Як ми докотилися до GDPRу і що буде далі?


Ірина Синьоок

менеджерка контрактного департаменту компанії Taxus Law&Finance


Чому всім компаніям, які бажають працювати на міжнародних ринках, необхідно уважно поставитись до захисту персональних даних та підготувати компанію до нових «правил гри»?

Сьогодні ми вже звикли до тотальної GDPR-ізації, а питання захисту персональних даних та кібербезпеки у всіх на слуху. Громадяни прагнуть більшої приватності, а Privacy Policy чи Privacy Notice  — це must практично кожного сайту. 

Персональні дані — це один з найважливіших інформаційних активів компаній, а витік таких даних може вкрай зруйнувати її репутацію. 

Та ще 10 років тому це питання не мало такого масового характеру, а переважна більшість громадян не задумувались над тим, що персональні дані — це ресурс, який потрібно леліяти і оберігати. Давайте спробуємо прослідкувати, як розвивалася ця тенденція.

Скільки коштують дані або що передувало прийняттю GDPR?

Пристальна увага до наших персональних даних пов’язана з формуванням основних гігантів-монополістів Інтернету GAFAM (Google, Amazon, Facebook, Apple, Microsoft) в кінці 90-их років. За їх безпосередньої участі зароджується нова система монетизації комерційної діяльності в Інтернеті. Пошукова система Гугл і соціальна мережа Фейсбук, не маючи прямих джерел для отримання прибутку (на відміну від Амазон та Майкрософт), починають показувати рекламу, що ґрунтується на аналізі поведінки своїх користувачів (таргетинг). Контекстна реклама швидко стає надзвичайно затребуваною і до цієї системи підключаються Amazon, Microsoft і Apple. Технології розвиваються так швидко, що дозволяють аналізувати всю цю інформацію і виявляти вражаючі особливості поведінки користувачів.  

Законодавче регулювання персональних даних у ЄС того періоду обмежувалося Директивою ЄС щодо захисту персональних даних 1995 року, яка досить поверхнево висвітлювала такі нові правовідносини (які, до того ж, ще і постійно розвивались), що дало можливість компаніям, які збирають і опрацьовують персональні дані своїх користувачів аналізувати, зберігати та розпоряджатися (зокрема, і продавати без отримання згоди користувача) ними як завгодно.

На початку 2000-них, світ потрясають, мабуть, головні скандали, пов’язані з персональними даними та інформаційною безпекою як такими. Тут можна говорити про оприлюднення Едвардом Сноуденом секретних документів Агентства національної безпеки США (АНБ), що підтверджують тотальне стеження США за своїми громадянами та громадянами інших держав. АНБ щодня перехоплювало 200 млн текстових повідомлень користувачів інтернету по всьому світу. Спецслужба збирала таку інформацію, як список контактів, місце розташування і навіть дані кредитних карт. 

У той же час по всьому світу в результаті хакерських атак та звичайної недбалості відбуваються витоки персональних даних користувачів. Так, у 2015 році сайт знайомств, який базується в Канаді, був атакований хакерами, в результаті чого особисті дані приблизно 37 млн користувачів були викладені в Інтернеті у відкритому доступі. Пізніше стало відомо, що в числі іншої була опублікована інформація про урядовців з США і Великобританії, а також, комерційних керівників Європи і Північної Америки.

Всі ці події змусили Європейський Союз замислитись над потребою оновлення існуючого регулювання захисту персональних даних. Дискусії щодо прийняття нового регламенту розпочалися у 2012 році, а в 2016 році остаточний текст Регламенту про захист персональних даних (GDPR) був офіційно опублікований і 25 травня 2018 року набув чинності. Сьогодні GDPR називають одним із найбільш значних законодавчих актів у сфері персональних даних, що був прийнятий за останні 20 років.

Не GDPRом єдиним: пару слів про PIPEDA, CCPA, LGPD 

Вслід за прийняттям GDPRу, активізувались також і інші країни. Приклад з Європи взяла Каліфорнія, ухваливши власний закон — California Consumer Privacy Act (CCPA), який вступив в силу 1 січня 2020 року. CCPA насправді не такий суворий, як європейський регламент, але все ж передбачає суттєві зміни в житті компаній, які ведуть там бізнес. У кожного інтернет-користувача в Каліфорнії з’явилося право вимагати у компанії інформацію, яку вона про нього зібрала, і список третіх осіб, яким та стала відома.   

Канада також має своє власне законодавство щодо захисту персональних даних споживачів – Закон про захист персональної інформації та електронні документи (PIPEDA). Закон був прийнятий ще у 2000 році, але у світлі активізації уваги до інформаційної безпеки, був оновлений. Як і GDPR, будь-який бізнес, який працює в Канаді та обробляє особисту інформацію громадян, яка перетинає кордони, підлягає регулюванню PIPEDA.

Загальний закон про захист даних в Бразилії (LGPD) — новий закон про конфіденційність у Бразилії, який повністю вступає в силу 1 серпня 2021 року. Крім цього, Індія також наразі розглядає законопроект про захист персональних даних (Personal Data Protection Bill).

Тому всім компаніям, які бажають працювати на міжнародних ринках, необхідно уважно поставитись до такого регулювання та підготувати компанію до нових «правил гри», забезпечивши глобальний режим приватності.

Регламент E-Privacy: розслаблятися не варто, бути напоготові

Крім того, у Європарламенті на даний момент розглядається проект ePrivacy Regulation, який повинен замінити існуючу з 2002 року ePrivacy Директиву (яку також називають «законом про cookie»). 

Дія E-Privacy Regulation має поширюватися на будь-який бізнес в рамках Європейського Союзу, який надає послуги онлайн-зв’язку, використовує технології онлайн-відстеження або займається електронним прямим маркетингом.

Новий законопроект покликаний доповнити і зміцнити вимоги, сформовані GDPR. При цьому головна мета ePrivacy Regulation, — захистити користувачів ІТ-сервісів від спаму і нав’язливої реклами, та зміцнити їх контроль над персональними даними.

EPrivacy Regulation планували «запустити» одночасно з GDPR, 25 травня 2018 року. Хоча через відсутність одноголосності всередині парламенту та негативну реакцію ІТ-бізнесу прийняття вирішили відкласти для доопрацювання.

Всі ці законодавчі ініціативи щодо регулювання захисту персональних даних є лише початком, тенденція до регулювання таких відносин росте і буде зростати найближчим часом. Тому необхідно пройти довгий шлях комплаєнсу для максимізації можливостей та мінімізації ризиків ведення бізнесу в цифрову епоху законів про конфіденційність.