Про деякі аспекти GDPR

Про деякі аспекти GDPR

Сучасний рівень технологічного розвитку та широке застосування мережі Інтернет призвели до зростання потоків персональних даних до країн та з країн поза межами ЄС, та відповідно до зміни економіки, суспільного життя, розширення міжнародної торгівлі та міжнародної співпраці. Це призвело до нових викликів та необхідності ефективного захисту персональних даних. У зв’язку з цим Європейським Парламентом і Радою було ухвалено General Data Protection Regulation (GDPR, Регламент), що набрав чинності 25 травня 2018 року.

Як це вплинуло на обсяг даних в службі WHOIS, вимоги до українських реєстраторів доменних імен, процедуру встановлення власників веб-сайтів, чи сприяє українське законодавство захисту персональних даних суб’єктів ЄС, що отримують послуги на території України?

Необхідно відмітити, що призначенням GDPR є встановлення норм щодо захисту фізичних осіб у зв’язку з опрацюванням їх персональних даних, а також норм про вільний рух персональних даних, який не повинен бути обмежено чи заборонено із причин, пов’язаних із захистом фізичних осіб у зв’язку з таким опрацюванням.

Право на захист персональних даних не є абсолютним правом. Воно повинне розглядатися в зв’язку з його функцією в суспільстві та бути збалансованим з іншими фундаментальними правами (зокрема, щодо поваги до приватного та сімейного життя, житла та спілкування, свободи думки, совісті та віросповідання, свободи вияву поглядів та свободи інформації, свободи підприємництва, права на дієвий засіб правового захисту та справедливий суд, а також — культурного, релігійного та мовного різноманіття) згідно з принципом пропорційності.

Одним із завдань GDPR є забезпечення правової визначеності та прозорості для суб’єктів господарювання, у тому числі мікропідприємств, малих і середніх підприємств, надання фізичним особам у всіх державах-членах однакового рівня прав і зобов’язань, що мають юридичну силу.

Щодо об’єкту захисту, то GDPR чітко визначено, що це лише дані фізичних осіб, а ні в якому разі не юридичних осіб та, зокрема, підприємств, заснованих як юридичні особи, які містять інформацію про найменування, організаційно-правову форму юридичної особи і контактну інформацію юридичної особи.

Принципи захисту даних застосовується до будь-якої інформації про фізичну особу, яку ідентифіковано чи можна ідентифікувати. Персональні дані із використанням псевдоніму, що можна приписати фізичній особі після використання додаткової інформації, необхідно розглядати як інформацію про фізичну особу, яку можна ідентифікувати.

Сучасним положенням є те, що фізичні особи можуть бути пов’язані з онлайн-ідентифікаторами за допомогою їхніх пристроїв, додатків, інструментів чи протоколів, зокрема IP-адрес, ідентифікаторів «cookie» (реп’яшків) або інших ідентифікаторів, таких як мітки радіочастотної ідентифікації. Це може залишити підказки, які, особливо в поєднанні з унікальними ідентифікаторами та іншою інформацією, отриманою з серверів, можна використати для створення профілів фізичних осіб та їхньої ідентифікації.

Як змінився обсяг даних в службі WHOIS? Як це вплинуло на процедуру встановлення власників веб-сайтів?

З набранням чинності GDPR дані про реєстрантів доменних імен, адміністративний та технічні контакти в службі WHOIS були скриті українськими реєстраторами. Це ще в більшій мірі ускладнило й до цього законодавчо неврегульовану процедуру встановлення власників веб-сайтів, особливо у випадках ігнорування норми українського законодавства щодо обов’язковості публікації відомостей про себе на самому веб-сайті.

При цьому ICANN представила до обговорення моделі змін до політики WHOIS, серед яких: 1) обмежений вплив на зареєстровані в Україні доменні імена – лише стосовно обробки даних громадян ЄС або залучення до обробки компанії-нерезидента ЄС; мінімум даних, що доступні публічно; 2) застосування до всього світу; ім’я реєстранта публікуватиметься виключно за його дозволу; мінімум даних, що доступні публічно; обговорюється можливість застосування відносно даних як фізичних, так і юридичних осіб; 3) відносно баз доменних імен по всьому світові та надання даних з WHOIS лише за обґрунтованим запитом уповноваженим органам/особам. Найбільш ефективною щодо захисту персональних даних Європейська комісія називає третю модель, але й наголошує, що вона занадто ускладнить життя осіб, для яких WHOIS – джерело при захисті прав.

Чи змінились вимоги до українських реєстраторів доменних імен?

На українських суб’єктів, що перебувають поза межами ЄС розповсюджується дія GDPR у разі, якщо вони опрацьовують персональні дані суб’єктів ЄС у зв’язку із постачанням останнім товарів / наданням послуг в ЄС (незалежно від того, чи вимагається оплата за такі товари / послуги).

Згідно із усталеною в Україні практикою, реєстрація доменних імен здійснюється в онлайн-режимі. При цьому реєстрант доменного імені під особисту відповідальність зазначає свої дані без їх додаткової перевірки реєстратором.

При цьому, в GDPR зазначено, що якщо контролер позбавлений можливості ідентифікувати суб’єкта за повідомленими останнім персональними даними, такий контролер не зобов’язаний отримувати додаткову інформацію для того, щоб ідентифікувати цього суб’єкта, але, за можливості, повинен  повідомити такого суб’єкта персональних даних, що у разі ненадання останнім додаткової інформації, достатньої для його ідентифікації, він буде позбавлений права направляти контролеру запити щодо: доступу до власних даних, їх виправлення та стирання, обмеження опрацювання, мобільність даних (право на їх отримання в структурованому, загальноприйнятому форматі, що легко зчитується машиною та на безперешкодне передавання таких даних іншому контролеру). При цьому, якщо контролер має вагомі підстави сумніватися в особистості фізичної особи, що здійснює вказані запити, контролер може надіслати запит на надання додаткової інформації, необхідної для підтвердження особистості суб’єкта даних.

Важливим питанням для реєстраторів є розкриття даних про реєстрантів доменних імен у відповідь на різноманітні запити, насамперед, у разі якщо розкриття таких даних потрібно для встановлення власника веб-сайту-порушника (належного відповідача).

В розумінні GDPR “опрацюванням персональних даних” є, зокрема, розкриття останніх через передавання, а “одержувачем персональних даних” є орган / особа, якій розкривають такі дані, незалежно від того, чи є вони третьою стороною.

Опрацювання персональних даних повинно бути законним, правомірним, прозорим, мати чітко визначену ціль, забезпечувати точність даних (з можливістю оновлення, виправлення без затримки), їх цілісність і конфіденційність.

Опрацювання персональних даних є законним, зокрема, якщо воно є необхідним для цілей законних інтересів третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб’єкта даних, що вимагають охорони персональних даних. При цьому, суб’єкт даних повинен мати право заперечувати, на підставах, що пов’язані з його конкретною ситуацією, в будь-який час, проти опрацювання для таких цілей. Контролер, в свою чергу, не повинен більше опрацьовувати персональні дані за винятком доведення ним наявності істотних законних підстав для опрацювання, що переважають над інтересами, правами та свободами суб’єкта даних або для формування, здійснення або захисту правових претензій. Суб’єкт даних може реалізовувати своє право на заперечення автоматизованими засобами з використанням технічних специфікацій (ст.21).

Згідно із GDPR контролер повинен в момент отримання персональних даних від суб’єкта, надати останньому, зокрема, інформацію про одержувачів чи категорії одержувачів персональних даних, а також інформацію про те, що контролер має намір передати персональні дані до третьої країни чи міжнародної організації.

При цьому, кожен контролер повинен вести записи опрацювання даних, що належать до його сфери відповідальності. Такий запис повинен містити всю інформацію, зокрема, про категорії одержувачів, яким персональні дані були або будуть розкриті, в тому числі одержувачі в третіх країнах або міжнародні організації. Такі записи повинні бути оформлені в письмовій формі, в т.ч. – в електронній (ст.30).

Тобто, фізичні особи (за умови їх ідентифікації) повинні мати контроль щодо власних персональних даних: знати про те, що їхні персональні дані збирають, використовують, обговорюють або іншим чином опрацьовують, а також про те, якою мірою опрацьовують чи опрацьовуватимуть персональні дані.

Отже, українські реєстратори, що надають послуги з реєстрації доменних імен громадянам ЄС, повинні ідентифікувати своїх клієнтів та вести записи щодо передачі їх персональних даних.

Чи сприяє українське законодавство захисту персональних даних суб’єктів ЄС, що отримують послуги на території України?

Якщо персональні дані передаються з ЄС за його межі, рівень захисту фізичних осіб, який забезпечує GDPR в ЄС, не повинен бути ослабленим. У будь-якому разі акти передавання за межі ЄС можна здійснювати лише за повної відповідності GDPR.

Згідно із законодавством ЄС та GDPR передача даних за межі ЄС можлива тільки за умови, що держава вважається такою, що забезпечує адекватний (належний) рівень захисту персональних даних. Список таких держав приймає Європейська комісія, яка у своїй оцінці враховує те, як певна третя країна поважає верховенство права, доступ до правосуддя, а також міжнародні норми та стандарти прав людини і її загальне та секторальне право, в тому числі законодавство щодо громадської безпеки, оборони та національної безпеки, а також публічний порядок і кримінальне право. Під час ухвалення рішення про відповідність щодо території чи визначеного сектору в третій країні необхідно враховувати чіткі та об’єктивні критерії, такі як спеціальні види опрацювання даних та масштаб застосовних правових стандартів, а також — чинне законодавство в третій країні. Третя країна повинна надати гарантії, що забезпечують належний рівень захисту, який суттєво відповідає тому, що забезпечується в межах ЄС, зокрема в разі опрацювання персональних даних в одному або декількох визначених секторах. Зокрема, третя країна повинна забезпечити дієвий незалежний нагляд за захистом даних і передбачити механізми співпраці з органами із захисту даних держав-членів, а суб’єктам даних – надати дієві права, які можна реалізувати, та дієві адміністративні і судові засоби правового захисту.

Наразі Європейською комісією прийнято рішення про відповідність Андорри, Аргентини, Канади, Швейцарії, Фарерських островів, Гернсі, Ізраїлю, Острову Мен, Нової Зеландії та Уругваю. Тобто, України в цьому списку немає.

Передавання персональних даних з ЄС до третьої країни чи міжнародної організації відбувається, зокрема, у разі якщо: суб’єкт даних надав чітку згоду; передавання є необхідним для формування, здійснення або захисту правових претензій.

Також GDPR визначена необхідність передбачити можливість передавання персональних даних:

  • за певних обставин, коли суб’єкт даних надав свою чітку згоду, коли передавання призначене для окремого випадку та є необхідним у зв’язку з договором або судовим позовом, незалежно від того, чи здійснюють його у порядку судової процедури, або в адміністративному чи будь-якому позасудовому порядку, в тому числі в рамках процедур регуляторних органів;
  • у випадку, коли цього вимагають важливі підстави суспільного інтересу, встановлені законодавством ЄС чи держави-члена;
  • коли передавання здійснюють з реєстру, запровадженого законом та призначеного для доступу громадськості чи осіб, що мають законний інтерес. В останньому випадку таке передавання не повинне поширюватися на всі персональні дані чи всі категорії даних, що містяться в реєстрі, та, якщо реєстр призначений для доступу осіб, які мають законний інтерес, передавання необхідно здійснювати лише на запит таких осіб або, якщо вони повинні бути одержувачами, повністю враховуючи інтереси та фундаментальні права суб’єкта даних.

У зв’язку з тим, що Україна прагне до Європи, для неї актуальним є приведення законодавства у відповідність до законодавства ЄС.

Лише однаковий рівень деталізованих прав та обов’язків суб’єктів даних та контролерів (операторів), постійний моніторинг опрацювання персональних даних, належні санкції та дієва співпраця між наглядовими органами різних держав можуть забезпечити дієвий, сталий та високий рівень захисту фізичних осіб та усунення перешкод для потоків персональних даних як в межах, так і поза межами ЄС.

GDPR спрямовано на сприяння формуванню свободи, безпеки і правосуддя, економічного союзу, соціально-економічному прогресові, зміцненню та конвергенції економік у межах внутрішнього ринку, підтриманню добробуту фізичних осіб. Ним передбачена необхідність зміцнити правову та практичну визначеність для фізичних осіб, суб’єктів господарювання і органів публічної влади.

Законодавчим інструментом може бути обмежено обсяг прав і обов’язків контролерів (операторів), передбачений GDPR, якщо таке обмеження зберігає сутність фундаментальних прав і свобод і є необхідним та пропорційним заходом у демократичному суспільстві для забезпечення, зокрема, захисту прав і свобод інших осіб (ст. 23 (1)).

Отже, українські контролери (оператори), якщо вони вже надають послуги /продають товари суб’єктам ЄС, або тільки планують це здійснювати, повинні вживати заходів для компенсації недостатнього захисту даних в Україні шляхом застосування відповідних гарантій до суб’єктів таких даних, у відповідності із GDPR. А українське законодавство потребує відображення відповідних норм щодо захисту персональних даних.

Стосовно європейських норм у сфері реєстрації доменних імен, то згідно з Реєстраційними політиками домену “.EU”:

1) при реєстрації доменного імені реєстрант доменного імені гарантує, що:

  • він відповідає вимогам, визначеним реєстраційними політиками та договором на реєстрацію, зобов’язується їх дотримуватись, а в разі, якщо реєстрант перестане відповідати таким вимогам, останній зобов’язується повідомляти реєстратора про такі обставини в установленому порядку та строки;
  • доменне ім’я відповідає встановленим вимогам (не суперечить публічним політикам або моралі, тобто не є нецензурним чи образливим, та не є незаконним);
  • вся інформація, надана під час реєстрації доменного імені, є достовірною, повною і точною, а в разі зміни такої інформації – реєстрант зобов’язується повідомляти реєстратора про такі зміни у визначеному порядку та строки;
  • адреси електронної пошти та контактні телефони, повідомлені під час реєстрації доменного імені, є дійсними, і з їх використанням реєстрантом буде здійснюватися зворотній зв’язок та направлення відповідей на запити (повідомлення тощо) у визначеному порядку та строки;
  • реєстрація доменного імені здійснюється в інтересах реєстранта та відповідає власній волі останнього;
  • буде користуватись доменним іменем добросовісно, на законних підставах, не порушуючи права третіх осіб;
  • у разі виникнення доменного спору відносно доменного імені, зареєстрованого в інтересах реєстранта, останній зобов’язується дотримуватись вимог альтернативного порядку врегулювання спорів;
  • впродовж строку реєстрації доменного імені буде дотримуватись вимог договору на реєстрацію, реєстраційних політик та всіх документів, на які вони посилаються.

2) забороняється зазначення даних реєстратора в графі про реєстранта доменного імені;

3) для реєстрації доменного імені суб’єкт повідомляє чітко визначений обсяг власних даних (з ідентифікацією статусу – фізична / юридична особа);

4) процедура призупинення делегування доменного імені (в цей період унеможливлені будь-які операції з доменним іменем);

5) в службі WHOIS публікується наступна інформація – про юридичних осіб: найменування, місто та країна, адреса електронної пошти, мова; про фізичних осіб: адреса електронної пошти (можливе створення та використання альтернативної адреси електронної пошти замість особистої) та мова;

6) процедура розкриття даних про реєстранта (не опублікованих в службі WHOIS, але таких що повідомлені реєстрантом доменного імені):

  • за індивідуальною заявкою третьої особи, поданою за установленою формою, що містить: інформацію про заявника (прізвище, ім’я / найменування, адреса, адреса електронної пошти, телефон, факс, реєстраційний номер юридичної особи); підтвердження неможливості зв’язатися з реєстрантом та реєстратором за контактними даними, розміщеними в службі WHOIS; обґрунтування законних підстав щодо отримання запитуваної інформації; згоду не використовувати отриману інформацію для цілей, відмінних від зазначених в запиті в якості законних;
  • на запит правоохоронних органів, судів або інших компетентних органів відповідно до законодавства;

7) процедура альтернативного врегулювання споров.

Відображення аналогічних норм в українському правовому полі в значній мірі вирішило б існуючі прогалини (застосування єдиної термінології; визначення: порядку та умов надання послуг; процедури призупинення делегування доменного імені – в якості механізму захисту суб’єктів, чиї права порушуються; статусу даних про реєстранта доменного імені, процедуру їх підтвердження, скриття / розкриття; закріплення процедури досудового / позасудового врегулювання доменних спорів тощо), зокрема, шляхом прийняття Правил реєстрації та користування доменними іменами в українському сегменті мережі Інтернет, про нагальність яких вже давно йде мова.

 

Наталя Разиграєва

Директор департаменту "Центр компетенції" Консорціуму "Український центр підтримки номерів і адрес", магістр права