Яким буває законодавство про захист даних і коли воно застосовується до вашої компанії?

Наприклад, український співзасновник американської корпорації обробляє дані європейців на серверах в Бразилії. Який закон застосувати? Так щоб точно не прогадати, може, краще всі відразу? Про GDPR і Європу, CCPA і Штати, закони і законопроекти – далі на конкретних прикладах.

Data Privacy Framework

Все починається з основи, на якій будується бізнес. Можна було б сказати “реєстрація в США – законодавство США”, але, на жаль для компаній, і на щастя для задротів юристів, не все так легко. Бізнес – це точно не про ізольованість за місцем реєстрації. В першу чергу бізнес – про діяльність компанії.

На сьогодні практично кожна країна вже має хоч якесь законодавство про захист даних. І всі ці закони історично базуються на двох можливих документах:

• Керівні принципи OECD щодо захисту конфіденційності та транскордонних потоків персональних даних і
• Рамкові принципи конфіденційності APEC.

Виглядає так, що в межах двох фреймворків немає куди розгулятися з ухваленням різноманітного законодавства. Але приватність ще й адаптується під зміну технологій і бізнесів. Тому і закони різняться по світу. 

Його величність GDPR і Європа

General Data Protection Regulation (GDPR) був першим підписаним законом про захист даних, і поширився відразу на 28 країн, як умова вільного руху персональних даних в межах Європейського Союзу. Сфера застосування GDPR включає два критерії, за якими компанії можуть визначити, чи їхня діяльність входить в цю сферу.

Матеріальний критерій. Під дію GDPR підпадають усі процеси обробки персональних даних, незалежно від того, як дані обробляються (автоматизовано чи ні). 

Територіальний критерій. GDPR – це регламент ЄС, тому його застосування частково вимагає локалізації. Відповідно, маємо такі варіанти застосування: 

• компанії в ЄС (і так, навіть якщо їх сервери десь в Китаї); 
• компанії не в ЄС, які пропонують товари чи послуги субʼєктам даних з ЄС або 
• компанії, які моніторять поведінку субʼєктів даних в межах ЄС (наприклад, через cookies на вебсайті). 

Уявимо собі компанію, яка спеціалізується на організації туристичних подорожей. Компанія зареєстрована в США, але має велику клієнтську базу в Європі. Матеріально GDPR поширюється на їхні процеси повністю. Проте в частині локалізації GDPR буде поширюватися тільки на обробку даних клієнтів з ЄС, яким пропонується послуга. Крім того, швидше за все, компанія використовує дані про користувачів сайту з ЄС для оптимізації маркетингу і налаштування cookies. Тому оцінювати критерії матеріальної і територіальної сфери треба в сукупності. 

CCPA і Штати

У Каліфорнії у 2018 році підписали California Consumer Privacy Act, а за 2 роки він був доповнений California Privacy Rights Act (сьогодні це все разом називають “CCPA”). Хоч і каліфорнійське законодавство – федеративне, але в той час CCPA допоміг компаніям переглянути своє бачення приватності, а іншим штатам – почати рух в напрямку прийняття власних актів (як, наприклад, першими зробили у Вірджинії, а згодом ще у десятку інших штатів).

Компанія підпадає під дію CCPA, якщо вона відповідає хоча б одному з критеріїв:

• Компанія отримує в рік понад 25 мільйонів доларів США (річний валовий дохід).
• Компанія щороку купує, продає або надає доступ до персональної інформації більш ніж 50 000 споживачів фізичних осіб, які є резидентами Каліфорнії.
• Не менше 50% річного доходу компанії отримано від продажу персональної інформації споживачів.

Як приклад, можемо розглянути нью-йоркський маркетплейс, який спеціалізується на онлайн-продажі товарів для дому. Він має велику клієнтську базу в Каліфорнії (в середньому 85 000 клієнтів за рік) і активно веде там бізнес через свій вебсайт та мобільний додаток. Хоч і компанія не зареєстрована в Каліфорнії, вимоги CCPA застосовні до неї через критерій споживачів з Каліфорнії. А ще Нью-Йорк не має власного закону про захист персональних даних споживачів, тому це дещо спрощує життя маркетплейсу.

Не GDPRом і CCPA єдиними

Світ захисту персональних даних – безмежний, а тому країни (і навіть їх окремі штати) послуговуються багатьма іншими законами про приватність. Як мінімум, Бразилія, Китай і Саудівська Аравія мають чинні закони про захист даних на національному рівні, а такі штати США як Теннессі, Міннесота, та Меріленд вже от-от доженуть своїх попередників у інших штатах. 

На регіональному рівні у різних країнах, крім загального складного закону про приватність, можуть бути секторальні акти (як-от в США про фінанси, здоровʼя чи дані дітей). Якщо застосовується локальний акт, таке секторальне регулювання треба враховувати для дуже конкретних видів діяльності, і вивчати додатково спеціальний закон. А тому питання, як обрати закон, має чітку відповідь – треба вибирати застосовне до ваших способів, території та результатів обробки даних.

А що з Україною?

У нас діє Закон України №2297-VI «Про захист персональних даних». Він був прийнятий на основі Директиви 95/46/ЄС та норм Конвенції 108 ще у 2010 році, тому концепція вже трохи застаріла. Але 20 листопада 2024 року був прийнятий за основу проєкт нового Закону №8135, який Верховна Рада України прийняла у першому читанні, а отже, маємо небезпідставну надію на оновлення. Огляд законопроєкту ми вже робили раніше тут. Як чинний закон, так і новий проєкт закону мають таку ж сферу дії, як і GDPR в матеріальній частині, а територіально – конкретних застережень не містять.

Наприклад, є компанія зі Львова, яка розробила CRM-систему і надає до неї доступ через свій вебсайт. Тут два сценарії:

• Якщо компанія зареєстрована в Україні і продає свій софт виключно українським клієнтам, застосовується Закон України “Про захист персональних даних” і компанія має дотримуватися його вимог (звісно, допоки проєкт №8135 не стане законом).
• Якщо ж компанія все ще зареєстрована в Україні, але продає свій софт через вебсайт напряму клієнтам у Польщі, вона обробляє їхні дані, тому тут ще має застосовуватися GDPR. Те ж саме працює з жителями Каліфорнії і CCPA, але вже у значно більших масштабах.

То що робити коли застосовуються одразу кілька законів?

Можна спробувати підлаштуватися під усі закони відразу. Це якщо компанія має таку можливість і ресурси. Тоді юридичний відділ має ознайомитися з застосуванням усіх законів або замовити юридичний аудит для визначення подальших кроків.

Повернемось до нашого співзасновника американської корпорації. Він все ще мусить відповідати стандартам трансферів даних між Європою, Штатами і Бразилією. Якщо він почне взаємодіями з даними українців, наш закон теж треба буде застосувати в частині такої взаємодії. Тим більше, якщо корпорація залучить українських ФОПів.

Проте не завжди можна найняти суперменів, які зможуть безпомилково жонглювати всіма законами відразу. Як варіант, компанія може обрати так званий highest denominator (найсуворіший стандарт) типу GDPR і відповідати йому. Можна локалізувати процеси обробки даних і працювати за законами головного офісу, але адаптувати процеси у різних країнах чи штатах. Наприклад, в ЄС компанії часто застосовують легітимний інтерес для обробки аналітичних і маркетингових даних, але в Бразилії такої підстави обробки просто немає. Тому компанія може вирішити підлаштуватися під місцеві вимоги і просити згоду в користувачів. Тоді, залежно звідки користувач, дані можуть збиратися по-різному.

Висновок

Правильно застосувати необхідний закон про захист даних – це логічний процес, до якого треба прикласти трохи зусиль. Часом це просто вдало побудована структура бізнесу. Розбиратися у юрисдикціях, з якими працюєте – це свідомий вибір компанії. Так само, як і вибір “забити” на правила і чекати виставлення нового рахунку зі штрафом за порушення.

Якщо компанія буде впевненою у своїй системі інформаційної безпеки, політиках і їхній відповідності хоча би з одним із визначальних для неї фреймворків, показати регулятору комплаєнс з іншими нормами приватності буде в рази простіше.