Регулювання обробки та передачі персональних даних в міжнародному бізнесі

Законодавство ЄС щодо персональних даних в бізнесі

В Європейському Союзі питання захисту персональних даних здебільшого регулюється двома нормативними актами – Загальним регламентом щодо захисту даних 2016/679 (GDPR) та Директивою про обробку персональних даних та захист конфіденційності в секторі електронних комунікацій 2002/58/EC ( ePrivacy Directive).

Останні роз’яснення European Data Protection Board, а також рішення Суду справедливості Європейського Союзу (справа Vidal-Hall v Google Inc.) засвідчують, що інформація, зібрана з допомогою файлів cookies, здебільшого буде вважатись персональними даними за GDPR.

Стандарти ЄС у сфері прямого маркетингу

Питання прямого маркетингу достатньо детально врегульовані у GDPR. До основних стандартів у цій сфері належать:

• необхідність використання належної законної підстави для обробки персональних даних. У сфері прямого маркетингу найбільш поширеними підставами для обробки персональних даних є використання однозначної згоди суб’єкта (unambiguous consent) та досягнення цілей законних інтересів контролера (legitimate interests);
• надання особі чіткої та зрозумілої інформації, що її персональні дані будуть використовуватися саме для маркетингових цілей;
• укладання договорів із підрядниками (рекламними агенціями, сервісами масової відправки email), що забезпечують належні організаційні та технічні заходи безпеки персональних даних;
• забезпечення законності міжнародної передачі персональних даних. Якщо передача персональних даних здійснюється поза межі Європейської економічної зони, GDPR вимагає вжиття підвищених заходів безпеки;
• особі повинне бути надане право відмовитися від отримання прямих маркетингових повідомлень. Право на відмову повинне діяти щодо будь-яких маркетингових каналів, воно повинно реалізовуватись без невиправданої затримки та безкоштовно.  

Умови передавання даних за межі ЄС

Важливим у процесі діяльності підприємця є питання передавання персональних даних з території Союзу до інших держав, зокрема до України. Необережне ставлення до персональних даних може потягти за собою серйозні штрафи та компенсації постраждалим власникам персональних даних.​

У відповідності з GDPR, передавання персональних даних до третіх країн (таких, що знаходяться по за територією Союзу) або міжнародних організацій може відбуватися виключно на підставі:​

1. рішення Європейської Комісії про відповідність рівня захисту, який третя країна надає персональним даним, які передаються на її територію (список юрисдикцій з належним рівнем захисту). Наразі, рішенням Європейської Комісії затверджений список юрисдикцій, які мають належний рівень захисту, передача даних до яких не потребує отримання додаткового дозволу у відповідних владних структурах.  До таких країн входять: Аргентина, Канада (підприємства), Фарерські острови, Андорра, Нова Зеландія, Острови Гернсі, Швейцарія, Ізраїль, Уругвай, Остров Мен, США, Острів Джерсі;
2. затверджених відповідним наглядовим органом зобов’язальних корпоративних правил;
3. ухвалених Європейською Комісією або відповідним наглядовим органом стандартних положень щодо захисту персональних даних;
4. затвердженим кодексом поведінки у сукупності з наданими контролером чи обробником у третій країні зобов’язаннями застосувати належні гарантії щодо забезпечення прав суб’єктів даних;
5. затвердженим механізмом сертифікації у сукупності з наданими контролером чи обробником у третій країні зобов’язаннями застосувати належні гарантії щодо забезпечення прав суб’єктів даних;
6. положень договору між контролером або оператором та контролером, оператором або одержувачем персональних даних у третій країні чи міжнародною організацією за наявності спеціального дозволу наглядового органу.

На жаль, Україна поки не входить у список країн, які надають достатні гарантії захисту персональних даних. Тому передавання даних дозволяється лише за однієї з таких умов:​

• суб’єкт даних надав чітку згоду на запропоноване передавання після того, як його було повідомлено про можливі ризики такого передавання;
• передавання є необхідним для виконання контракту між суб’єктом даних і контролером, або реалізації переддоговірних заходів, вжитих на запит суб’єкта даних;
• передавання є необхідним для укладення чи виконання договору, укладеного в інтересах суб’єкта даних між контролером та іншою фізичною чи юридичною особою;
• передавання є необхідним на важливих підставах суспільного інтересу;
• передавання є необхідним для формування, здійснення або захисту правових претензій;
• передавання є необхідним для захисту життєво важливих інтересів суб’єкта даних або інших осіб, якщо суб’єкт даних фізично чи юридично неспроможний надати згоду.​

Щодо інших країн, які не входять до вищезгаданих, то необхідно проводити детальний аналіз та приймати рішення, базуючись на вимогах внутрішнього законодавства такої країни.​