Федор ГРИБОВСКИЙ • Специально для «Юридической практики»

В обозримом будущем Украина планирует стать членом Европейского Союза, а потому изменяет свое законодательство и проводит реформы, с целью соответствия требованиям этого объединения, в том числе в сфере защиты персональных данных, а также чести, достоинства и деловой репутации.

Генеральный регламент

25 мая 2018 года вступил в силу Генеральный регламент о защите персональных данных (GDPR). Этот документ в первую очередь направлен на защиту персональных данных, унификацию нормативно-правовых актов стран — участниц Евросоюза и опровержение недостоверной информации. К основным особенностям документа можно отнести всестороннее регулирование сбора, обработки и защиты персональных данных, высокие штрафы за нарушение законодательства, а также экстерриториальный принцип его действия.

GDPR — это универсальный инструмент, который помогает не только отдельным лицам, компаниям и различным государственным органам, но и десяткам государств взаимодействовать между собой с целью защиты персональных данных граждан Европейского Союза и всех лиц, чьи персональные данных будут собираться, обрабатываться и использоваться в ЕС.

Данный регламент может быть применен к физическим и юридическим лицам, которые зарегистрированы как на территории Евросоюза, так и за его пределами, если они осуществляют действия по сбору, обработке и использованию информации в отношении граждан ЕС или иностранных граждан, находящихся на территории Евросоюза.

К таким субъектам относятся:

1) информационные и новостные веб-ресурсы, зарегистрированные как в странах — участницах ЕС, так и в других странах, которые каким-либо образом собирают, обрабатывают и используют персональные данные лиц;

2) интернет-магазины, которые могут быть зарегистрированы в ЕС или за его пределами, но предоставляют услуги на языке и за валюту страны — участницы Евросоюза;

3) производители приложений для различных устройств, которые для полноценного функционирования своей продукции вынуждены собирать и обрабатывать персональные данные пользователей.

Особое внимание хотел бы уделить статье 6 (законность обработки данных) и статье 10 (обработка персональных данных о судимостях и уголовных преступлениях) GDPR.

В статье 6 говорится о том, что обработка будет считаться законной только при условии выполнения одного из требований, а именно:

— субъект обработки данных предоставил свое согласие на обработку персональных данных для одной или нескольких специальных целей;

— обработка необходима для выполнения контракта, стороной которого выступает субъект данных;

— обработка необходима для защиты жизненно важных интересов субъекта данных или иного физического лица;

— обработка данных необходима для выполнения задания в общественных интересах.

Статья 10 предусматривает, что обработка персональных данных о судимостях и уголовных преступлениях осуществляется на основании статьи 6 и только под контролем официального органа или в случае, если обработка разрешена законодательством Европейского Союза или государства-члена, которое предусматривает надлежащие гарантии прав и свобод субъекта данных.

Таким образом, если информация о лице была получена без соблюдения вышеупомянутых норм, то такое лицо имеет право обратиться:

— к владельцу веб-сайта, регистратору с целью удалить персональные данные, полученные с нарушением действующего законодательства, а также публикации или новости, в которых такие данные могли быть использованы;

— в надлежащие органы государства — члена Европейского Союза с целью защиты персональных данных, а также чести, достоинства и деловой репутации, если такие данные были использованы в публикациях, порочащих честь, достоинство и деловую репутацию.

GDPR в Украине

Также следует упомянуть и об административных штрафах, которые могут быть наложены за различные нарушения, касающиеся персональных данных, в соответствии с GDPR в размере до 20 млн евро, или 4 % от общего глобального годового оборота компании за предыдущий финансовый год, в зависимости от того, какая сумма больше. Но эти значения могут меняться в зависимости от законодательства конкретной страны — члена ЕС или имущественного состояния лица.

В Украине административный штраф за нарушения, связанные со сбором, обработкой или использованием персональных данных, может быть наложен в сумме до 34 000 гривен.

Кроме того, хотел бы отметить, что компании, которые на собственных веб-ресурсах собирают, обрабатывают и используют персональные данные физических лиц, должны указывать свои «контакты», цель сбора и обработки информации, что в случае нарушения позволит обратиться с требованием или иском к конкретному лицу.

В Украине некоторые веб-сайты, которые занимаются сбором, обработкой и использованием информации, не указывают контактных данных или сведений, необходимых для обращения с требованием или в суд в случае ненадлежащего использования или распространения информации.

В такой ситуации основным вариантом защиты является обращение в суд с заявлением об установлении юридического факта недостоверности информации, размещенной в сети интернет, но такое заявление не поможет решить проблему, так как у собственника и редакции веб-ресурса остается возможность продолжать собирать, обрабатывать и распространять персональные данные без согласия самого лица.

Если говорить о соблюдении законодательства по GDPR, то компании, зарегистрированные в Европейском Союзе, не игнорируют требований по GDPR об удалении персональных данных, полученных с нарушением законодательства, предоставляя таким запросам высокий приоритет.

В этом убедились и мы, когда с использованием GDPR подавали запросы различным регистраторам и регистрантам, зарегистрированным на территории Европейского Союза. Наши требования об удалении информации, которая была получена и обработана ненадлежащим образом, были удовлетворены, публикации, содержащие информацию, полученную с нарушением GDPR, удалены.

GDPR — это полезный инструмент Европейского Союза, который может применяться к компаниям, зарегистрированным как в ЕС, так и за его пределами, если они осуществляют деятельность в виде сбора, обработки и использования персональных данных различных лиц на территории Евросоюза. Заимствование некоторых норм GDPR в украинское законодательство могло бы помочь улучшить регулирование деятельности по сбору, обработке и использованию персональных данных украинских граждан путем изменения украинских правовых норм в отношении штрафов за нарушение законодательства о защите персональных данных, а граждане, в свою очередь, получили бы новые возможности в сфере использования своих персональных данных.

ГРИБОВСКИЙ Федор — юрист Dynasty Law Firm, г. Днепр

МНЕНИЕ

Новые стандарты безопасности

Александр  РУДЕНКО, советник KPMG Law Ukraine

GDPR ознаменовал новый подход Европейского Cоюза к регулированию защиты персональных данных. Сравнивая его положения с действующим украинским законодательством, стоит отметить, что GDPR предусматривает куда более широкую трактовку персональных данных, которые также должны быть актуальными, собираться лишь в количестве, необходимом для работы продукта или предоставления услуги, и удаляться сразу же после исчезновения такой необходимости. GDPR также предусматривает непризнанное украинским законодательством обязательство контролера данных удалять нерелевантную или неполную информацию по обращениям заинтересованных лиц.

Среди основных требований GDPR, которые необходимо будет имплементировать в украинское законодательство, также следует упомянуть новые стандарты безопасности данных: это шифрование, назначение специального сотрудника по защите данных, ужесточение правил передачи данных третьим лицам и обязательная оценка воздействия процессов компании на сохранность персональных данных.