25 травня 2018 року у ЄС набув чинності Загальний регламент про захист даних 2016/679 (далі – Регламент), який замінив Директиву 95/46, яка раніше регулювала захист фізичних осіб під час обробки персональних даних. Дехто приписує йому роль тригера світового масштабу, який має викликати глобальний перегляд правил обробки персональних даних, а дехто стверджує, що він лише дещо деталізує норми, що діяли раніше, а стосовно деяких питань взагалі нічого не міняє. Як це здебільшого буває, правда десь посередині. Коли йдеться про медіа, рівень їхньої відповідальності у цьому контексті залежить від того, яку роль вони виконують в обробці персональних даних: діють як бізнес чи з журналістською метою. Щоб зрозуміти, чому, пропоную розібратись, для чого було ухвалено Регламент?
Для чого потрібен Регламент?
По-перше, тут треба знати, що в межах Європейського права ці два акти мають різні статуси. Директива встановлює певну мету, якої мають досягнути усі країни ЄС. При цьому, вирішення того, яким чином це відбудеться, залишається за державами-членами, які ухвалюють національне законодавство на її виконання. Регламент є набагато серйознішим документом, який є обов’язковим до виконання на всій території ЄС без необхідності ухвалювати додаткові акти для його впровадження.
Цей Регламент не є кардинально відмінним від Директиви, яку він замінив. Багато положень залишились незмінними і стосовно низки питань обов’язок встановлення належних правил залишається за державами-членами ЄС. Регламент встановлює норми про захист прав фізичних осіб у зв’язку з обробкою персональних даних і норми щодо вільного руху персональних даних, на відміну від Директиви, яка прямо не декларує спрямованість на захист вільного руху. Що це означає? Попри паніку у зв’язку з ухваленням Регламенту і початкове нерозуміння того, як працювати в нових умовах, треба пам’ятати: мета Регламенту – не заборона на обробку персональних даних, блокування обміну інформацією чи заморожування свободи слова. Регламент – це відповідь ЄС на 2 виклики:
- Складність вільного обігу персональних даних через різницю у національному законодавстві країн-членів ЄС, що перешкоджає веденню економічної діяльності.
- Потреба захисту персональних даних в умовах стрімкого розвитку технологій і глобалізації.
Ухвалення Регламенту – це спроба знайти баланс між нормальним веденням бізнесу та обміну інформацією, з одного боку, та правом особи, дані якої обробляються, не зазнавати невиправданої шкоди в цьому процесі, з іншого. І відповідь на це питання – дещо суворіші правила обробки, які мають бути єдиними у всьому ЄС. Регламент деталізує вимоги, які дозволяють особі знати, яку інформацію про неї збирають, для чого, а також можливість попросити про її видалення, якщо, наприклад, немає підстав далі зберігати цю інформацію. Окрему увагу звертають, наприклад, на те, як треба повідомляти про збір і обробку персональних даних. Якщо коротко, то чітко, зрозуміло і по суті, тобто “людською мовою”, а не метровим полотном юридичного тексту “десятим шрифтом”.
Як зазначено у преамбулі Регламенту, право на захист персональних даних не абсолютне, воно слугує суспільству, як слугують йому і свобода висловлювання чи можливість ведення бізнесу. Питання полягає у тому, де пролягають його непорушні кордони, а де є можливість їх перетнути у законний спосіб?
На що і на кого поширюється дія Регламенту?
Матеріальна сфера дії Регламенту покриває повну або часткову обробку персональних даних автоматизованими засобами або без їхнього використання для обліку даних (сюди підпадають будь-які списки чи іншим чином впорядковані персональні дані). Територіальна сфера дії Регламенту, хоча і прив’язана до персональних даних жителів ЄС, відрізняється для контролерів чи операторів персональних даних, які знаходяться в ЄС та тих, які знаходяться за його межами. До останніх Регламент застосовується лише у двох випадках, що свідчать саме про економічні мотиви ухвалення цього документу:
- Надання товарів чи послуг суб’єктам персональних даних у ЄС безвідносно до оплатності,
- Моніторинг поведінки суб’єктів даних у ЄС.
Відразу постає питання: якщо компанія, зареєстрована в Україні, є доступною через веб-сайт на території ЄС, чи буде вона підпадати під сферу дії Регламенту? Автоматично, ні, адже Регламент зазначає, що лише цього факту недостатньо, аби говорити про намір надавати послуги жителям ЄС. Разом з тим, за сукупністю таких факторів, як, наприклад, переклад сайту мовами, вживаними у державах-членах ЄС, а також можливість розплатитися певною валютою, наявність такого наміру можна припустити. Тобто коли йдеться про українські компанії, то вони, здебільшого, потраплятимуть у сіру зону, де необхідність рахуватися з новими правилами треба розглядати у кожному конкретному випадку.
Цікавим у цьому контексті є сприйняття Регламенту і нібито раптовості його ухвалення самими компаніями. Нагадаємо, що на те, щоб приготуватися до нових правил, було відведено 2 роки. Та для багатьох платформ цього очевидно було недостатньо. Деякі американські новинні сайти, побоюючись порушити нові європейські правила і, відповідно, підпасти під величезні штрафи, вирішили, що легше просто заблокувати доступ до них з території ЄС і почекати, ніж розбиратись з новими обов’язками самостійно. Їх можна зрозуміти. Вони прораховують свої ризики.
Медіа: різні ролі – різна відповідальність
Як випливає із мети ухвалення Регламенту, він має у своїй основі економічні мотиви сприяння вільному ринку, але змушує замислитись про можливий небажаний рикошет на діяльність медіа. Сам Регламент уникає визначати співвідношення між захистом персональних даних та правом на свободу висловлювання. В тексті є лише загальна декларація дотримання усіх основних прав і свобод та необхідності знаходження балансу між ними згідно з принципом пропорційності.
У цьому контексті, єдиний аспект щодо якого Регламент прямо робить виняток із захисту персональних даних – це право на видалення, чи так зване право на забуття. Однією із підстав для відмови видалити персональні дані є те, що їх обробка є необхідною для реалізації права на свободу висловлювання та інформації. Проте, оскільки процедура такого видалення не визначена, ця норма може не вберегти від видалення цілком правомірного контенту через страх негативних наслідків, зокрема, збільшених сум штрафів за порушення правил обробки персональних даних.
У решті питань щодо “особливих ситуацій обробки даних”, до яких входить свобода висловлювання, Регламент покладає відповідальність за узгодження цих прав на держави-члени ЄС. Відповідно до статті 85 Регламенту, держави-члени ЄС зобов’язані узгодити право на захист персональних даних та право на свободу висловлювання та інформацію, зокрема, обробку для цілей журналістики. Важливо підкреслити, що таке узгодження повинне бути здійснене на рівні закону, а не через, наприклад, судову практику у кожному конкретному випадку, що має гарантувати передбачуваність.
Варто також наголосити, що, за Регламентом, винятки із правил обробки персональних даних повинні бути встановлені лише за наявності двох умов:
- Якщо це необхідно для узгодження права на захист персональних даних із правом на свободу висловлювання та інформації,
- Лише для журналістських цілей.
Які висновки можна зробити, зважаючи на ці формулювання? По-перше, винятки, які можуть бути встановлені для захисту права на свободу висловлювання, скоріше за все, будуть далі проходити поступове шліфування на предмет необхідності через судову практику. По-друге, варто розмежовувати діяльність медіа як бізнесу, яка підпадатиме під дію Регламенту в частині, наприклад, моніторингу відвідуваності веб-сайтів, створення розсилок, реклами чи працевлаштування, і діяльність журналістів з реалізації права на свободу висловлювання, наприклад, коли вони публікують фото осіб, які брали участь у публічному обговоренні на конференції. Остання, як вказано у Регламенті, повинна розумітися широко, зважаючи на її важливість у демократичному суспільстві.
У всякому разі, панікувати не варто, адже ЄСПЛ вже встиг сказати своє перше слово після набуття чинності Регламентом. У рішенні “L.M. і W.W. проти Німеччини” від 28 червня 2018 року, суд надав пріоритет над правом на видалення праву на свободу висловлювання у справі за позовом щодо видалення інформації про засудження двох осіб за вбивство на німецькому медіа порталі. Суд підкреслив свободу журналістів обирати ті факти, які вони вважають за потрібне, під час роботи над сюжетами, якщо їхній вибір ґрунтується на правилах професійної етики.
Висновки
У тому, що стосується журналістської діяльності, Регламент не несе фундаментальних змін для медіа, але матиме вплив на обробку персональних даних у інших аспектах діяльності медіа. Українські ЗМІ знаходяться у сірій зоні, де неможливо однозначно сказати, чи підпадатимуть вони під сферу дії Регламенту у тій чи іншій ситуації. Відповідь на це питання треба шукати, перш за все, через їхню роль у процесі обробки персональних даних. Якщо щодо свободи висловлювання Регламент суттєво не змінює правил гри, то коли медіа діють як бізнес, що має намір взаємодіяти із аудиторією на території ЄС, то у цьому випадку варто переглянути свої практики.