Вторгнення росії породило чимало питань у різних секторах бізнесу на найрізноманітніші теми. Наприклад, чи можуть країни ЄС здійснювати транскордонну передачу даних. В Україні ж питання більш нагальні – яким чином державні органи чи правоохоронці можуть направляти запит на отримання персональних даних та чому бізнес має ретельно аналізувати такі запити. Про це все та інше на профільній дискусії говорили Андрій Ніколаєв, ключовий експерт із захисту даних проєкту EU4Digital UA, Вікторія Остапчук, керівний партнер патентно-юридичної агенції «Синергія», Лілія Олексюк, юрист, позаштатний радник комітету ВРУ з цифрової трансформації, і Тетяна Слабко, радник із питань приватності Wargaming.
Транскордонна передача даних і рекомендації ЄС
На початку виступу Тетяна Слабко зауважила, що повномасштабне вторгнення рф призвело до введення воєнного стану, який обмежує певні конституційні права і свободи, в тому числі і ті, які стосуються сфери персональних даних. З цього випливають певні проблеми та питання, які обговорили під час дискусії.
Для України змін немає
Лілія Олексюк розповіла, що для України насправді в цьому аспекті мало що змінилося. І компанії, які працюють в Україні, продовжують свою діяльність так само. Однак складнощі виникають під час передачі даних до Європейського Союзу та інших країн, які є членами Європейського економічного співтовариства. Наскільки відомо спікерці, країни почали ретельніше контролювати процедури щодо того, як саме передаються персональні дані.
Деякі українські компанії, які не працюють із Європейським Союзом та економічним співтовариством, досі не можуть зрозуміти, що таке персональні дані. Лілія Олексюк під час підготовки до виступу переглянула рішення польського органу зі сфери захисту даних. І найцікавішим для неї було те, що персональними даними визнали кадастровий номер земельної ділянки, за яким можна визначити, хто і де є власником такої ділянки. А орган, який здійснює діяльність у цій сфері, отримав штраф, оскільки на його сайті 48 годин було видно певну кількість кадастрових номерів.
Читайте також: Інвестиційна привабливість України під час війни
«Дуже цікавий випадок, особливо в українських реаліях. Оскільки, як ми знаємо, у нас у січні відбувалися досить потужні атаки та інциденти у сфері кібербезпеки, які призвели, ми не можемо стверджувати на 100%, до значних чи не дуже наслідків, але ми знаємо що витоки сталися. В тому числі і з державних органів», – нагадала юрист.
На що звернули увагу в ЄС
І, звісно, після таких подій ЄС та європейські компанії почали ретельніше переглядати свої політики конфіденційності і внутрішньокорпоративні правила процедур, які стосуються передачі даних у Європі, особливо якщо дані перебувають в інших країнах.
Тетяна Слабко додала, що компанії зараз справді намагаються точно визначити, що саме представляють собою персональні дані. Зокрема, Wargaming, яка здійснює збір і обробку персональних даних гравців у всьому світі, має такі питання:
- Які персональні дані підлягають збору та обробці, тобто обмін якими даними відбувається на транскордонному рівні.
- Які для цього використовуються системи, механізмі і платформи – тобто які ІТ-рішення використовуються і чи є вони безпечними.
- Де розташовані сервери, де зберігається така інформація чи персональні дані. Бо іноді навіть компанія, з якою відбуваються одна-дві транзакції, може підставити весь бізнес.
Позиція ЄС щодо передачі даних у/з росії
Головні побоювання завжди були не щодо передачі даних в/з України, а щодо росії. Тривалий час багато фахівців очікували на рекомендації з боку Європейського Союзу щодо такої транскордонної передачі даних. Першим тут подав голос уповноважений орган Норвегії, але і в його порадах були занадто широкі формулювання. І, власне, рішення щодо передачі/непередачі даних до рф покладалося на саму компанію.
Лише відносно недавно, у липні 2022 року, з’явилася позиція європейського регулятора – European Data Protection Board. Це питання розглядалося тоді на сесії відомства, і вийшло коротке положення, суть якого зводиться до того, що з березня 2022 року росія не є членом Ради Європи. Але водночас вона досі є стороною Конвенції 108, через що зобов’язання з оцінювання можливості/неможливості транскордонної передачі даних покладаються на контролерів компаній.
«Тобто фактично на рівні регулятора ніяких рекомендацій щодо того, що “так, здійснюйте обмін даними”/“ні, не здійснюйте такого обміну”, не було видано», – підкреслила Тетяна Слабко.
Для бізнесу, українського чи міжнародного, це означає, що кожна компанія має здійснити власний аналіз, на підставі якого потрібно сказати, чи вважає компанія безпечною для себе передачу певних персональних даних до тієї чи іншої юрисдикції. І на основі цього висновку діяти далі.
Зі слів спікерки, вона знає, що багато бізнесів просто переглянули свої оцінки і підвищили ризики до критичного. Це означає, що передача даних до ерефії може призвести до розголошення таких даних, бо така ініціатива може надійти від російських державних органів. Велика кількість компаній просто заборонила передачу даних з огляду на те, що це може бути передача даних компаніям, які потрапили до санкційних списків. І тут проблеми можуть виникнути вже з погляду комплаєнсу.
Тому наслідки нині саме такі. А в LinkedIn розгортаються дискусії безпекових фахівців щодо того, що означатиме рішення European Data Protection Board – чи потрібно здійснювати такі передачі даних чи залишити статус-кво.
Читайте також: Як розвивається українська судова реформа
Як українським компаніям реагувати на запити щодо доступу до персональних даних
Андрій Ніколаєв поділився кількома кейсами, які виникли на підставі звернень державних органів по доступ до персональних даних інших держорганів чи бізнесу.
Правове підґрунтя
Він повідомив, що під час воєнного стану справді можуть обмежуватися деякі права на приватність. Це виходить із указу президента про введення воєнного стану, де сказано, що на період такого часу можуть обмежуватися конституційні права і свободи громадянина, передбачені статтями 30-34, 38, 39, 41-44, 53 Конституції України, включно зі статтею 32, яка і є про приватність. Водночас ці обмеження можливі лише в кордонах та обсязі, необхідних для забезпечення роботи правового режиму воєнного стану. Тобто, якщо обмеження має стосунок до правового режиму воєнного стану, його можна застосувати, якщо ні – то таке обмеження неправомірне. Про правовий режим воєнного стану детально розписано в статті 9 закону України «Про правовий режим воєнного стану».
Тому фактично в сфері захисту даних під час воєнного стану нічого не змінилося. І отримати певні дані можна лише в межах розслідування чи за запитом. Однак Андрій Ніколаєв зауважив, що якщо до війни у разі таких запитів ще й аналізували повноваження державних органів відповідно до їхніх внутрішніх положень і законів, то тепер потрібно ще й звертати увагу на закон про правові положення воєнного стану, бо він визначає низку окремих повноважень деяких державних органів.
Чому потрібно перевіряти запит
Разом із цим, навіть якщо запит надіслав орган, який отримав повноваження, цей запит однаково перевірятимуть на відповідність закону України про захист персональних даних.
«На практиці з’явилися випадки, коли державні органи звертаються до інших державних органів чи до приватних компаній із запитами на зразок “надайте, будь ласка, всі наявні персональні дані про всіх ваших клієнтів/користувачів/”. Тут потрібно пам’ятати, що є мета запиту, тобто одним із пунктів, що зазначається у запиті, є мета і правові підстави», – наголосив фахівець.
Тобто у запиті потрібно зазначити, для чого це. Наприклад, якщо компетентний орган звертається з таким запитом, бо його метою є проведення мобілізації, і просить надати дані просто про всіх користувачів, то тут потрібно зробити аналіз:
- Що належить до мети запиту – це чоловіки віком 18-60 років, а не жінки чи діти.
- Надати всі персональні дані – а навіщо це для такої мети? Якщо такий запит скеровують до геймінгової компанії, то надавати явно доведеться зайву інформацію.
Це підтвердила і модераторка, яка зауважила, що, перш ніж розголошувати особисті дані, потрібно проводити таку аналітичну роботу, і тут нічого не змінюється, незважаючи на воєнний стан.
Андрій Ніколаєв додав, що у разі недотримання такого принципу доведеться зіткнутися з правовими наслідками у вигляді судового позову від людини, чиї персональні дані були надані без потреби в них.
Читайте також: Де українські ІТ компанії чи стартапи можуть знайти фінансування під час війни
Тетяна Слабко повідомила, нині компанії націлені на те, щоб посилити свої відділи, команди чи департаменти із захисту персональних даних, технічних фахівців, які займаються цим питанням. Потрібно це для того, щоб, по-перше, здійснювати аналізи транскордонної передачі даних, по-друге, щоб кожен кейс із зверненням про розголошення приватних даних опрацьовувався максимально якісно і не тягнув за собою певних порушень.
Як статус кандидата в члени ЄС вплинув за ситуацію щодо персональних даних в Україні
Чому не ухвалили законопроєкт щодо захисту персональних даних
В Україні нині для цього є законопроєкт та реформа, які присвячені цій сфері. Лілія Олексюк зауважила, що законопроєкт щодо персональних даних не був ухвалений у парламенті, бо не вистачило голосів від депутатів, які перебували в залі, але фізично не встигли добігти і натиснути кнопку. Другий момент – це певні лобістські рухи, які проводилися перед голосуванням і сприяли тому, що деякі депутати нічого не зробили. Чому? Тому що є цілі галузі, які вважають, що захист персональних даних їх не стосується. Звісно, це помилкова впевненість, ба більше – ці галузі вважають, що якщо не чіпати їх зараз, то і потім їм не доведеться нічого не робити.
«Таким чином, вони вже роблять ведмежу послугу для країни, яка заявила, що вона повністю рухається в ЄС, бере на себе додаткові зобов’язання, отримала сім обов’язкових вимог, одна з яких прямо і безпосередньо стосується виконання законодавства в сфері персональних даних і в сфері дотримання рекомендацій FATF», – зауважила юрист.
Під це потрапляє все законодавство із захисту персональних даних, включно з підформою управління в цій сфері – розроблено відповідний законопроєкт про Нацкомісію в сфері захисту персональних даних. І ці два законопроєкти мають йти комплектом, без розриву один від одного. Перший буде базовим законом, який імплементує низку директив ЄС, які скоро стануть регламентами, обов’язковими для галузей цифрових сервісів та комунікацій.
Цікаво, що в залі комітет із питань євроінтеграції заявив, що цей законопроєкт не відповідає європейським нормам. Водночас у висновку цього ж комітету написано протилежне – у ньому лише є загальні зауваження, але жодного конструктивного, що можна врахувати під час підготовки до повторного першого читання, немає.
Які наслідки очікують Україну, якщо тягнути гуму
Якщо ж не буде ухвалено нормального законодавства щодо захисту персональних даних до кінця року, як обіцяв президент Європейські комісії, то ні про яку євроінтеграцію подальша мова йти не може. Причина проста – всі цифрові сервіси прив’язані до виконання вимог. Зокрема, щодо кіберзахисту інформації та кібербезпеки даних (виконання NIS директив) і директиви GDPR, захист даних і privacy-директива, яка днями стане обов’язковим документом у регламенті ЄС.
Без цих документів можна говорити, що подальший рух в інших сервісах, як-от фінансові послуги, реалізації директиви PSD-2 для банків, стане нереальним. І те саме стосується будь-яких цифрових сервісів.
Читайте також: Особливості ввезення гуманітарної допомоги
Читайте також: Головні виклики законів воєнного часу для бізнесу
