Використання персональних даних в Україні та ЄС

дозвіл використання персональних даних в Україні і ЄС

Використання персональних даних в Україні та ЄС

Перед Вами юридична консультація розрахована, без перебільшення, на всіх. Дозвіл на використання персональних даних і законний порядок його отримання в Україні та Європейському Союзі – питання, яке стосується не тільки бізнесу, а і всіх нас, як суб’єктів персональних даних. Знати свої права на захист особистих даних слід кожному. Перейдемо одразу до суті.

дозвіл використання персональних даних в Україні і ЄС
E-Privacy в Україні та ЄС (про зміст і форму дозволу на використання персональних даних).

Як законно отримати дозвіл на використання персональних даних?

Для законного отримання дозволу на використання персональних даних та для правильної організації роботи з ними скористайтесь перевіреним алгоритмом дій:

  1. Ознайомтесь з чинними правилами у сфері захисту даних та їх законного використання. Це можна зробити самостійно з публікацій Legal Support або отримати консультацію юриста.
  2. Визначте коло завдань для приведення діяльності та процесу роботи з особистими даними у відповідність до чинних правил.
  3. Запровадьте вичерпні заходи для захисту персональних даних та належної роботи з ними. Юридичні: складання повідомлень, правових застережень, політик і угод. Організаційні: налагодження роботи з персоналом, наприклад call-центру, введення режиму обмеженого доступу до даних, правильне розміщення документів і повідомлень на сайті.
  4. Перевірте чи все зроблено правильно – з цим допоможе юридичний та організаційний аудити.
  5. Виправте встановлені під час аудиту недоліки в роботі з персональними даними і неузгодженості з чинними правилами.
  6. Підтримуйте запроваджені заходи в актуальному стані.

Вказані задачі та кроки допустимо реалізувати як з частковим залученням юриста так і повністю “під ключ”, отримавши від останнього звіт по кожному з етапів і конкретний результат. Наведені 6 кроків забезпечать legal compliance не тільки щодо процесу отримання дозволу на використання персональних даних, а також і щодо всього процесу роботи з даними в цілому. Запропонований перелік дещо спрощений, однак більш ніж достатній для розуміння обсягу завдань для законного отримання дозволу на використання персональних даних.

Під час останніх виборів Президента України, головні кандидати на цей пост плутали у публічних офертах на своїх сайтах терміни і визначення передбачені законом. Для правильного розуміння змісту даної консультації та запобігання таких випадків, про всяк випадок, роз’яснимо на прикладі Інтернет-магазину суть термінів – суб’єкт персональних даних та розпорядник персональних даних. При замовленні товару через Інтернет-магазин, суб’єктом персональних даних буде покупець (у тому числі потенційний), який використовує сайт магазину чи інший спосіб замовлення товару і повідомляє при цьому свої персональні дані. Власник магазину або особа, яка за дорученням власника здійснює обробку даних, буде розпорядником персональних даних у розумінні законодавства України. Розпорядником персональних даних може бути як фізична особа так і юридична.

У цій консультації не йде мова про організаційно-технічні вимоги до організації збору, використання, обробки і збереження персональних даних. Щоб розкрити вказані теми знадобиться щонайменше 2 повноцінних матеріали, а в контексті програмно-технічних порад – залучення фахівця іншої спеціалізації ніж юрист. Тому сьогодні зосередимо увагу на юридичних вимогах і правилах, які діють в Україні та ЄС. Якщо бажаєте поглибити знання і дізнатися про організаційні заходи в роботі з персональними даними, то маєте можливість ознайомитись з моїми попередніми консультаціями, посилання на одну з яких наведено у кінці допису.

Які правила у сфері захисту даних діють в Україні та Європейському Союзі?

Дозвіл на використання персональних даних, форма і порядок його отримання – предмет регулювання з боку офіційно встановлених державою (наддержавними утвореннями) правил. В Україні питання отримання дозволу на збір, обробку і використання персональних даних урегульовано Законом України “Про захист персональних даних”. Питання захисту даних також врегульовано положеннями Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” та опосередковано Законом України “Про електронні довірчі послуги”.

З огляду на предмет сьогоднішньої консультації нас цікавить саме Закон України “Про захист персональних даних”. Дозвіл на використання персональних даних, порядок його отримання і суттєві питання роботи з особистими даними розкриті у наступних положеннях закону про захист персональних даних:

  • Стаття 6 Закону встановлює загальні вимоги до обробки персональних даних, зокрема і щодо визначення мети обробки персональних даних. У частині 5 статті 6 передбачено – обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних.
  • Стаття 2 Закону визначає дозвіл на використання (обробку) персональних даних, як згоду суб’єкта персональних даних на проведення відповідних операцій. Така згода є добровільним волевиявлення фізичної особи (за умови попередньої поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері e-Commerce дозвіл суб’єкта персональних даних може бути наданий під час реєстрації в інформаційно-телекомунікаційній системі шляхом проставлення відмітки про надання дозволу на обробку даних відповідно до конкретної мети, за умови, що система не створює можливостей для обробки персональних даних до моменту проставлення відмітки.
  • Стаття 11 Закону передбачає підстави для обробки персональних даних, першою з яких є згода суб’єкта персональних даних на обробку його персональних даних.
  • Стаття 10 Закону встановлює, що використання персональних даних передбачає дії щодо обробки даних, дії щодо їх захисту, а також дії щодо надання права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних. Закон надає розпоряднику дозвіл на використання персональних даних за умови забезпечення захисту даних. Використання персональних даних працівниками розпорядника має здійснюватися лише відповідно до професійних, службових чи трудових обов’язків. Працівники зобов’язані не допускати розголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням обов’язків.
  • І нарешті, поширення персональних даних (дії щодо передачі відомостей про фізичну особу) так само дозволяються тільки за згодою суб’єкта персональних даних – такі вимоги статті 14 Закону.

У ЄС діють 2 нормативно-правові акти, які стосуються процесу отримання дозволу на використання персональних даних і роботи з ними. Це вже всім відомий Регламент GDPR і несправедливо забута ePrivacy Directive 2002/58/EC від 12.07.2002 року. Директива у найближчий час буде оновлена і на заміну їй прийде новий регламент – Regulation on Privacy and Electronic Communications або ePrivacy Regulation.

В контексті юридичної організації роботи веб-сайтів Інтернет-магазинів і онлайн-сервісів важливі обидва нормативно-правових акти. Оскільки ePrivacy Directive містить лише базові положення і у найближчий час буде реінкарнована у формі ePrivacy Regulation, будемо виходити з актуальних вимог General Data Protection Regulation. Перед початком роботи з персональними даними клієнтів і користувачів, слід зважити, чи дотримуються вимоги наступних статей GDPR:

  • стаття 5 General Data Protection Regulation “Principles relating to processing of personal data”;
  • стаття 6 General Data Protection Regulation “Lawfulness of processing”;
  • стаття 7 General Data Protection Regulation “Conditions for consent”;
  • стаття 22 General Data Protection Regulation “Automated individual decision-making, including profiling”.

Перелічені норми GDPR містять ключові правила для бізнесу. Детальний огляд вимог і правил статей 5, 6, 7 та 22 GDPR заплановано у найближчих публікаціях. Ми не тільки розкладемо все по полицях, а і надамо практичні поради. Наразі переходимо до другої половини консультації. Знання про права на захист персональних даних знадобляться як бізнесу, так і потенційним користувачам, клієнтам, споживачам послуг і товарів. Знати про захист своїх персональних даних слід кожному та всім.

Що слід знати про права на захист персональних даних?

Наші права на захист персональних даних, належне і законне їх використання, передбачені статтею 8 Закону України “Про захист персональних даних”. Стаття 8 Закону “Права суб’єкта персональних даних” передбачає право:

  1. Знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних.
  2. Отримувати інформацію про умови і порядок надання доступу до персональних даних, про третіх осіб, яким передаються персональні дані.
  3. На доступ до своїх персональних даних.
  4. Отримувати не пізніш як за 30 днів з дня надходження запиту відповідь про те, чи обробляються персональні дані, а також отримувати зміст таких персональних даних.
  5. Пред’являти вимогу із запереченням проти обробки персональних даних.
  6. Пред’являти вимогу щодо зміни або знищення персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
  7. На захист персональних даних від незаконної обробки, випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням. На захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи.
  8. Звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини та до суду. На жаль, наявність тільки цих 2 способів притягнення до відповідальності є причиною неефективного механізму захисту персональних даних в Україні. Однак, вплив GDPR і світова практика у цій сфері вже змінюють становище на краще.
  9. Застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
  10. Вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди. Право, яке порушується маже у кожному випадку оброблення персональних даних. Чи часто Ви бачили можливість внести будь-яке застереження, наприклад, при реєстрації на улюбленому тематичному форумі?
  11. Відкликати дозвіл на використання персональних даних.
  12. Знати механізм автоматичної обробки персональних даних.
  13. На захист від автоматизованого рішення, яке має для нього правові наслідки (аналогічні, але деталізованіші положення, наявні у статті 22 EU GDPR).

Не можна не згадати і положення частини 6 статті 6 Закону – не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Таким чином, Закон передбачає широкий перелік прав, однак визначає недостатньо ефективні способи їх захисту.

Практика порушення прав на захист персональних даних та їх законне використання:

В Україні поширена практика порушення всіх наведених вище прав. Сучасний бізнес найчастіше порушує положення статті 12 “Збирання персональних даних”, яка чітко передбачає наступне – у момент збору персональних даних суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, мету збору персональних даних та осіб, яким передаються персональні дані.

За наявності бажання і вільного часу, кожний другий Інтернет-магазин в Україні можна “взяти на гачок” через порушення вимог частини 2 статті 12 Закону. Тож будьте обачні і захищайте свої права. Підприємцям радимо не нехтувати кваліфікованою допомогою юриста і зважувати на вимоги закону. Нехай сьогодні політична воля щодо наведення ладу у сфері захисту персональних даних і відсутня, проте завтра братися за справу може бути і запізно!

Зі свого боку, радимо користувачам уважно ознайомлюватись з положеннями Політики конфіденційності чи іншого документу, яким встановлюються правила здійснення операцій з персональними даними. Політика конфіденційності – це документ, який інформує щодо переліку персональних даних, що збираються, та мети їх збору. Прочитайте документ уважно і дізнаєтесь несподівано багато цікавого. Консультація з описом завдань Політики конфіденційності доступна за посиланням – Політика конфіденційності сайту і Регламент GDPR. Радимо не заповнювати форми реєстрації та не надавати свої персональні дані, без попереднього ознайомлення з Політикою конфіденційності.

Зміст і правильна форма отримання дозволу – 2 невід’ємних елементи законної роботи як онлайн так і офлайн сервісів:

Правило коректно виписаного змісту і належної форми – універсальне для будь-якого виду роботи з персональними даними. Це справедливо як для онлайн бронювання готелю чи купівлі путівки через сайт туроператора, так і при заповненні анкети з особистими даними у роздрукованій формі, наприклад при проходженні співбесіди перед працевлаштуванням чи участі у акції від улюбленого магазину. Дозвіл на використання персональних даних отримується у аналогічний спосіб при накопиченні і обробці персональних даних через програмні додатки та онлайн-сервіси.

Чи існує універсальний текст отримання згоди на використання персональних даних? В Україні можна скласти більш-менш універсальне повідомлення, але з урахуванням вищевказаних вимог Закону воно має бути обов’язково деталізоване у положенні про конфіденційність чи подібному документі.

Форма отримання згоди на використання персональних даних має коротко і змістовно повідомити про мету обробки персональних даних та містити посилання на документ, який повністю розкриває питання роботи з персональними даними і містить всі положення відповідно до розглянутого нами Закону. Такий порядок існує в Україні. Чинні у ЄС правила (ePrivacy Directive, GDPR) схожі, проте більш деталізовані і мають суттєвіші важелі примусу до їх виконання на практиці. Про особливості правового регулювання роботи з персональними даними за правилами General Data Protection Regulation детально викладено в інших публікаціях юристів Legal Support (будь ласка, перегляньте розділ Блог).

Узагальнений матеріал з порадами для підприємців доступний у публікації – робота з персональними даними. Рекомендуємо ознайомитись перед початком підприємницької діяльності, яка передбачає роботу з особистими даними клієнтів. А це, без перебільшення, 100% бізнесу, який працює з клієнтами через Інтернет. Всім відомо – менеджеру-консультанту Інтернет-магазину не відправити товар без необхідних відомостей про покупця.

E-Privacy, GDPR, COPPA та CCPA у найближчих дописах від Legal Support:

Слідкуйте за дописами юристів Legal Support. Попереду продовження розгляду теми отримання дозволу на використання і обробку персональних даних фізичних осіб. Друга частина з цього циклу публікацій “E-Privacy та GDPR – практичні аспекти” – детально висвітлить питання законодавчого регулювання отримання дозволу на використання і обробку персональних даних за правилами GDPR та законодавства членів Європейського Союзу. Третя частина “Правила США роботи з особистими даними, COPPA та California Consumer Privacy Act (CCPA)” – розкриє особливості роботи з особистими даними дітей (малолітніх осіб) та ключові особливості чинних у США правил.

юрист Legal Support, Євгеній Мовчун

Блог – Дозвіл на використання персональних даних в Україні та ЄС