Робота з персональними даними

персональні дані - збирання, зберігання, передача, обробка

Робота з персональними даними

Персональні дані, процес їх збирання, зберігання, передачі та обробки – чутлива і надзвичайно важлива тема для українського бізнесу. Наявна у мережі інформація про персональні дані та належну організацію роботи з ними не розкриває всі питання та не надає впевненості щодо правильності і вичерпності заходів. На цей раз акценти розставлені саме з урахуванням практики і тих нюансів, які випливають з законодавства України та ЄС.

персональні дані - збирання, зберігання, передача, обробка
Організація роботи з персональними даними. Юридичні питання.

Питання обробки і захисту персональных даних є одним з найактуальніших для бізнесу. Такий порядок речей зумовлений необхідністю отримувати інформацію про фізичних осіб ще частіше та ще у більшому обсязі. Крім того посилюється і законодавство про захист персональних даних. Новий імпульс інтересу до налагодження правильної роботи з персональними даними перебуває у прямому зв’язку з ухваленням Європейським Союзом Загального регламенту про захист даних.

Будь-яке підприємство, установа або організація, яка проводить роботу з персональними даними, виступає у ролі оператора і має відповідати правилам, передбаченими законодавством. Організація роботи з персональними даними на підприємстві включає реалізацію завдань за наступними напрямками:

  1. Організація збору персональних даних з отриманням згоди суб’єктів персональних даних у спосіб передбачений законодавством.
  2. Організація процесу наступної обробки персональних даних і їх зберігання. Ця задача включає роботу як з персональними даними клієнтів так і працівників підприємства, членів організації тощо.
  3. Договірне урегулювання відносин з іншими підприємствами, установами і організаціями.
  4. Впровадження технічних, організаційних та юридичних заходів, направлених на захист персональних даних фізичних осіб.

Як не дивно, але три з половиною пункти з чотирьох названих входять у компетенцію юристів, які спеціалізуються на питаннях організації роботи з інформацією про фізичних осіб. І лише технічні заходи та їх впровадження носять не юридичний характер. У той же час їх імплементацію теж рекомендується узгоджувати з юристом.

Персональні дані та їх законна обробка.

Що таке персональні дані? Законодавчо закріплене визначення наявне у Законі України “Про захист персональних даних”. Персональні дані визначаються, як інформація про фізичну особу, яка ідентифікована або може бути ідентифікована. Законодавство РФ та ЄС визначає дані персонального характеру про особу схожим чином. Головна риса “європейського законодавства” полягає у віднесенні, за певних умов, до особистих даних майже будь-якої інформації, яка може сприяти ідентифікації фізичної особи.

Визначення обробки персональних даних теж міститься у вказаному нами законі. Що ж передбачає обробка особистих даних фізичних осіб? Це, насамперед, всі ті операції, у тому числі автоматизовані, з інформацією про особу, які направлені на її збір, зберігання, використання, переробку або іншу зміну, передачу, знеособлення або знищення.

Робота з персональними даними відбувається не тільки через автоматизовані інформаційні системи (сайти і програмні застосунки). Не забувайте і про бланки, анкети та інші паперові форми збору персональних даних. Правила і вимоги, передбачені законодавством, поширюються на всі можливі форми.

Кожна з наведених операцій з персональними даними та всі вони у сукупності мають відбуватися у відповідності з правилами і принципами, передбаченими законодавством України, Європейського Союзу та інших країн, де наявні Ваші бізнес-інтереси. Принципи обробки персональних даних за законодавством ЄС вже висвітлювались нами. Центральними з них є принцип достатньої мінімізації та принцип відповідності процесу обробки заявленій меті.

Збирання, зберігання, передача і обробка персональних даних в Україні та країнах ЄС.

Всі названі операції з персональними даними здебільшого здійснюються комплексно і поетапно. Хоча трапляються випадки виконання лише окремих операцій на замовлення інших суб’єктів господарювання (за агентськими угодами або договорами про надання послуг чи виконання робіт). Наприклад, може мати місце надання послуг лише зі зберігання відповідної бази даних або збирання і зберігання інформації.

Навіть дрібний бізнес матиме користь з Політики приватності персональних даних або аналогічної публічної угоди.

Як це не дивно, але передача персональних даних контрагентам має місце майже завжди. Наприклад, Інтернет магазин, представлений одним єдиним ФОП без найманих працівників, отримує поштові реквізити, ім’я, прізвище і контактний номер покупця щоб правильно оформити відправлення з товаром. У такому випадку ФОП, будучи суб’єктом господарювання і “володільцем бази персональних даних”, передає відомості про особу поштовій службі.

Щоб внести ясність, коротко розкриємо суть всіх цих операцій з персональним даними. Почнемо, звісно, з початку – зі збирання персональних даних. З того етапу і тієї операції, яка формує базу персональних даних (як клієнтів так і власних працівників).

Є тут і виключення! Це – придбання бази персональних даних. Такий етап дійсно може бути першим. І тому вкрай важливо переконатися у законності набуття “продавцем” відповідної бази даних і організації збору ним інформації у відповідності до “букви закону”.

Що таке збирання персональних даних?

Здається, це і так зрозуміло. Визначення будуть зайвими, все ж наче елементарно. Але пам’ятайте про численні форми і способи збирання персональних даних. Іноді цей процес може не помітити навіть відповідальний підприємець. Повертаючись до прикладу Інтернет магазину і фізичної особи – підприємця, цікавий той факт, що підприємці доволі часто не сприймають SMS з поштовими реквізитами покупця, як факт отримання ними персональних даних. Хоча саме це і відбувається.

Що ж до форм і способів, то їх дійсно забагато – від паперових анкет до електронних форм зворотного зв’язку з працівниками служб технічної підтримки або, навіть, телефона розмова, якщо у процесі уточнюються відомості про особу (у 80% випадків так і відбувається).

Зберігання персональних даних.

Цей етап завжди має місце при роботі з персональними даними. Як і збирання, зберігання персональних даних може бути у різних формах (і “паперовій” і цифровій). У цифровій формі підприємство чи підприємець може зберігати відомості локально, використовуючи свої власні потужності і технічні засоби, або віддалено у хмарних сховищах. При цьому, якщо це окремо не врегульовано в угоді з власником відповідних потужностей, то ризик втрати або витоку інформації несе підприємство, яке розміщає персональні дані з метою зберігання.

З огляду на європейське законодавство велике значення має юрисдикція (країна) фактичного місцезнаходження потужностей (серверів), на яких зберігаються персональні дані клієнтів і користувачів.

Що ж до технічних аспектів захисту персональних даних, то з юридичної точки зору з цим все просто. Програмні і технічні заходи безпеки мають бути актуальними, дієвими та відповідати потенційним загрозам, характеру і масштабам наявної бази персональних даних. Саме в процесі зберігання і передачі персональних даних проявляється роль і значення фахівців технічної спеціалізації.

Передача персональних даних.

Передача персональних даних від Вашого підприємства і навпаки матиме місце практично завжди. Мова тут не йде навіть про спеціалізовані підприємства, такі як кадрові агентства, провайдери верифікаційних послуг чи кол-центри. Звичайний договір поставки між магазином побутової техніки і постачальником має містити застереження про персональні дані працівників обох компаній, які передаватимуть і прийматимуть товар за видатковими накладними.

Виходить, що в процесі роботи підприємство систематично передає і отримує персональні дані при взаємодії з контрагентами. Крім того, мають місце випадки надходження запитів правоохоронних і судових органів, а також адвокатських запитів. Однак, навіть у таких випадках слід обережно підходити до розкриття персональних даних клієнтів. Особливо якщо клієнти є пацієнтами, а Ваше підприємство надає медичні послуги.

Обробка персональних даних – зміна, адаптація чи значно ширше значення?

У найширшому розумінні обробка персональних даних включає всі операції з персональними даними (збір, зберігання, використання, переробка, зміна, передача, знеособлення і знищення). У вузькому ж значенні обробка персональних даних розглядається як можлива стадія роботи з персональними даними, що може включати адаптацію, зміну або поновлення отриманих даних про особу.

В практичній площині все це має значення при отриманні згоди на обробку персональних даних і формуванні юристом положень публічної угоди (політики приватності або положення про конфіденційність), яка врегульовує процес обробки відомостей про користувачів.

Законодавство про захист персональних даних.

General Data Protection Regulation (Загальний регламент про захист даних), нормативно-правові акти і судові прецеденти країн членів Європейського союзу складають “законодавство ЄС” про захист персональних даних.

В Україні спеціалізованим законодавчим актом є Закон України “Про захист персональних даних” від 01.06.2010 за №2297-VI. Цей закон є основою законодавства України у сфері захисту і організації роботи з персональними даними. Санкційні норми містяться у Кримінальному кодексі України та Кодексі України про адміністративні правопорушення.

Покарання за порушення законодавства про захист персональних даних.

В Україні покарання за порушення вимог законодавства про захист персональних даних суттєво відрізняється і залежить від наслідків та характеру порушень. Санкції починаються з адміністративної відповідальності за правопорушення (статті 188-39, 188-40 КУпАП) і закінчуються кримінальною відповідальністю за злочини (стаття 182 КК України).

В ЄС покарання за порушення законодавства про захист персональних даних носить, передусім, штрафний (майновий) характер по відношенню до бізнесу, а не посадових осіб підприємств-порушників. Суттєві штрафи (аж до 20 мільйонів Євро) передбачені нормами GDPR.

Крім того, законодавство кожної з країн-членів Європейського Союзу має індивідуальні особливості, які у тому числі надають підстави для притягнення керівників та інших посадових осіб компаній-порушників до особистої відповідальності.

Вразливі місця і можливі порушення.

Що зазвичай призводить до порушень правил, передбачених законодавством про захист персональних даних? Найчастіші порушення і проблеми криються у наступних документах, процесах і нюансах роботи з персональними даними:

  • Анкети, бланки, опросники, тести та інші подібні документи у різноманітних сферах – від готелів до кадрових агентств. Найбільш поширені проблеми: а) не містять згоди від суб’єкта персональних даних, викладеній у належній формі та з відповідним змістом, на збір, обробку, зберігання та/або передачу персональних даних; б) фізична особа не інформується про мету збору і обробки персональних даних; в) суб’єкт інформується, згода отримується, проте не у належній формі та/або у не належний спосіб; г) заявлена мета збору та обробки і/або обсяг даних, які збираються, не узгоджуються з дійсною метою.
  • Форми реєстрації (у тому числі у “цифровому” вигляді), зворотного зв’язку та інше. Проблеми ті самі, що і у попередньому пункті. Окремо додамо – не зазначення суб’єкта господарювання, який проводе збір і обробку даних.
  • Продаж, передача або будь-яке відчуження бази персональних даних без наявності попередньо отриманої згоди суб’єктів персональних даних та без належного оформлення процесу передачі.
  • Використання “баз персональних даних”, отриманих з названими порушеннями.
  • Неправильна робота з публічними договорами приєднання (політика приватності, положення про конфіденційність та інші) або взагалі відсутність угод, які врегульовували б питання використання персональних даних фізичних осіб.
  • Надмірність даних, які збираються про фізичну особу. Це шкодить не тільки юридичній безпеці, а і іміджу підприємства. У нашій практиці зустрічались скрипти для працівників кол-центрів, які більше нагадували збір анкетних даних перед допитом у кабінеті слідчого. Хоча взагалі не було ніякої об’єктивної необхідності збирати такий обсяг персональних даних.
  • Відсутність правової організації роботи з персональними даними працівників Вашого підприємства, у тому числі потенційних.
  • Відсутність застережень про персональні дані та розподіл відповідальності в угодах з контрагентами.
  • Відсутність практики визначення особи відповідальної за напрямок роботи з персональними даними на великих підприємствах. Не визначення відповідного кола обов’язків і особи, за якою вони закріплені – автоматичне покладає всю можливу персональну відповідальність в першу чергу на керівника підприємства (директора, генерального директора). Цей момент вкрай важливий для середніх і великих підприємств – потенційні ризики зростають майже у геометричній прогресії.

Все це з практики. В окремих сферах є свої нюанси, специфічні ризики і перелік найчастіших “промахів” в організації роботи з персональними даними.

Чому в Україні немає гучних прикладів притягнення до відповідальності за порушення законодавства про захист персональних даних?

Практика притягнення до відповідальності  за порушення законодавства про захист персональних даних є, включаючи не тільки покарання за адміністративні правопорушення, а також за ознаками складу злочину, передбаченого статтею 182 КК України. Рішення у рамках кримінального судочинства можна знайти у Єдиному державному реєстрі судових рішень.

Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації караються штрафом від 500 до 1000 неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до 2 років, або арештом на строк до 6 місяців, або обмеженням волі на строк до 3 років. Частина 1 статті 182 КК України.

Проте порівняно з європейцями чи тими ж самими росіянами кількість випадків притягнення до відповідальності за порушення законодавства про захист персональних даних надзвичайно мала. Чи це привід для оптимізму? Не думаємо, адже низька кількість санкцій пояснюється не стільки бездіяльністю компетентних органів скільки низьким рівнем обізнаності населення України про свої права на захист персональних даних.

За наявності у нас такої ж практики звернення зі скаргами до органів контролю як, наприклад, у Європі, показник по відповідальності був би значно вищим. З цього виходить, що наш бізнес зустрінеться з раніше невідомою йому проблемою вже у найближчому майбутньому. Проте, більшість підприємств вже зараз проводять заходи, направлені на відповідність вимогам законодавства і профілактику можливих порушень.

Щоб запобігти можливим санкціям достатньо правильно вибудувати роботу з потоком персональних даних, контрагентами і власними працівниками. Про публічні угоди та інші заходи вказано нижче. Весь комплекс заходів, направлених на приведення діяльності підприємства у відповідність з законодавством реалізується під ключ спеціалістами з організації обробки персональних даних. Юристи Legal Support одні з найкращих спеціалістів у цій сфері.

Політика приватності персональних даних та інші публічні угоди.

Коли до банку приходить клієнт, то серед інших документів підписує згоду на обробку персональних даних, надає свій дозвіл та приєднується до умов публічної угоди. Аналогічно при відвідуванні приватної поліклініки чи заселені до готелю. А як реалізувати це все при дистанційній роботі з користувачами букінг-сервісів, Інтернет-магазинів, платіжних систем та інших подібних онлайн-платформ?

Закон України “Про захист персональних даних”, Регламент GDPR, законодавство РФ, США та більшості інших держав передбачають можливість отримати згоду користувачів та сповістити останніх про всі суттєві нюанси дистанційно і безпосередньо через засоби програмних застосунків, сервісів чи Інтернет-сайтів. Найбільш зручний спосіб втілити це все у життя в адекватній юридичній формі – публічні угоди (публічні оферти). Ми неодноразово згадували про значення Політики Приватності (Політики Конфіденційності) для сучасного “цифрового бізнесу”.

Роль Політики Приватності тим більша чим більша кількість користувачів.

Разом з тим, написання і розміщення на сайті Політики Приватності не є єдино-достатньою мірою. Інші заходи мають не менше значення. Їх максимальна ефективність розкривається тільки у сукупності і при комплексному підході.

Заходи направлені на відповідність правилам у сфері обробки персональних даних і нормам законодавства:

  1. Проведення аудиту всіх етапів роботи з персональними даними клієнтів/працівників/представників контрагентів. Перевірка форм і способів можливої взаємодії з клієнтами.
  2. Підготовка рекомендацій вебмастерам, системним адміністраторам, працівникам кадрових служб.
  3. Розробка локальних наказів і посадових інструкцій на підприємстві, впровадження заходів щодо розмежування доступу до персональних даних. Цей пункт актуальний за наявності найманих працівників.
  4. Розробка публічних угод, таких як політика приватності або положення про конфіденційність.
  5. Впровадження застережень про захист персональних даних у цивільно-правові та господарські договори.
  6. Інвентаризація способів і форм взаємодії з персональними даними. Проведення стрес-аудиту на предмет ефективності вже вжитих заходів.
  7. Впровадження чіткого регламентування і документування всіх етапів обробки персональних даних. Тобто передбачається доповнення і розширення заходів, вказаних у пункті 3 цього переліку. Процес чіткого регламентування і документування особливо актуальний для великих підприємств, які працюють зі значним масивом персональних даних.
  8. Проведення консультацій і тренінгів для персоналу компаній з метою оперативного і ефективного реагування на заяви і звернення фізичних осіб у сфері захисту персональних даних. Аналогічна робота в частині реагування на адвокатські і судові запити, а також запити правоохоронних органів.

Реалізація більшості з названих заходів потребує наявності знань специфічної сфери законодавства і достатнього практичного досвіду. Юристи подібної спеціалізації у штаті невеликого і середнього бізнесу – явище поодиноке. Найчастіше спеціалісти нашого профілю залучаються як аутсорс-фахівці для налагодження роботи, впровадження конкретних заходів і консультації штатних працівників.

Публікації з питань впровадження заходів, направлених на дотримання законодавства про захист персональних даних.

Ви знайдете чимало публікацій на вказану тему на сайті Legal Support. Шукайте наші письмові юридичні консультації у розділі Блог. Радимо почати ознайомлення з наступних публікацій:

  • Privacy policy для Android та iOS додатків;
  • GDPR – лайфхак для бізнесу;
  • Політика конфіденційності за правилами General Data Protection Regulation;
  • Інтернет-магазин, персональні дані та необхідні документи;
  • Виїзні семінари і GDPR-тренінги;
  • Персональні дані користувачів і вимоги ЄС;
  • GDPR-аудит;
  • Data Protection Officer в Україні.

Персональні дані, їх законна обробка, політика приватності та інші угоди для отримання необхідної згоди на збір і використання особистих даних – “звичні матерії” для юристів, спеціалізація яких направлена на організацію роботи з персональними даними. Впровадження заходів направлених на відповідність законодавству про захист персональних даних в Україні та ЄС – зрозумілий і доступний інструмент для таких фахівців.

Ця інформація обов’язково допоможе Вам зрозуміти всі етапи роботи спеціалістів нашого профілю і отримати якісний очікуваний результат.

Юрист, засновник NGO Legal Support Євгеній Мовчун

Facebook
Twitter
LINKEDIN