Артем Гордєєв
Middle Business Development Manager, Lawyer міжнародна консалтингова компанія Lextensio
Питання захисту персональних даних набуває все більш важливого значення. В умовах динамічного розвитку інтернету та сучасних технологій, інформація про особу зберігається вже не тільки в старих габаритних теках десь в архівах різних органів і установ, доступ до яких має обмежене коло осіб. Медичні заклади, банки, інтернет-магазини, університети та інші, тепер зберігають персональні дані в електронному вигляді.
З огляду на це останні десятиліття відбувається активний розвиток законодавства в сфері захисту персональних даних. У цій статі ми розглянемо низку важливих актів,зокрема GDPR, CCPA, LGPD, PIPEDA, а також з’ясуємо на території яких держав вони діють і чим принципово відрізняються одне від одного.
GDPR
General Data Protection Regulation або просто GDPR є одним із найбільш чітко регламентованих актів про конфіденційність і безпеку в світі. Він був прийнятий в 2016 році і з 2018 року всі організації, що здійснюють обробку персональних даних резидентів Європейського Союзу, повинні відповідати його вимогам.
Що таке персональні дані в розумінні GDPR?
Згідно з положеннями цього акту це вся інформація відносно особи, яку можна безпосередньо або опосередковано ідентифікувати. Наприклад, ім’я та прізвище, псевдонім, електронна адреса, «cookie» файли, відомості про місцезнаходження, етнічне походження, стать, біометричні дані, релігійні переконання тощо.
Хто є учасниками процесу обробки персональних даних?
GDPR називає наступних учасників:
— фізична особа, яку ідентифіковано або можливо ідентифікувати. Тобто клієнт, відвідувач сайту тощо;
— контролер даних (Data controller) — особа, яка вирішує, у зв’язку з чим та яким чином будуть оброблятися дані. Тобто це більшість компаній, які надають послуги і відповідно самостійно визначають цілі та методи обробки персональної інформації.
— процессор даних (Data processor) — сторона, яка обробляє інформацію за вказівками контролера. Приміром, фінтех компанія влаштовує якесь свято і запрошує всіх своїх працівників. Для виготовлення запрошень вона залучає друкарню. Поліграфія отримує список імен і адрес працівників. У цій ситуації друкарня вважається процесором, оскільки вона використовує інформацію відповідно до інструкцій контролера.
На яких територіях діє GDPR?
Відповідь проста – GDPR поширюється на всі країни Європейського Союзу. Крім того, у випадках обробки особистих даних резидентів ЄС, необхідно дотримуватись правил GDPR, навіть якщо ви не перебуваєте в межах цього регіону. Наприклад, ви є резидентом Гонконгу і продаєте закордон товар, який придбав громадянин Франції. У такому випадку на вас поширюються вимоги GDPR, оскільки ви будете обробляти персональні дані резидента ЄС – його прізвище, ім’я, місце доставки тощо. Також важливо розуміти, що деякі країни, які хоч і не є членами ЄС, можуть повністю користуватися нормами GDPR. Наприклад, хоч Великобританія окремо прийняла Data protection act 2018 року, по факту, цей закон є імплементацією GDPR, з деякими незначними особливостями.
А що ж по відповідальності за GDPR?
Штрафи за порушення норм GDPR достатньо високі. Встановлюються два рівні стягнень:
— 2% від обороту за рік або десять мільйонів євро – за порушення правил обробки інформації щодо неповнолітніх, зобов’язань контролера або процесора тощо;
— 4% від обороту за рік чи двадцять мільйонів євро – за передачу даних в інші країни, порушення прав суб’єктів, принципів обробки і так далі. Також постраждалі мають право вимагати компенсації за збитки. Очевидно, що
норм GDPR економічно вигідніше неухильно дотримуватись.
CCPA
CCPA, або California Consumer Privacy Act 2018, прийнятий у 2018 році і набрав чинності через два роки, представляє собою важливий нормативно-правовий акт, який впроваджує зміни в області захисту особистої інформації у Сполучених Штатах.
Як персональні дані визначені CCPA?
За CCPA поняття «персональні дані» охоплюють ширший спектр інформації у порівнянні з GDPR. Вони включають в себе інформацію, що асоціюється, описує, встановлює або може бути розумно пов’язана, безпосередньо і опосередковано, з конкретною особою.
Хто є суб’єктами?
Відповідно до положень згаданого Акту суб’єктом є ідентифікована фізична особа -резидент Каліфорнії, в тому числі будь-який її унікальний ідентифікатор (податковий код,номер соціального страхування тощо). Другим учасником є компанії, що здійснюють обробку особистих даних. До них відносяться юридичні особи, ціль функціонування яких полягає в отриманні прибутку, збиранні такої інформації і відповідають хоча б одному критерію:
— Дохід за рік перевищує 25 мільйонів доларів.
— Самостійно або разом з іншими здійснює купівлю, продаж або обмін для комерційних цілей особистої інформації, в розмірі не менше ніж п’ятдесят тисяч клієнтів щороку.
— Отримують половину або більше своїх щорічних доходів від продажу особистої інформації споживачів.
В останніх двох випадках мова йде про так званих брокерів даних. Це компанії, які збирають особисті дані із загальнодоступних в інтернеті джерел (соціальні мережі), або шляхом купівлі її в інших організацій, наприклад у компаній, що видають кредитні картки (та сама історія покупок). В свою чергу, такі організації отримують відповідну згоду від свого покупця на подальшу передачу його персональних даних третім особам. Після цього брокери обробляють дані і продають третім особам для маркетингу або інших цілей.
Індустрія легального продажу персональних даних особливо розвинена в США. Одними з найбільших брокерів даних там є Acxiom LLC, Epsilon Data Management LLC, CoreLogic тощо. Останній, наприклад, надає дані для перевірки потенційних орендарів орендодавцям і компаніям з нерухомості.
Де діє CCPA?
З назви документу очевидно, що CCPA охоплює організації, які провадять комерційну діяльність в Каліфорнії. Проте, важливо зауважити, що CCPA не регулює діяльність компаній, які збирають та продають особисті дані за межами Каліфорнії.
А що ж по відповідальності згідно з CCPA?
Штрафи застосовуються тільки на підставі судового рішення, а їхні види наступні:
— 2 500 доларів за кожне порушення;
— 7 500 доларів за кожне умисне порушення.
LGPD
Бразильський LGPD (Lei Geral de Proteção de Dados Pessoais) є ще одним важливим актом, що регулює питання захисту персональних даних.
Що LGPD вважає персональними даними?
Поняття персональних даних подібно до GDPR включає в себе інформацію про встановлену особу, або особу, яку можна ідентифікувати, тому тут без одкровень.
Хто має дотримуватись LGPD?
Дія LGPD поширюється на контролерів і процесорів, які разом іменуються агентами з обробки. Ними можуть бути як державні органи і установи, так і приватні компанії.
У відповідності до LGPD, обробник даних має обов’язок виконувати їх обробку згідно з інструкціями, наданих контролером. Контролер, у свою чергу, несе відповідальність за перевірку та забезпечення відповідності процесу обробки даних вимогам LGPD.
Яка територіальна дія у LGPD?
Як і з GDPR, бразильський LGPD може застосовуватися до будь-якої організації, не зважаючи на її місцезнаходження, у випадках, коли вона здійснює обробку інформації у зв’язку з постачанням товарів чи послуг на територію Бразилії. А також, LGPD застосовується, якщо особи, чиї дані обробляються, на момент обробки перебували в Бразилії.
Яку ж відповідальність встановлює LGPD?
LGPD передбачає ряд санкцій для компаній, які порушують вимоги закону, включаючи:
— штраф у розмірі до двох відсотків від доходу від продажів в Бразилії за останній фінансовий рік, якщо сума штрафу не перевищує 50 мільйонів реалів (орієнтовно 9,5 млн євро) за порушення.
— зупинення діяльності з обробки персональних даних, щодо яких відбулось порушення, до 6 місяців (строк може бути продовжено).
PIPEDA
Personal Information Protection and Electronic Documents Act або PIPEDA є федеральним законом щодо конфіденційності для організацій приватного сектора в Канаді, прийнятий ще у 2000 році.
Як персональні дані визначені PIPEDA?
Персональною інформацією за PIPEDA є та, яка дозволяє встановити особу, включаючи як фактичні, так і суб’єктивні дані. Загалом види інформації вказані по аналогії з попередніми актами, проте ще згадується суб’єктивні дані, такі як думки, оцінки та коментарі про особу та її характеристики.
Для кого PIPEDA є обов’язковою для виконання?
У відповідності до норм PIPEDA контролери даних — «організації» (асоціація, товариства, профспілка), що збирають, використовують або розкривають особисті дані в процесі господарської діяльності або відомості про працівників (кандидатів).
На які території поширюється дія PIPEDA?
Тут по аналогії з GDPR. Проте є і виключення: PIPEDA не застосовується на території на провінцій Квебек, Британська Колумбія та Альберта, які мають власне регулювання.
Які наслідки порушення PIPEDA?
Недотримання PIPEDA може призвести до значних штрафів для організацій. Наприклад, може бути накладене стягнення на суму до сто тисяч канадських доларів (близько 68 000 євро) за кожне порушення. Крім того, особи, які постраждали від порушення PIPEDA, також можуть мати право на відшкодування будь- якої шкоди, завданої внаслідок порушення.
Підсумки
Таким чином, важливо орієнтуватись в усіх зазначених нормативних актах для правильного їх застосування, оскільки всі вони відрізняються територією або метою регулювання. Приміром, GDPR призначений для регулювання обробки персональних даних в ЄС, тоді як CCPA застосовується до резидентів Каліфорнії. В свою чергу LGPD регулює діяльність бразильських компаній, а PIPEDA – канадських (за виключенням уже
згаданих провінцій).
Щодо мети регулювання, то наприклад, аналіз CCPA вказує на те, що цей акт перш за все спрямований на регулювання питань, пов’язаних із продажем персональних даних на відміну від GDPR, який не містить подібних положень.
Беручи до уваги все вищезазначене, необхідно враховувати всі нюанси в сфері захисту персональних даних в своїй роботі, оскільки недотримання тих чи інших норм може призвести до суттєвих фінансових втрат. А якщо ви вагаєтесь, як працює те чи інше правило, або під дію якого акту взагалі підпадає ваша компанія, краще проконсультуйтесь з досвідченим спеціалістом.
Вам також буде цікаво:
Біткоїн подолав позначку в $41 500: чи важливий цей рівень
Google оголосила найкращі програми та ігри 2023 року
Створено фотонні чипи для бездротового зв’язку 5-6G