Ця сторінка доступна рідною мовою. Перейти на українську

Защита персональных данных: работа на опережение

Татьяна Слабко, член АЮУ, помощница юриста АО Arzinger, рассказала, что стоит знать о защите персональных данных

Тема защиты персональных данных традиционно сводится к двум ключевым вопросам: что это и что предусматривает процедура их обработки? Исчерпывающие ответы на них найти сложно. На каждом этапе развития технологий перечень таких данных будет всё более широким. Будет расти и количество бизнес-процессов, которые предусматривают работу с данными, что будет вызывать разное понимание объемов обработки.

Однако в Украине право на приватность - это конституционная гарантия, а защита персональных данных - одна из сфер, в которой такая гарантия должна реализовываться. Что стоит об этом знать и что делать, если персональные данные все же были разглашены? Об этом подробно рассказала Татьяна Слабко, член Ассоциации юристов Украины, помощница юриста АО Arzinger.

Что такое персональные данные?

На данный момент исчерпывающего их перечня еще нет, и распознать персональные данные можно по 3 основным элементам:

- «отдельные сведения или совокупность сведений»: сейчас персональные данные - не только фамилия и имя физлица, а значительно более существенный объем данных, который может содержать в себе информацию о конкретном лице;

- «данные о физическом лице»: важный аспект в контексте понимания того, что не все данные являются персональными, а лишь те, которые касаются физлиц. Это означает, например, что данные о компании не попадают в категорию персональных данных;

- «лицо идентифицированное или может быть идентифицировано»: именно на основе таких данных можно сделать вывод, что речь идет о конкретном физлице, то есть персональные данные характеризуют физическое лицо.

Как обеспечить защиту персональных данных?

Надлежащей защиты персональных данных можно достичь путем принятия мер по 3-м основным направлениям:

- правовые меры: подготовка как можно более содержательных политик, оговорок, договоров и отдельных положений для них о процедуре сбора и обработки персональных данных;

- организационные меры: налаживание и контроль бизнес-процессов, которые предусматривают работу с персональными данными, работа с персоналом, взаимодействие с субподрядчиками, документирование процессов и тому подобное;

- технические меры.

В этих направлениях должен работать владелец и распорядитель персональных данных. То есть компания, которая данные собирает и осуществляет их обработку (чаще всего, это одна и та же компания).

Компании должны заботиться и о надлежащем информировании физических лиц, персональные данные которых они обрабатывают. Поэтому важно оповещать о:

- правах, которые есть у физлица в процессе сбора и обработки его персональных данных;

- категориях персональных данных, которые собираются и обрабатываются;

- цели такой обработки и правовых основаниях такой обработки (согласие, законный интерес, исполнение договора, исполнение обязательства, обработка в силу закона, защита жизненно важных интересов);

- передаче персональных данных третьим лицам;

- информации о сроках удаления данных.

Физлицо, в свою очередь, может сопоставить, оправданы ли те объемы и характер данных, которые о ней собирают, задекларированной цели, а также имеет ли компания вообще на это право. Если прослеживаются определенные злоупотребления, физическое лицо уже на этом этапе может защитить свои права и не предоставлять персональные данные или возражать против их обработки.

Проверить информацию о своем контрагенте можно в системе проверки и мониторинга бизнес-партнеров CONTR AGENT. Это удобный сервис, который за несколько минут отобразит полное досье на каждую компанию в Украине.

Как действовать, если персональные данные были все же разглашены

Разглашение персональных данных может происходить по разным причинам и не всегда является незаконным, ведь данные могут предоставляться по требованию госорганов, контрагентов для выполнения определенного обязательства и т.п.

Опасными являются случаи именно несанкционированного разглашения персональных данных, когда их владелец, например, определенная компания, не намеревалась передать такие данные третьим лицам, но это все же произошло - из-за неосторожности или кибератаки. В таких случаях все силы компании будут направлены на уменьшение негативных последствий разглашения персональных данных, а именно:

- своевременное реагирование департаментов компании, привлеченных к защите персональных данных (IT-департамент, служба безопасности, юридический департамент, комплаенс и т.п.);

- уведомление физлиц, персональные данные которых были разглашены с тем, чтобы они также могли принять меры, направленные на минимизацию негативных последствий (например, сменить пароли, заблокировать банковские карты и т.д.);

- уведомление партнеров и контрагентов;

- расследование инцидента с разглашением персональных данных в компании;

- принятие мер для восстановления безопасного сбора и обработки данных в рамках определенного бизнес-процесса.

Сейчас самые активные процессы по повышению уровня защиты персональных данных происходят, безусловно, в ЕС (со вступлением в силу Общего регламента по защите персональных данных - GDPR) и США (пока лидирует штат Калифорния). Однако значительную работу по улучшению системы защиты персональных данных провели и страны, которые обеспечивают так называемый «адекватный уровень защиты данных»: Андорра, Аргентина, Канада (коммерческий сектор), Фарерские острова, Гернси, Израиль, Остров Мэн, Япония, Джерси, Новая Зеландия, Швейцария, Уругвай и США.

Сейчас реформа системы защиты персональных данных продолжается и в Украине, идёт работа над разработкой законодательства, которое отражало бы принципы, заложенные в GDPR. Это позволило бы получить существенные экономические преимущества как сотрудничества компаний на локальном уровне, так и привлекли в Украину больше иностранных инвесторов, для которых традиционно вопрос о защите персональных данных является одним из стратегически важных.

Татьяна Слабко, член Ассоциации юристов Украины, помощница юриста АО Arzinger.

Для построения выигрышной стратегии защиты в суде необходимо много времени уделять изучению правовых прецедентов и норм права. ЛІГА:ЗАКОН разработала комплексное решение LIGA360:АДВОКАТ, которое объединяет главные инструменты для эффективной работы адвоката в единственном рабочем пространстве. Кроме удобного доступа к наибольшей базе НПА, судебным решениям и информации о компаниях и предпринимателях, вы получаете ряд дополнительных преимуществ: извещение об изменениях в законодательном поле, новые судебные решения, состояние контрагентов; создание базы полезных ссылок; персональную ленту новостей по выбранным темам и источникам. Попробуйте в мае со скидкой 30 %.

Подпишитесь на рассылку
Получайте по понедельникам weekly-digest о ключевых событиях бизнеса
Оставьте комментарий
Войдите, чтобы оставить комментарий
Войти
На эту тему