Право на забуття: що варто знати

Важливим елементом права на захист персональних даних є «право на забуття» (the right to be forgotten), яке передбачає можливість особи у певних обставинах вимагати знищення даних про неї, передусім у межах популярних інтернет-ресурсів.

Що таке право бути забутим та що криється під GDPR проаналізуємо в даній статті.

Право на забуття викладено в ст. 17 Загального регламенту захисту даних (General Data Protection Regulation (GDPR) Європейського союзу, що вступає в силу 25 травня 2018 року та змінює спосіб збору та захисту персональних даних та механізми обробки клієнтської інформації. Регламент стосується тих суб’єктів, які здійснюють свою діяльність, зокрема і в всесвітній мережі Інтернет, на території Європейського Союзу або прямо чи опосередковано мають доступ до персональних даних осіб, що знаходяться на території ЄС.

Передумовою зрушень в інформаційному полі стала французька хартія «Хартія про право на забуття», яку офіційно визнано у французькому законодавстві в 2010 році. Головними завданнями ініціативи — пояснити користувачам, на які ризики вони наражаються, даючи доступ до своєї персональної інформації в мережі, та сприяти захисту даних і запровадженню «права бути забутим» як на національному, так і на рівні ЄС.

Вперше right to be forgotten було визнано Судом Євопейського союзу по справі Google Spain v. AEPD and Mario Costeja González. Так, в 2010 р. Гонсалес подав в Іспанське агентство захисту персональних (AEPD) скаргу на Google Inc., Google Spain і видавничий дім La Vanguardia Ediciones SL. Суть скарги полягала в тому, що за запитом його імені Google «пошук» видавав ссилку на дві сторінки каталонської газети La Vanguardia, станом на 1998 р., що містили інформацію про те, що будинок арештований за борги. Гонсалес вимагав видалити або приховати персональні дані, що його стосуються таким чином, щоб вони більше не зявлялися в результатах пошуку. AEPD відхилило скаргу, але висунуло вимогу Google Inc. і Google Spain припинити індексацію вказаних сторінок. У зв'язку з цим Google подав пошук про незаконність вимог AEPD в Верховний суд Іспанії. В 2011 р. іспанський суд підготував справу, що обєднала 180 схожих проваджень, і передав його на розгляд суду ЄС. У результаті - суд вперше визнав, що не дивлячись на те, що кожен має право на вільний доступ до інформації, кожен має право і на недоторканість приватного життя, що виражається і в можливості видалити із пошукових систем ссилки на ресурси, що містять небажану для людини інформацію. Як наслідок, компанія Google опублікувала онлайн-форму, що може використовуватися для формування запиту про видалення із результатів пошуку ссилок, якщо вони містять «недоречну, неактуальну чи невідповідну меті обробки» інформацію («при оцінці Вашого запиту ми оцінюємо чи є інформація застарілою, а також чи є суспільний інтерес в інформації»). Іншими важливими наслідками такого рішення стали визнання діяльності пошукових систем в Інтернеті «обробкою персональних даних», а їх самих – «контролерами персональних даних».

Щодо змісту GDPR, то регламент передбачає заборону збіру персональних даних компаніями і державою без дозволу з боку фізособи. Винятки допускаються лише в тому випадку, якщо в країні існують законодавчі положення, які примушують до передачі інформації. Даний документ прийде на зміну Директиві 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних». Головна відмінність між Директивою і Регламентом є те, що Директива передбачає необхідність імплементації її положень до національних законодавств країн-членів ЄС, для належного її впровадження та виконання. Регламент же, в свою чергу, є загальнообов’язковим документом без необхідності імплементації його норм до національного законодавства кожної країни-учасниці.

Важливо зазначити, що регламент має екстериторіальне застосування, а отже регламент поширюватиме свою дію на українські компанії. Факт поширення екстериторіального застосування тягне за собою обов’язок призначити представника на території ЄС, який слідкуватиме за дотриманням зобов’язань української компанії. У регламенті є чіткий пункт, який говорить про те, що представник повинен підлягати процедурам щодо примусового виконання. Компанії зобов’язані призначати представника, який відповідатиме за їхні порушення персональних даних. Це може бути як фізична, так і юридична особа, однак вона має бути чітко уповноважена в окремому письмовому документі. Вона повинна співпрацювати з суб’єктами персональних даних з території ЄС, надавати відповідь щодо того, як обробляються їхні персональні дані, давати роз’яснення щодо обробки, співпрацювати з наглядовими органами, тобто на їхній запит надавати інформацію щодо того, як обробляються дані, яка українська компанія, де вона розміщена, які дані громадян ЄС вона обробляє. Ну і, звісно, якщо наглядовий орган накладає стягнення, то відповідати за порушення володільця.

Тому, українським компаніям варто підготуватися до GDPR та налагодити процедури обробки персональних даних таким чином, щоб вони відповідали положенням регламенту.

Щодо фізичних осіб, то кожна людина може контролювати те, яким чином використовуються її персональні дані. Регламент вимагає від збирача персональних даних повідомляти суб’єкта персональних даних про те, які дані, ким збираються, як вони обробляються, ким вони обробляються, з якою метою, на яких підставах. Якщо потрібна згода, то суб’єкт має дати згоду на обробку. В подальшому, коли обробляються персональні дані, особа може завжди запитати, чи продовжують оброблятися її персональні дані, чи застосовуватиметься профайл до особи, чи на підставі наданих даних будуть прийматися якісь автоматизовані рішення. Якщо особа надала згоду на обробку персональних даних, то вона завжди може вимагати припинити обробку.

Отже, якщо особа бачить, що десь незаконно обробляються її дані чи обробляється непомірно великий об’єм інформації, закінчився строк обробки, помилкові чи неточні дані, вона має право вимагати видалення чи виправлення даних, припинення їхньої обробки. Є винятки, на які положення регламенту не поширюються (історичні факти, статистичні дослідження).

Таким чином, вступ в силу GDPR та закріплення «права на забуття» є позитивним кроком для користувачів на шляху до захисту даних у Європі, посилить права фізичних осіб та підвищить відповідальність контролерів за обробку персональних даних. Проте, право на забуття не є абсолютним, і необхідно тримати баланс з іншими основними правами.

Автор статті: Гук Ірина-Марія Михайлівна