие для законодательства Украины в сфере защиты персональных данных, как «cookies». Это небольшие текстовые файлы, записываемые на Ваш компьютер, когда Вы посещаете веб-сайт. Они используются для поддержки авторизованных сессий или настройки персонализированного интерфейса, размера шрифтов, цветовой схемы, языка сайта и так далее. Cookies сохраняют пользовательские предпочтения и обеспечивают комфортную работу с сайтом. Существуют несколько разновидностей файлов cookies в зависимости от времени их использования. Временные или сеансовые автоматически уничтожаются после закрытия сайта. Постоянные действуют до момента, пока не истечет время их действия, или пользователь намеренно их не уничтожит. Существуют cookies принадлежности к конкретному домену или группе доменов, например, к доменам верхнего уровня. Теперь и на сайте Верховной рады Украины размещена Политика использования cookies.
На данный момент в Украине показательным остается постановление Судебной палаты по гражданским делам Верховного суда Украины от 27.09.2017 г. № 6-1435цс17, где истец обратился в суд за защитой своих персональных данных и возмещением морального вреда. В постановлении сделаны следующие выводы.
- Сам по себе факт неправомерного распространения персональных данных может быть подтверждением причинения морального вреда, если действия ответчика вызвали душевные страдания истца. Как в данном примере, оценка причиненного морального вреда основывается на количестве просмотров/прослушиваний видео/аудио файла, выложенного в свободный доступ в сети Интернет, который содержал персональные данные истца.
- В деликтных обязательствах обязанность опровержения презумпции вины ответчика лежит на ответчике, а не на истце. Т.е. если указанная презумпция в суде не опровергнута, это является основанием для вывода о наличии вины ответчика.
- Отягощающим обстоятельством является то, что ответчик не совершил действий для устранения морального вреда истцу, путем изъятия видео/аудио файла из свободного доступа в сети Интернет.
Размер морального вреда до сих пор не установлен. Дело находится на рассмотрении в Киево-Святошинском районном суде Киевской области.
Со временем формирования судебной практики станет понятным, насколько реальным является применение штрафов GDPR для компаний-резидентов Украины.