Правила обробки персональних даних для сайтів і онлайн сервісів. Чи задавались Ви питанням – як правильно проводити процедуру реєстрації користувачів та зберігати їх дані, не порушуючи чинні правила ЄС у сфері захисту персональних даних? Нижченаведена інформація допоможе отримати відповіді на юридичні запитання взаємодії з особистими даними користувачів веб-сайту, онлайн-сервісу або ж програмного додатку.

Правила обробки Персональних даних

Для кого ця публікація? Кому слід знати принципи та правила обробки персональних даних фізичних осіб? Наш інформаційний матеріал розрахований на системних адміністраторів, веб-майстрів, власників веб-сайтів і програмних продуктів. Дана стаття – це путівник з питань правильної організації роботи з персональними даними. За текстом Ви зустрінете посилання на попередні публікації присвячені цій темі. Ми не станемо повторюватись, а натомість надамо лінки на інформаційні матеріали юристів з конкретних і актуальних запитань.

Що ж, перейдемо до суті – до правил обробки персональних даних. При роботі з особистими даними користувачів (зборі, зберіганні, обробці, використанні, передачі) необхідно дотримуватись законодавчих правил. Ці правила обробки персональних даних передбачені законами окремих юрисдикцій, а також регулятивними актами, прийнятими на рівні об’єднань держав, таких як Європейський Союз.

Регулювання обробки персональних даних на прикладі готельного бізнесу.

Розглянемо на конкретному прикладі особливості правового регулювання процесу обробки персональних даних. Для наочності візьмемо роботу з особистими даними фізичних осіб при наданні останнім послуг у сфері готельного бізнесу.

Отже, які норми законодавства слід враховувати власнику (адміністратору) веб-сайту готелю або сервісу, який пропонує онлайн бронювання номерів для громадян України та країн ЄС одночасно? Припускаємо, що бізнес при цьому зареєстрований в Україні, розміщення гостей також матиме місце в Україні. Для того щоб зняти всі юридичні ризики слід обов’язково враховувати такі законодавчі правила обробки персональних даних:

• Законодавство України – Закон України “Про захист персональних даних“;
• Законодавство інших країн громадянства користувачів;
• Нормативні правила, які діють на рівні ЄС, а саме – General Data Protection Regulation (GDPR).

Значна частина українського онлайн-бізнесу “експортує” послуги і товари в ЄС. Більше того, майже весь вітчизняний бізнес, представлений в Інтернеті, потенційно готовий запропонувати послуги громадянам країн учасниць ЄС. Наведемо тільки деякі приклади: готелі, туризм, послуги дизайнерів, IT, юридичні послуги для інвесторів з ЄС, окремі види медичних послуг (стоматологія, штучне запліднення, сурогатне материнство) і широкий перелік побутових послуг для гостей України.

Ваш сайт доступний на англійській (німецькій, французькій, італійській тощо) мові? Можливо ціни вказано у Євро? Тоді є важливе застереження! Навіть якщо Ви не плануєте надавати послуги (продавати товари) громадянам країн ЄС, все одно маєте дотримуватись приписів GDPR.

Наведені факти вимагають від бізнесу дотримання правил обробки персональних даних, які діють у ЄС на теперішній час. Якщо користувачами Вашого веб-сайту або онлайн-сервісу можуть бути (навіть потенційно) громадяни будь-якої країни Європейського Союзу, то вже зараз слід задуматись над заходами в рамках GDPR Compliance.

Законодавство Європейського Союзу або що таке GDPR Compliance?

GDPR Compliance (дослівно – відповідність (правилам) GDPR) – це стан Вашого бізнесу, коли всі процеси, особливо в частині взаємодії з особистими даними користувачів, узгоджуються і відповідають чинним вимогам, передбаченим приписами General Data Protection Regulation.

GDPR Compliance – це одночасно і комплекс юридичних, організаційно-правових і навіть технічних заходів, який направлений на досягнення повної відповідності з чинними правилами ЄС у сфері захисту персональних даних.

Законодавство ЄС складається з положень регламенту та нормативно-правових актів прийнятих на його виконання. Також, в окремих сферах надання послуг, наприклад, фінансових послуг, слід враховувати правила у сфері протидії відмиванню доходів отриманих злочинним шляхом і фінансуванню тероризму.

Яке відношення мають такі правила до роботи з персональними даними? Безпосереднє, в окремих сферах бізнесу. Це, серед іншого, прямо стосується процесу верифікації користувачів і обробки їх персональних даних, при наданні останнім фінансових послуг.

Плюс до вищевказаних правил, рекомендуємо зважувати на норми національного законодавства окремих країн ЄС. Юрист, який проводить заходи з метою досягнення повного GDPR Compliance, додатково враховує особливості законодавства конкретної держави ЄС у тому випадку, якщо громадяни цієї країни є основною категорією користувачів програмного додатку, онлайн-сервісу або сайту.

GDPR Compliance для сайтів і онлайн сервісів – особливості аудиту і розробки правового рішення.

Правила обробки персональних даних користувачів веб-сайтів і онлайн сервісів вже давно не вирізняються суттєвими особливостями. Навпаки, на наш погляд, європейське законодавство у сфері захисту персональних даних, як і українське, багато в чому орієнтоване на роботу з особистими даними через всесвітню мережу Інтернет. Це, зокрема, і можливість отримувати згоду на обробку персональних даних у цифровому вигляді. Така можливість, у тому числі, передбачена положеннями Закону України “Про захист персональних даних“.

Перед тим, як перейти до питань, які обумовлені правилами ЄС з захисту персональних даних, надамо одне корисне посилання. Назва статті – Інтернет-магазин, персональні дані та необхідні документи. Центральна тема згаданої публікації – особливості правової організації роботи Інтернет-магазину в Україні. Однак, інформація наведена у статті буде так само корисна і власникам програмних додатків, онлайн-сервісів або інших веб-ресурсів.

Україна, як згадано вище, теж має власні правила обробки персональних даних. Вітчизняні правила захисту персональних даних хоча і менш суворі, проте теж доволі деталізовані. Ви запитаєте – а де ж покарання за порушення? Такі випадки є, проте поодинокі і не систематичні. У чому ж причина? У механізмі притягнення до відповідальності, а також у тому, що користувачі поки що рідко звертаються зі скаргами.

Разом з тим, якщо користувач належним чином зафіксує факти порушень і звернеться зі скаргою, то і в рамках українського законодавства можна отримати суттєві санкції. Додамо до цього вплив європейських тенденцій і отримаємо одну з пріоритетних задач при правовій організації ведення практично будь-якого бізнесу, орієнтованого на кінцевих споживачів.

Про вимоги українського законодавства читайте у згаданій вище юридичній публікації. А ми йдемо далі, безпосередньо до правил ЄС (General Data Protection Regulation) і питань які найчастіше лунають в контексті Регламенту GDPR.

Найчастіші запитання в контексті правил General Data Protection Regulation:

• Які принципи обробки персональних даних за GDPR?
• Які вимоги висуваються до порядку збору і зберігання особистих даних користувачів?
• Чи можна передавати персональні дані користувачів третім особам? Чи не суперечить це правилам ЄС у сфері обробки і захисту особистих даних фізичних осіб?
• Хто такий DPO за Регламентом Європейського Союзу?
• Які документи потрібні для мобільних додатків, Інтернет-сайтів і онлайн-сервісів в контексті роботи з персональними даними?

Про принципи і базові вимоги обробки персональних даних відповідно до норм GDPR читайте у статті – Політика конфіденційності відповідно до вимог GDPR та інших публікаціях юристів Legal Support. Відповідь на питання про те, хто такий DPO (Data Protection Officer) за Регламентом Європейського Союзу, теж є у нашому Блозі (вбийте DPO у вікні пошуку розділу Блог).

Відповіді на наступні запитання – “Чи можна передавати персональні дані користувачів третім особам? Чи не суперечить це правилам ЄС у сфері обробки і захисту персональних даних фізичних осіб?” надамо зараз безпосередньо у цій публікації.

Чи можна передавати особисті дані користувачів третім особам? Яка роль публічних оферт у цьому процесі?

В Україні існує міф – GDPR забороняє передавати персональні дані третім особам, зокрема підрядникам. Це зовсім не так – правила ЄС з обробки персональних даних вимагають від бізнесу чесно повідомити про мету збору і обробки персональних даних, а також у доступній, зрозумілій і однозначній формі отримати дозвіл на проведення таких дій.

Що з цього слідує? Якщо Ви повідомили користувачів про збір їх особистих даних з метою ідентифікації при користуванні програмним продуктом, а насправді продали базу персональних даних для розсилки рекламних оголошень на email користувачів, вказаний під час реєстрації, то порушення очевидне. Заявлена мета збору особистих даних користувачів не узгоджується з фактичними діями. Відповідно, такі дії вчинені без отримання дозволу користувачів і в порушення вимог Регламенту ЄС.

Інший приклад. В тексті публічної оферти, наприклад, положення про конфіденційність, вказується на можливість подальшої передачі Вашим підрядникам адрес електронної пошти користувачів для інформування останніх про нові послуги/товари і рекламні акції третіх осіб. За таких умов та за наявності погодження користувача з текстом положення про конфіденційність, отриманого у належній формі, Ви вправі здійснювати передачу конкретно визначених відомостей про користувача.

Навіть у суто теоретичній моделі бізнесу, який обходиться без онлайн-сервісів для реєстрації (верифікації) користувачів, не обійтись без належного GDPR Compliance. При заповненні клієнтами лише паперових анкет, правила з обробки персональних даних не втрачають своєї актуальності.

Яку роль у цьому процесі відіграють публічні оферти? Напевно Ви здогадались, що положення про конфіденційність або політика конфіденційності і є тими самими публічними офертами. Кажучи коротко і по суті – це документи (публічні угоди), які надають Вам можливість у зручний спосіб та на Ваших умовах урегулювати відносини з багатьма користувачами одночасно, у тому числі отримати дозвіл на обробку їх персональних даних у необхідному обсязі.

Розглянемо весь комплекс організаційно-правових заходів, які бажано провести для будь-якого бізнесу представленого у мережі Інтернет або через відповідний сервіс/додаток для iOS/Android пристроїв.

Правила обробки персональних даних і необхідні організаційно-правові заходи:

1. Попередній аудит на відповідність чинним правилам обробки персональних даних і нормам законодавства у сфері захисту персональних даних.
2. Мінімізація кількості персональних даних, оптимізація процесу їх зберігання і обробки.
3. Розробка пакету GDPR документів, таких як положення про конфіденційність чи політика конфіденційності. Головне не назва, а зміст документу.
4. Зрозуміле і прозоре пояснення користувачам мети і процесу збору, зберігання, обробки і передачі їх особистих даних. В додаток до положення про конфіденційність або політики конфіденційності слід окремо доступно проінформувати користувача про найбільш суттєві моменти роботи з його персональними даними. Це може бути інформація, представлена графічно (у формі малюнків чи анімації), повідомлення про використання cookie-файлів, окрема форма зворотнього зв’язку з питань захисту персональних даних, інформування через інтерфейс програмних продуктів про можливі ризики тощо.

Серед необхідних GDPR заходів важливим є наявність DPO (юриста – спеціаліста з захисту персональних даних), який супроводжуватиме Ваш бізнес. Абсолютно рівнозначну роль відіграють і заходи технічного характеру, направлені на забезпечення захисту особистих даних користувачів. Про проведення попереднього аудиту на відповідність правилам обробки персональних даних читайте у публікації юристів Legal Support – GDPR-аудит і ризики його відсутності.

Правова організація процесу обробки персональних даних в Україні.

Правила обробки персональних даних в контексті роботи веб-сайтів і онлайн-сервісів в Україні – основна спеціалізація юристів Legal Support. Спеціалісти нашої команди нададуть необхідну допомогу, направлену на реалізацію заходів для досягнення GDPR Compliance та відповідності вимогам законодавства України про захист персональних даних.

Правила ЄС з обробки персональних даних для програмних додатків, сайтів, онлайн-сервісів і різних веб-ресурсів – лише одна зі сторін юридичної організації роботи сучасного бізнесу. Актуальна інформація про всі правові аспекти ведення Інтернет-бізнесу завжди доступна на нашому сайті у розділі Блог. Приємного перегляду!

Контакти юристів – спеціалістів з обробки персональних даних: +38 050 643 79 03 або +38 063 626 85 23.