Тема захисту персональних даних традиційно зводиться до двох ключових питань: що це та що передбачає процедура їх обробки? Вичерпної відповіді на них віднайти складно. На кожному з етапів розвитку технологій перелік таких даних буде ширшим. Зростатиме і кількість бізнес-процесів, які передбачатимуть роботу із даними, що буде зумовлювати різне розуміння обсягів обробки.
Проте в Україні право на приватність - це конституційна гарантія, а захист персональних даних - одна зі сфер, в якій така гарантія має реалізовуватися. Що варто про це знати та що робити, якщо персональні дані все ж були розголошені? Про це детально розповіла Тетяна Слабко, член Асоціації правників України, помічник юриста АО Arzinger.
Що таке персональні дані?
Наразі вичерпного їх переліку не сформовано, та розпізнати персональні дані можна за 3 основними елементами:
- «окремі відомості або сукупність відомостей»: наразі персональні дані - не лише прізвище та ім'я фізичної особи, а значно суттєвіший обсяг даних, який може містити в собі інформацію про конкретну особу;
- «дані про фізичну особу»: важливий аспект в сенсі розуміння того, що не всі дані є персональними, а лише ті, які стосуються фізичних осіб. Це означає, наприклад, що дані про компанії не потрапляють до категорії персональних даних;
- «особа ідентифікована або може бути ідентифікована»: саме на основі таких даних можна зробити висновок про те, що мова йде про конкретну фізичну особу, тобто персональні дані характеризують фізичну особу.
Як забезпечити захист персональних даних?
Належного захисту персональних даних можна досягти шляхом вжиття заходів за трьома основними напрямками:
- правові заходи: підготовка якомога більш змістовних політик, застережень, договорів і окремих положень для них про те, яким чином відбувається збір та обробка персональних даних;
- організаційні заходи: налагодження і контроль за бізнес-процесами, які передбачають роботу із персональними даними, робота із персоналом, взаємодія із субпідрядниками, документування процесів тощо;
- технічні заходи.
В таких напрямках має працювати володілець і розпорядник персональних даних, тобто компанія, яка дані збирає і здійснює їх обробку (частіше за все, це одна і та ж компанія).
Компанії мають дбати й про належне інформування фізичних осіб, персональні дані яких вони обробляють. Тому важливо сповіщати про:
- права, які має фізична особа у процесі збору та обробки її персональних даних;
- категорії персональних даних, які збираються та обробляються;
- мету такої обробки та правові підстави, на яких ґрунтується така обробка (згода, законний інтерес, виконання договору, виконання зобов'язання, обробка в силу закону, захист життєво важливих інтересів);
- передачу персональних даних третім особам;
- інформацію про строки видалення даних.
Фізична ж особа може зіставити, чи виправдані ті обсяги та характер даних, які про неї збирають, задекларованій меті, а також чи має компанія взагалі на це право. Якщо прослідковуються певні зловживання, фізична особа вже на цьому етапі може захистити свої права і не надавати персональні дані або ж заперечувати проти їх обробки.
Перевірити інформацію про свого контрагента ви можете у системі перевірки та моніторингу бізнес-партнерів CONTR AGENT. Це зручний сервіс, який за кілька хвилин відобразить повне досьє на кожну компанію в Україні.
Як діяти, якщо персональні дані були все ж розголошені
Розголошення персональних даних може відбуватися за різних обставин і не завжди є незаконним, адже дані можуть надаватися на вимогу держорганів, контрагентів для виконання певного зобов'язання тощо.
Небезпечними є випадки саме несанкціонованого розголошення персональних даних, коли володілець персональних даних, наприклад певна компанія, не мала на меті передати такі дані третім особам, але це сталося через необережність або кібератаки. В таких випадках всі сили компанії будуть направлені на те, щоб зменшити негативні наслідки розголошення персональних даних, а саме:
- своєчасне реагування департаментів компанії, які залучені до захисту персональних даних (IT-департамент, служба безпеки, юридичний департамент, комплаєнс тощо);
- повідомлення фізичних осіб, персональні дані яких були розголошені з тим, щоб вони також могли вжити заходів, направлених на мінімізацію негативних наслідків (наприклад, змінити паролі, заблокувати банківські картки тощо);
- повідомлення партнерів і контрагентів;
- розслідування інциденту із розголошенням персональних даних в компанії;
- вжиття заходів для відновлення безпечного збору та обробки даних в рамках певного бізнес-процесу.
Наразі найактивніші процеси із підвищення рівня захисту персональних даних відбуваються, безперечно, в ЄС (із вступом в силу Загального регламенту із захисту персональних даних - GDPR) та США (поки що лідером в цьому є штат Каліфорнія). Проте значну роботу з покращення системи захисту персональних даних провели й країни, які забезпечують так званий «адекватний рівень захисту даних»: Андорра, Аргентина, Канада (комерційний сектор), Фарерські острови, Гернсі, Ізраїль, Острів Мен, Японія, Джерсі, Нова Зеландія, Швейцарія, Уругвай, США.
Наразі реформа системи захисту персональних даних триває і в Україні, йде робота над розробкою законодавства, яке відображало б принципи, закладені в GDPR. Це дозволило б отримати суттєві економічні переваги як співпраці компаній на локальному рівні, так і залучили в Україну більше іноземних інвесторів, для яких традиційно питання захисту персональних даних є одним зі стратегічно важливих.
Тетяна Слабко, член Асоціації правників України, помічник юриста АО Arzinger.
Для побудови виграшної стратегії захисту в суді необхідно багато часу приділяти вивченню правових прецедентів і норм права. ЛІГА:ЗАКОН розробила комплексне рішення LIGA360:АДВОКАТ, яке об'єднує головні інструменти для ефективної роботи адвоката в єдиному робочому просторі. Крім зручного доступу до найбільшої бази НПА, судових рішень та інформації про компанії й підприємців, ви отримуєте низку додаткових переваг: сповіщення про зміни в законодавчому полі, нові судові рішення, стан контрагентів; створення бази корисних посилань; персональну стрічку новин за обраними темами та джерелами. Спробуйте у травні зі знижкою 30 %.