Вибір стратегії підготовки компанії до вимог GDPR

14 Серпня 2020

В сучасному бізнесі досить часто виникають ситуації, коли великі компанії, не бажаючи нести відповідальність перед законом за недотримання вимог обробки персональних даних, приймають рішення про визнання себе обробниками персональних даних, замість того, щоб залишатися контролерами.

Чому компанії не бажають бути контролерами

Особи (як юридичні, так і фізичні), які визнаються контролерами, у відповідності до вимог General data Protection Regulation (GDPR), зобов’язані нести всі ризики стосовно гарантування того як та навіщо здійснюється обробка персональних даних.

  • По-перше, компанія, яка визнана контролером, самостійно встановлює мету та цілі обробки персональних даних, а отже несе відповідальність за те, щоб такі цілі були релевантними та співрозмірними з операціями, які компанія здійснює по відношенню до персональних даних.
  • По-друге, компанія-контролер повинна самостійно забезпечити наявність або гарантувати наявність необхідних організаційних та технічних заходів, які б забезпечили максимальний захист персональних даних, що оброблюються. І навіть якщо компанія буде залучати підрядників, обов’язок щодо гарантування згаданих вище заходів, покладається все ж на компанію-контролером. Звісно є винятки, про які буде написано нижче.
  • І на останок, компанія завжди повинна мати чітку стратегію комунікації з фізичними особами, чиї персональні дані оброблюються (суб’єкти даних), яка б максимально співпадала з вимогами GDPR. Мається на увазі, що компанія-контролер буде відповідати на запити та скарги суб’єктів даних, а також здійснювати заходи, спрямовані на реалізацію фізичними особами свої прав, передбачених положеннями GDPR.

Саме такий скоуп відповідальності та обов’язків досить часто змушують компанії шукати рятівних шляхів, щоб зменшити ризик притягнення їх до відповідальності.

Розподілення відповідальності як основний чинник для обрання стратегії

Враховуючи викладене вище, а також посилаючись на положення статті 24 General data Protection Regulation, компанія – контролер буде завжди відповідальною за неналежну обробку персональних даних фізичних осіб, що знаходяться на території Європейського Союзу.

Ця відповідальність може виявлятися як у формі санкцій з боку державних органів, що найчастіше мають форму штрафів, так і у вигляді компенсації матеріальної та моральної шкоди суб’єктам даних, чиї права та інтереси були порушені, в наслідок порушення персональних даних.

Що ж стосується відповідальності особи (як юридичної, так і фізичної) – обробника, то в цьому випадку законодавець передбачив обмежену відповідальність, в рамках конкретних зобов’язань обробника, які знову ж таки чітко передбачені в General data Protection Regulation, зокрема в статті 28.

В цьому випадку мова може йти про відповідальність за недотримання прямих зобов’язань щодо забезпечення технічних заходів при здійсненні обробки персональних даних, якщо такі гарантії надавалися компанії-контролеру перед початком обробки персональних даних.

Наприклад: Компанія-контролер, яка зареєстрована в Естонії, залучає компанію-обробника, яка зареєстрована в Німеччині, з метою надання послуг з технічної підтримки веб-ресурсів, через які надаються послуги тисячам фізичних осіб, що проживають в ЄС. Контролер та обробник укладають договір, де обробник запевняє, що має всі належні технічні інструменти для безпечного моніторингу, збирання, класифікації та зберігання персональних даних. Через деякий час виявилося, що обробник не достатньо надійно забезпечив зберігання даних на своїх серверах, що призвело до значних порушень прав та інтересів суб’єктів даних і контролер не був повідомлений про це вчасно. В цьому випадку, вся відповідальність за порушення персональних даних може бути переадресована на обробника, якщо контролер доведе, що ним були вжиті всі необхідні заходи перед залученням обробника та в процесі взаємодії з ним.

Не варто також забувати, що відповідальність може бути розподілена між контролером та обробником, якщо буде встановлено та доведено їхню спільну провину в настанні негативних наслідків для прав та інтересів суб’єктів даних. В такому випадку, обидві сторони будуть нести солідарну відповідальність, в мірі, що  залежить від ступеня тяжкості порушення, здійсненого кожною із сторін.

Вибір стратегії

Для вибору коректної стратегії, необхідно зрозуміти, чи дійсно ви цього потребуєте. Потрібно встановити зв’язок між персональними даними та комерційною складовою діяльності вашої компанії.

Важливо: компанія, яка весь період свого існування здійснювала обробку персональних даних в якості контролера, не може просто змінити свою роль з контролера на обробника та задекларувати це в своїх документах, без базової зміни алгоритмів здійснення бізнес операцій в рамках компанії.

Нижче наведені деякі приклади щодо обрання певної статегії:

  • Якщо компанія здійснює продаж конкретних продуктів від власного імені або надає такі ж послуги кінцевим споживачам, то в такому випадку мова може йти тільки про те, що ця компанія є контролером.
  • Якщо компанія діє на замовлення інших осіб, тобто виготовляє продукти або надає послуги для інших компаній або від їхнього імені, то в такому випадку вона вже може планувати свою діяльність як обробник. При цьому не варто забувати про врахування нюансів, які стосуються визначення власних цілей обробки персональних даних.
  • Існують також ситуації, коли компанії намагаються комбінувати свою роль як контролера та обробника, в процесі обробки персональних даних. І це надзвичайно «тонка робота», що потребує значної уваги та компетенції.

Наприклад:  можуть надаватися послуги з технічної підтримки або маркетингу іншим компаніям, але коли персональні дані потраплять до компанії, вона негайно формує свою базу даних, для проведення вже власних маркетингових активностей по відношенню до цих фізичних осіб.

В будь-якому випадку, перед обранням стратегії дій, в контексті визнання компанії контролером або обробником, варто приділити дуже велику увагу вивченню інформації про те, які персональні дані збираються, для яких цілей вони збираються, та в яких об’ємах це робиться. Лише здійснивши таке дослідження, ми можемо перейти до планування стратегії, поєднавши результати personal data assessment з комерційними особливостями діяльності компанії.

Висновок

Інколи варто здійснити переоцінку свого вміння обирати правильний шлях в сфері обробки даних, врахувавши при цьому ту відповідальність, яка може бути застосована у тих випадках, коли буде встановлено, що роль компанії, в контексті вимог General data Protection Regulation, була обрана не вірно і компанія незаконно здійснювала обробку персональних даних протягом певного часу.

Залучення спеціалістів, які мають практичний досвід в реалізації подібних проектів, це завжди вірне рішення, яке мінімізує можливість притягнення до відповідальності за порушення умов обробки персональних даних.