Персональні дані – валюта нового покоління

Цінність персональних даних визнана вже давно і беззаперечно. Їх називають «нафтою», «новим золотом», «валютою ХХІ сторіччя».

Численні компанії використовують персональні дані користувачів для ведення бізнесу. Все більше користувачів починають розуміти цінність своїх персональних даних.

Тому  все частіше починають говорити про необхідність зміни правового режиму персональних даних. Висловлюються пропозиції розглядати їх як товар, поширити на них правовий режим власності, надати нарешті не лише компаніям, але й користувачам можливість отримувати користь від своїх персональних даних.

Однак стійке розуміння «невідчужуваності»  персональних даних, наявність «чутливих» персональних даних та багато інших питань, що залишаються невирішеними у цій сфері, змушують обережно ставитись до визначення їх правового режиму.

Персональні дані – власність, товар, чи…?

Можливість визнання персональних даних різновидом власності обговорюється вже давно. Нова хвиля таких дискусій, як не дивно, виникла після прийняття GDPR.

Підставою стало закріплення за володільцями персональних даних можливості отримувати копії своїх даних, передавати дані від одного контролера до іншого, вимагати їх знищення тощо (ст. ст. 17, 20, 26 GDPR).

Такі можливості нібито надали володільцям персональних даних повноваження, які мають власники стосовно майна. Однак персональні дані в GDPR все ж таки захищаються як атрибут особи, а не різновид майна. Тому прихильники визнання персональних даних власністю на підставі положень GDPR не витримали критики й поступово здали свої позиції.

Нещодавно прийняте Керівництво 2/2019 щодо обробки персональних даних відповідно до ст. 6(1)(б) GDPR в контексті надання онлайн сервісів суб’єктам даних прямо визначає, що персональні дані не можуть розглядатись як товар.

У п. 54  Керівництва зазначено, що з урахуванням того, що захист даних є фундаментальним правом, і приймаючи до уваги, що одна з головних цілей GDPR – це забезпечення можливості для суб’єктів даних контролю інформації, що їх стосується, персональні дані не можуть вважатися товаром. Навіть якщо суб’єкт даних може погодитись на обробку персональних даних, вони не можуть відчужувати свої фундаментальні права за такими угодами.

Здавалося б, позиція нормотворців є однозначною – персональні дані є невідчужуваними, є атрибутом особи, а тому не можуть розглядатись як товар чи об’єкт права власності.

«Революційна» Директива

Революційною у розумінні природи персональних даних може стати нещодавно прийнята Директива (ЄС) 2019/770 Європейського парламенту і Ради від 20 травня 2019 р. про певні аспекти стосовно договорів поставки цифрового контенту та надання цифрових послуг (далі – Директива).

Ця Директива спрямована на посилення захисту споживачів в онлайн середовищі і вносить зміни у законодавство ЄС про захист прав споживачів в рамках єдиного цифрового ринку та пакетів «Новий курс для споживачів». Директива охоплює договори між трейдерами та користувачами, у яких трейдер поставляє чи зобов’язується поставити цифровий контент або цифрову послугу в обмін на оплату ціни або надання персональних даних.

У п. 24 Директиви вказано, що цифровий контент або цифрові послуги часто надаються також там, де споживач не сплачує ціну, а надає персональні дані трейдеру. Такі бізнес-моделі використовуються у різних формах на значній частині ринку.

Тож Директива спрямована забезпечити споживачам в контексті таких бізнес-моделей право на договірні засоби правового захисту. Вона має застосовуватися до контрактів, у яких трейдери постачають чи зобов’язуються поставити цифровий контент чи цифрову послугу споживачу, а споживач надає або зобов’язується надати персональні дані.

Персональні дані можуть бути надані трейдеру під час укладення договору, або пізніше, наприклад, коли споживач дає згоду на використання трейдером будь-яких персональних даних, які споживач може завантажити або створити з використанням цифрового контенту або цифрового сервісу. Ця Директива повинна застосовуватися до будь-якого контракту, в якому споживач надає або зобов’язується надавати персональнідані трейдеру.

Зокрема, ця Директива повинна застосовуватися в тих випадках, коли споживач відкриває обліковий запис в соціальній мережі і надає ім’я та адресу електронної пошти. Вона також повинна застосовуватися в тих випадках, коли споживач дає згоду трейдеру на обробку в маркетингових цілях будь-яких матеріалів, що становлять особисті дані, таких як фотографії або публікації, які завантажує споживач.

Новий світ – нові правила

Напевно, не буде перебільшенням стверджувати, що Директива фактично визнає персональні дані «валютою» в цифровому світі. Поширення сфери дії Директиви на договори, за якими споживач «платить» своїми персональними даними є революційною для законодавства про захист прав споживачів та надає захист споживачам у сфері контрактів, які раніше вважалися «безоплатними».

Метою розробки «контракту на поставку цифрового контенту та цифрових послуг, за які споживач надає персональні дані замість сплачування грошей» було поширення принципів захисту споживачів на так звані «безкоштовні сервіси».

В обґрунтуванні такої позиції було вказано, що деякі сервіси не можуть вважатися «безкоштовними» з урахуванням зростаючої економічної цінності персональних даних. Несправедливим є той факт, що у випадках, коли споживачі не сплачують гроші, але все ж таки надають свої персональні дані за користування послугами, вони не отримують належного захисту своїх прав, оскільки така ситуація не підпадає під вимоги законодавства ЄС щодо захисту прав споживачів.

Тому запропоновано було поширити захист положення про захист прав споживачів на випадки, коли останні отримують сервіс за надання персональних даних, оскільки це відповідає сучасним економічним реаліям та потребам.

В контексті Директиви цифровий контент означає дані, які виробляються і надаються в цифровій формі, незалежно від того, чи використовується матеріальний носій чи ні, наприклад, комп’ютерні програми, додатки, відео- і аудіофайли та електронні книги.

Цифрові послуги – це послуги, які: (1) дозволяють створювати, обробляти, отримувати доступ або зберігати дані; або (2) дозволяють ділитися чи іншим чином взаємодіяти з даними в цифровій формі, які завантажені або створені споживачем чи іншими користувачами цих послуг. Прикладами можуть бути платформи для обміну відео і аудіо, послуги хмарних обчислень і соціальні мережі.

Фактично Директива (ЄС) 2019/770 визнає можливість обміну персональних даних на цифровий контент та цифрові послуги. Якщо ж за певним благом визнається можливість обміну на інші блага, тобто мінова цінність, це є нічим іншим, як його введенням у цивільний обіг. Цілком вірогідно, що положення, передбачені Директивою є першим кроком на шляху перегляду концепції персональних даних та, можливо, навіть поширення на них правового режиму власності.

__________

Редакція може не поділяти думки авторів у розділі «блоги».