Одного робочого ранку на електронну пошту прийшов зовсім незвичний запит від клієнта. З листа було видно, що клієнт стурбований і розгублений: «Лідіє, добрий день! Наш клієнт Н прислав нам договір на 26 сторінок, називається “Data Processing Agreement”, каже, що треба його доповнити з нашого боку й підписати згідно з GDPR. Ми такого раніше не підписували. Що це таке взагалі? Можете допомогти? Просимо розібратися і зробити нам цю GDPR».

Давайте чесно: ми не дуже любимо розбиратися із геть новими явищами, доки не звернеться клієнт. Ми щось десь чули й можемо завжди підтримати розмову на будь-яку тему протягом трьох-чотирьох речень лише “на загальних знаннях”. Але коли клієнт підтверджує проект, потрібно поринути в геть нову, мало кому відому тему. У мене це відбулося ось так.

Що таке GDPR і чому всі у світі так переполошилися?

Ми постійно працюємо із захистом даних в ЄС, тому уявлення про чинні правила захисту персональних даних в ЄС у мене були. Але розуміння того, що таке це таємниче GDPR, про яке навіть написав the Economist у своєму альманасі “Світ у 2018”, було геть туманним. І буду з вами відвертою, я раніше плутала послідовність літер у абревіатурі GDPR. Будьте тепер і ви відвертими і зізнайтеся, що не помітили помилку в заголовку статті.

Подолавши шалений прокрастинаційний опір, ми з колегами почали глибоке занурення в нові механізми захисту даних, описані на 88 сторінках самого документу GDPR, та ще на сотні-двох різних роз’яснень, гайдлайнів, кращих практик та інших кіп електронного тексту.

Капітан очевидність

Європейський парламент прийняв General Data Protection Regulation (GDPR) 26 квітня 2016 року. Як видно з розшифровки абревіатури, документ є «регламентом», тобто є обов’язковим для імплементації та застосування в законодавство усіх країн-членів ЄС в незмінному вигляді.

До прийняття цього регламенту правові рамки для захисту персональних даних у Європі встановлювала директива — документ, який не був обов’язковим для усіх, а радше встановлював певні межі та орієнтири, які держави-члени мали відобразити у своєму законодавстві тими методами і актами, якими вони самі вважали за потрібне це зробити.

«Персональними даними» традиційно вважаються всі дані, які дають змогу ідентифікувати людину за ними чи у їх поєднанні з іншою інформацією. Тобто маючи тільки ім’я, ідентифікувати конкретну людину неможливо. А от маючи також прізвище, дату народження та місце проживання, ви, скоріше за все, зможете знайти людину дуже легко.

До чого тут Україна?

Ми не в ЄС і хитромудрі регламенти та директиви до нас прямого відношення начебто не мають. Непряме відношення точно мають, бо деякі правові акти скопійовані з відповідних європейських в межах гармонізації українського та європейського законодавства.

Але тут інша історія. Усіх з-поза меж ЄС має насторожувати стаття 3 про екстериторіальну дію регламенту. Правила GDPR поширюються на компанії, зареєстровані поза ЄС.

Українські компанії часто мають справу з персональними даними клієнтів з Європи. Коли, наприклад, розробляється SaaS-платформа для організації роботи ресторанів чи ветеринарних клінік, розробники отримують можливість доступу до даних осіб, які реєструються на платформі (у наших прикладах — офіціантів чи лікарів та власників тварин). Згідно з GDPR, отримання доступу до даних, навіть без збереження інформації на комп’ютері, вважається «обробкою» персональних даних, на яку і поширюються правила GDPR.

Контролер і процесор — що за техтермінологія?

GDPR, як і чинне законодавство, розділяє поняття «процесора» і «контролера» даних. Для розуміння цих термінів є ще один, набагато зрозуміліший — «мета обробки даних». Якщо компанія сама визначає мету і способи обробки, то така компанія є «контролером» даних і , відповідно, на неї законодавство накладає більше обов’язків.

Уявімо, наприклад, що каршерінгова безкоштовна платформа ДирДирДор, розроблена в Україні українською компанією, набула б шаленої популярності як в Україні, так і в Європі, і при цьому сама платформа давала б можливість європейцям реєструватися на ній.

В такому випадку GDPR прямо поширювалася б на ДирДирДор. Більше того, українська компанія ДирДирДор буде контролером даних. Для того, щоб зберігати і обробляти всі дані, а також для того, щоб платформа функціонувала без сюрпризів, ДирДирДор використовує послуги і сервери компанії Amazon Web Services, Inc. Остання хоч і не є ініціатором збору даних і не встановлює мету їх обробки, однак все ж має до них доступ, тому є «процесором» даних. На процесорів GDPR також накладає свої обов’язки та обмеження.

Якщо українська компанія є контролером і на неї поширюється GDPR, що тоді?

Тоді настає найстрашніше.

Жартую. Все не так страшно. Насамперед компанії треба зробити загальний аудит того, які персональні дані збираються, до яких персональних даних компанія має доступ або зберігає на своїх комп’ютерах, кому вони можуть передаватися (хто з контрагентів компанії має доступ до даних), а також, що саме компанія робить з персональними даними та які заходи захисту даних застосовуються.

Тут треба зважати на багато нюансів, яких вимагає GDPR, бо не дарма ж там 88 сторінок.

Наприклад, не можна збирати інформації більше, ніж це зумовлено метою її збору і обробки. Якщо компанія, наприклад, займається розробкою застосунку з темами для клавіатури під андроїд, то при його встановленні на телефон навряд чи потрібно просити користувача надати згоду до доступу до всіх персональних даних смартфону користувача. Не варто повторювати сумний досвід застосунку Type.AI, який у грудні 2017 року допустив витік у вільний доступ понад 6 000 0000 записів із телефонних книг своїх користувачів, а також загалом більше ніж 373 мільйони персональних записів, отриманих з телефонів, в тому числі дані, які прив’язувалися до google-акаунтів. Фууух, що це сталося до 25 травня 2018 року.

Після загального аудиту треба перевірити чи політика приватності, яку пропонує компанія своїм клієнтам, відповідає вимогам GDPR. У ній мають бути прописані перелік даних, що збираються, мета обробки, права клієнтів щодо своїх даних, порядок надання відповідей на скарги.

О, і вимогою GDPR є простота викладу політики, а наперед відмічений галочкою тікбокс не пройде. Для безпеки компанії треба якось показати, що користувач справді ознайомився з правилами обробки даних і тепер найбільшій брехні світу про те, що ти прочитав правила користування і політику приватності, має настати кінець. До речі, GDPR, як і чинне законодавство ЄС, не вимагає, щоб веб-сайт розміщував стосторінкові документи під назвою Privacy Policy. Згідно з GDPR, це має бути чітка і проста Privacy Notice. Тобто навіть кращим і зручнішим є варіант, коли користувачеві показується якесь вигулькуюче вікно з короткою інформацією і позначкою згоди.

Отримання згоди на обробку даних через Політику приватності чи Privacy Notice — першочергове завдання контролера. Якщо таких нема — то справи кепські.

Але і правильно складена політика приватності — це ще далеко не все. GDPR впроваджує принцип захисту даних за замовчуванням (data protection by design and by default). Він означає впровадження технічних та організаційних заходів захисту персональних даних контролерами та процесорами ще до того, як дані потрапляють до них. Тобто компанії мають впроваджувати ці заходи і бути в повній готовності до належної обробки згідно з GDPR. Технічні заходи — це насамперед шифрування, використання методів шифрування даних та їх анонімізації, фізичний та онлайн-контроль доступу до даних (щоб не сталася така ситуація як з лондонським Deloitte у вересні 2017 року, коли через хакерську атаку і відсутність двофакторної авторизації для доступу стався витік даних про клієнтів Deloitte).

Організаційні заходи включають роботу з персоналом та підрядниками, які мають доступ до даних. Це, перш за все, підписання NDA з кожним із працівників, впровадження політики обробки даних в межах компанії і навчання персоналу. Останнього, мабуть, до недавнього часу не дуже дотримувався аеропорт Хітроу, адже у жовтні 2017 року ніяк не захищену флешку з картами, відео та документами з детальним маршрутом Королеви у Хітроу та заходами захисту, які вживаються, коли її величність відлітає кудись із візитом, з ідентифікаторами, які використовувалися для доступу поліцейських під прикриттям до обмежених територій аеропорту, з розкладом патрулювань, картами з позначками розташувань камер відеонагляду та картами тунелів на дорозі знайшов випадковий перехожий. І дуже здивувався, коли відкрив її на бібліотечному комп’ютері. Найімовірнішою, за словами представників Хітроу та експертів, була версія про необережність самих працівників аеропорту. Або ж як у ще одному серйозному випадку, коли у 2015 році через необачність одного з працівників лондонської клініки 780 ВІЛ-позитивним пацієнтам надіслали ньюзлеттер з відкритим списком отримувачів, за свідченням пацієнтів, вони знаходили у тому списку знайомих людей.

Якщо українська компанія є процесором даних, переданих їй з Європи

В українському ІТ-аутсорсі зазвичай так і є: українська компанія отримує замовлення на проект, а також доступ до персональних даних, які були вже зібрані клієнтом. Європейська компанія є контролером даних, українська компанія стає процесором даних.

За чинним законодавством ЄС, а також за GDPR передача даних за межі Європейської економічної зони можлива тільки за умови, що держава вважається такою, що забезпечує адекватний (належний) рівень захисту персональних даних. Список таких держав приймає Європейська комісія. Наразі рішення Європейської комісії про те, що із захистом персональних даних все ок, прийняте щодо Андорри, Аргентини, Канади, Швейцарії, Фарерських островів, Гернсі, Ізраїлю, Острову Мен, Нової Зеландії та Уругваю.

Уважний читач (а також той, хто інкорпорував компанію в США) помітить, що у списку немає США. Ну і України. Щодо США, то тут на допомогу компаніям може прийти участь у Privacy Shield (або можна скористатися стандартним механізмом договорів, як у випадку, коли б компанія була зареєстрована в Україні).

То що ж робити з передачею, якщо процесор в Україні. Дуже ймовірно, що клієнт з ЄС сам підкаже (а точніше, накаже) процесорові з України, що робити, тому що саме клієнт з ЄС буде першим відповідати за належну обробку даних своїм процесором. Найпрактичнішим механізмом такого забезпечення є підписання стандартних договорів на обробку даних (DPA), які будуть містити вимоги щодо технічних та організаційних заходів, які буде змушений вжити український процесор. Є й інші способи забезпечення передачі, наприклад, сертифікація процесора або розробка ним певних корпоративних правил, які мають бути затверджені контролюючими органами в ЄС. Однак, процедура сертифікації за GDPR ще не розроблена, а інші варіанти складно реалізувати на практиці. Отже, підписання договорів та їх виконання — практичний варіант для українського процесора.

Цікавим питанням є залучення українською компанією підрядників — говорячи мовою GDPR, незалежних суб-процесорів. Стаття 28 GDPR каже, що для залучення таких суб-процесорів потрібен письмовий дозвіл контролера. Тобто за загальним правилом українська ІТ-компанія, що надає послуги розробки або техпідтримки програмного забезпечення та має доступ до персональних даних, може залучати ФОПів для надання послуг тільки за згоди свого клієнта з ЄС. Крім того, з кожним з них треба підписувати DPA, який відображатиме правила DPA з клієнтом.

Чи потрібен компанії інспектор із захисту даних?

Зараз в інтернеті літають «страшилки» про те, що компанії мають призначати окремих осіб, відповідальних за обробку персональних даних, оскільки це вимога GDPR. Але насправді все не так страшно: згідно з GDPR офіцер має призначатися тільки тоді, коли обробку здійснює а) орган державної влади; б) компанія, яка здійснює регулярний та систематичний моніторинг фізичних осіб, використовуючи значні масиви персональних даних; в) компанія, яка здійснює обробку «чутливих» даних, таких як дані про стан здоров’я чи расове походження, а також дані про судимість особи.

Тим, хто вже заспокоївся від цієї новини, не побачивши себе в переліку, мушу розповісти про іншу «страшилку»: коли на українську компанію поширюється дія GDPR в силу статті 3 (2) і компанія виступає контролером даних, тобто пропонує свої послуги фізичним особам в ЄС та здійснює обробку даних своїх клієнтів, така компанія має призначити свого представника в ЄС. На практиці така компанія має підписати письмовий договір з іншою компанією в ЄС, яка буде основним контактом у випадку, якщо контролюючим органам ЄС буде потрібно зв’язатися з контролером даних у зв’язку з питаннями відповідності діяльності вимогам GDPR.

Якщо дані передаються НЕ в Україну

Якщо компанія зареєстрована не в Україні, а скажімо, в США, то необхідність підписання стандартних договорів на передачу даних від клієнтів нікуди не зникає, адже США (і більшість країн, де інкорпорований ІТ-бізнес) не є у списку, про який написано вище. А як тоді бути з Privacy Shield, спитаєте ви.

А я відповім, що Privacy Shield справді є своєрідним umbrella agreement, тобто передання даних компаніям, які зареєструвалися як учасники Privacy Shield (так, для цього потрібно окремо реєструватися та платити як за реєстрацію, так і за підтримку свого статусу), вважалося належним переданням даних з ЄС. При цьому і за умови реєстрації у Privacy Shield компанія зобов’язана укладати договори з підрядниками та клієнтами з урахуванням умов Privacy Shield. Зараз же проблема в тому, що Privacy Shield був прийнятий до того, як прийняли GDPR, тому є велика ймовірність, що і вимоги до американських компаній, що є його учасниками, будуть суворішими. Однак з репутаційного боку участь у цьому «щиті» є важливою для компаній з ЄС, хоч і передбачає витрати на реєстрацію і підзвітність Департаменту торгівлі та федеральній торговій комісії США.

Нещодавній скандал про продаж у мережі даних клієнтів «Нової пошти» показує, що тема захисту персональних даних в Україні на фоні набуття чинності GDPR буде тільки набувати популярності. Хороша новина для нас: українським ІТ-компаніям, що орієнтуються на ринок ЄС і хоч якось мають справу з персональними даними, знадобиться юрист. Не колись в майбутньому: GDPR- check потрібно провести вже. Штрафи для не GDPR-комплаєнт компаній значно, значно, вищі, ніж в Україні. Але нагнітати ситуацію штрафами, порядок застосування яких ще дуже туманний навіть у ЄС, я не буду. Завершу на мажорній ноті: ситуація з GDPR дає можливість розширення компетенції, завдяки чому, принаймні перші півроку після набуття чинності GDPR, можна буде з впевненістю і правильно козиряти цією абревіатурою не тільки тому, що вона у всіх на слуху, але й тому, що у вас є реальна експертиза забезпечити GDPR-комплаєнс клієнта.


ну і наостанок ось вам подкаст простими словами про те, що захист персональних даних — це насправді дуже тонка і важлива матерія в нашу еру віртуального і цифрового
https://www.theguardian.com/technology/audio/2018/jan/12/digital-dystopia-end-of-privacy-tech-podcast