Український бізнес стрімко розвивається на просторах Інтернету. Необхідне реальне правове врегулювання питань превентивного захисту персональних даних та відшкодування збитків при їх порушенні. Дана тема особливо актуальна для тих компаній, які мають доступ до персональних даних громадян ЄС, і де працюють понад 250 співробітників, тому що, малі та середні підприємства не зобов’язані здійснювати облік даних в більшості випадків, передбачених Art. 30.5 GDPR.
Основні умови збору, зберігання, поширення персональних даних та відповідальність за їх порушення передбачені Законом України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI. Також відповідальність за порушення законодавства у сфері захисту персональних даних закріплена в статті 182 Кримінального кодексу України та в статті 188-39 Кодексу про адміністративні правопорушення України.
26 квітня 2017 Європейський суд з прав людини виніс рішення на користь позивача щодо захисту його персональних даних призначивши відшкодування в 6 тис. євро за спричинення моральної шкоди, посилаючись, в тому числі, на Конвенцію про захист прав людини і основоположних свобод та Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних. Більш детально з рішенням можна ознайомитися тут.
Згідно п.11 Постанови Кабінету Міністрів України від 25.10.2017 р № 1106 «Про виконання Угоди про асоціацію», передбачено «вдосконалення законодавства про захист персональних даних з метою приведення його у відповідність з Регламентом (ЄС) 2016/679 (GDPR) до 25.05.2018 р.».
GDPR передбачає дві категорії адміністративних штрафів, а саме:
- до 10 мільйонів євро або до 2% загального річного обороту компанії за попередній фінансовий рік;
- до 20 мільйонів євро або до 4% загального річного обороту компанії за попередній фінансовий рік.
При цьому дуже складно передбачити загальну суму адміністративного штрафу, оскільки його розмір може варіюватися залежно від різних чинників, наприклад, таких:
- дії, вчинені порушником для виправлення негативних наслідків;
- ступінь взаємодії порушника з наглядовим органом;
- категорії персональних даних;
- спосіб, яким регуляторному органу стало відомо про правопорушення, зокрема, чи повідомив про це сам порушник.
Цікавим фактом залишається те, що до сих пір немає прецедентів застосування штрафів до компаній, які не є резидентами країн-учасниць ЄС. Наприклад, досить критично оцінюють можливість застосування штрафів до компаній-резидентів США, які не мають представництва в країнах-членах ЄС. Актуальним питання залишається і для України: наскільки є можливим накладення штрафу на компанію-резидента України за порушення норм GDPR, яка не має постійного представництва на території ЄС?
Ґрунтуючись на GDPR, багато компаній йдуть вірним шляхом, коли розміщують на своїх веб-сайтах такі документи: політика конфіденційності (Privacy Policy), угода користувача або умови використання сайту (Terms and Conditions або Terms of Use). Також важливо розробити та слідувати політиці «Знай свого клієнта» (KYC Policy). Збір, зберігання та обробка персональних даних вимагає розуміння таких моментів:
- мета використання персональних даних;
- в якому обсязі та за яких умов можлива передача персональних даних третім особам;
- ризики та відповідальність компанії;
- способи захисту персональних даних.
Важливо забезпечити право користувача видалити всі свої дані (right to be forgotten, right to be erasure). З рекомендаціями до змісту Privacy Policy можна ознайомитися тут.
Варто звернути увагу на таке нове поняття для законодавства України в сфері захисту персональних даних, як «cookies». Це невеликі текстові файли, що записуються на Ваш комп’ютер, коли Ви відвідуєте веб-сайт. Вони використовуються для підтримки авторизованих сесій або налаштування персоналізованого інтерфейсу, розміру шрифтів, колірної схеми, мови сайту тощо. Cookies зберігають налаштування для користувача та забезпечують комфортну роботу з сайтом. Існують кілька різновидів файлів cookies в залежності від часу їх використання. Тимчасові або сеансові автоматично знищуються після закриття сайту. Постійні діють до моменту, поки не закінчиться час їх дії, або користувач навмисно їх не знищить. Існують cookies приналежності до конкретного домену або групи доменів, наприклад, до доменів верхнього рівня. Тепер і на сайті Верховної ради України розміщена Політика використання cookies.
На даний момент в Україні показовою залишається постанова Судової палати у цивільних справах Верховного суду України від 27.09.2017 р. № 6-1435цс17, в якій позивач звернувся до суду за захистом своїх персональних даних та відшкодуванням моральної шкоди. У постанові зроблені наступні висновки.
- Сам факт неправомірного поширення персональних даних може бути підтвердженням заподіяння моральної шкоди, якщо дії відповідача викликали душевні страждання позивача. Як в даному прикладі, оцінка заподіяної моральної шкоди ґрунтується на кількості переглядів/прослуховувань відео/аудіо файлу, викладеного у вільний доступ в мережі Інтернет, який містив персональні дані позивача.
- У деліктних зобов’язаннях обов’язок спростування презумпції провини лежить саме на відповідачеві. Тобто якщо зазначена презумпція в суді не спростована, це є підставою для висновку про наявність вини відповідача.
- Обтяжливою обставиною є те, що відповідач не вчинив дій для усунення моральної шкоди позивачеві, шляхом вилучення відео/аудіо файлу з вільного доступу в мережі Інтернет.
Розмір моральної шкоди й досі не встановлений. Справа перебуває на розгляді в Києво-Святошинському районному суді Київської області.
Згодом формування судової практики стане зрозумілим, наскільки реальним є застосування штрафів GDPR для компаній-резидентів України.