До персональних даних можна віднести будь-які відомості, за якими ідентифікується або може бути ідентифікована фізична особа, зокрема: прізвище, ім'я, по батькові, адреса, телефони, паспортні дані, національність, освіта, сімейний стан, релігійні та світоглядні переконання, стан здоров'я, матеріальний стан, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи (за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов'язану із здійсненням функцій держави або органу місцевого самоврядування), тощо. Вказаний перелік не є вичерпним.
Така інформація про фізичну особу та членів її сім'ї є конфіденційною і може оброблятися в тому числі поширюватись тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Правові відносини, пов'язані із захистом і обробкою персональних даних регулюються Законом України «Про захист персональних даних» від 20.03.2020, Типовим порядком обробки персональних даних, що затверджений наказом Уповноваженого Верховної Ради України з прав людини № 1/02-14 від 08.01.2014 та Роз'ясненням Уповноваженого Верховної Ради України з прав людини до Типового порядку обробки персональних даних від 08.01.2014.
Питання щодо персональних даних можуть бути умовно розділені на три категорії:
1. Отримання персональних даних клієнтів;
2. Зберігання персональних даних клієнта;
3. Оскарження порушеного права на захист персональних даних клієнта.
Так, у процесі виконання дій, пов'язаних із дорученням клієнта, працівник підприємства отримує доступ до його персональних даних, які він надає безпосередньо.
Крім того, персональні дані особи можуть бути отримані від підприємств, установ, організацій, інших осіб на запит адвокатом, під час надання правової допомоги клієнту.
Законодавство України передбачає наступні способи отримання персональних даних, а саме, на підставі:
- запиту на персональні дані ( стаття 16 Закону України «Про захист персональних даних»).
- інформаційного запиту ( стаття 19 Закону України «Про доступ до публічної інформації»).
- адвокатського запиту ( стаття 24 Закону України «Про адвокатуру та адвокатську діяльність»).
При цьому, адвокат, отримавши інформацію необхідну для захисту його клієнта, поширює та використовує її лише в межах необхідних для захисту інтересів клієнта, зберігаючи при цьому адвокатську таємницю.
Наразі поширеною є практика витоку інформації, зокрема із початком повномасштабного вторгнення на територію України саме внаслідок фізичної втрати документів.
Отже, необхідно оцінювати ризики та вживати заходи планування для запобігання таким ситуаціям.
На сайті Уповноваженого Верховної Ради України з прав людини оприлюднено ґрунтовне Роз'яснення щодо захисту персональних даних в умовах воєнного стану.
Кожне підприємство, яке використовує під час роботи персональні дані клієнтів має подбати про наступне:
1) мати політику захисту персональних даних на сайті, з якою може ознайомитись потенційний клієнт та розуміти які саме персональні дані та з якою метою збираються;
2) внутрішній порядок щодо захисту персональних даних в компанії, зокрема, визначення уповноваженої особи за збереження таких даних. При цьому, варто наголосити, що передання такою особою персональних відомостей клієнта іншому працівнику підприємства, що не є уповноваженою особою на збереження таких даних, є неправомірним поширенням інформації та тягне за собою передбачену Законом відповідальність.
3) використовувати хмарні сервери для зберігання інформації, що містить персональні дані клієнтів.
Одним із найпоширених в Україні є хмарний сервіс Dropbox, доступний для користувачів практично всіх популярних операційних систем. Перевагою цього сервісу є можливість використовувати USB-ключ для підвищення безпеки зберігання даних.
4) замінити обмін паперовими документами на електронний документообіг.
5) проведення аудиту щодо безпеки персональних даних, який дозволяє оцінити захищеность інформаційних систем та перевірити, чи відповідають вони чинним стандартам безпеки. На даний час це ISO 27001, ISO 27002, а також рекомендації загального регламенту захисту даних GDPR.
Порушене право на захист персональних даних клієнта може бути оскаржено:
- до суду;
- до Уповноваженого Верховної Ради України з прав людини, що є швидким та безоплатним способом поновлення порушеного права.
Уповноважений Верховної Ради України з прав людини здійснює контроль у сфері захисту персональних даних шляхом проведення перевірок, у тому числі на підставі отриманих скарг. За результатами перевірки та у випадку виявленого порушення представник Уповноваженого складає протокол про адміністративне правопорушення, передбачене статтею 188-39 чи статтею 188-40 КпАП, який є підставою для накладення штрафу.
Так, однією з вимог для вступу України в ЄС є високий рівень захисту персональних даних, тому кожне підприємство повинно прагнути відповідності цьому зобов'язанню.
Отримуй актуальну інформацію для збереження бізнесу в умовах війни. Нормативно-правова інформація, щоденні оновлення документів, аналітичних статей та рекомендацій від LIGA ZAKON.?Читай за посиланням.
