Обробка персональних даних в Україні: правові аспекти

05 червня 2024

Ми сьогодні спостерігаємо світову тенденцію до стрімкого розвитку законодавства щодо новітніх технологій та суміжних питань.

Обробка персональних даних в Україні: правові аспекти

Системи штучного інтелекту та потенційне прийняття AI Act. Дуже великі онлайн-платформи (VLOPs) та набрання чинності Digital Markets Act. І, звичайно, Загальний регламент про захист даних (GDPR), який після набуття чинності 2018 року продовжує впливати на організації у всьому світі. Не в останню чергу завдяки своїй екстериторіальній дії.

Україна відстає від згаданих тенденцій регулювання. Закон України "Про захист персональних даних" було прийнято понад 10 років тому для імплементації Директиви 95/46 (на сьогоднішній день втратила актуальність) та суттєво не переглядався. Потреба змінити чинне регулювання є нагальною. Це необхідно для членства в ЄС та інтеграції до Єдиного цифрового ринку зокрема. Цю потребу бачить і парламент. 

Довгий час ведеться робота над відповідним законопроектом (№8153), який має імплементувати вимоги GDPR. Нещодавно цей законопроект було внесено до порядку денного одинадцятої сесії Верховної Ради. Тому доцільно стежити за подальшими кроками з цього питання.

Поки ринок чекає на нові правила гри у сфері захисту персональних даних, організації налагоджують свої процеси, керуючись чинним законодавством. При цьому, як ми бачимо на практиці, вони також намагаються враховувати найкращі міжнародні практики для готовності до майбутніх змін і, де це необхідно, запровадження вимог своїх контрагентів, зокрема з ЄС.Нижче розглянемо основні правові аспекти роботи з персональними даними в Україні, що випливають із поточного регулювання.


Почніть із чому

Перед тим, як визначити застосовні законодавчі вимоги, доцільно виділити список ваших процесів, пов'язаних із використанням персональних даних (наприклад, рекрутинг, маркетинг тощо). Після цього спробуйте відповісти на кілька основних питань:

  • якою є роль вашої організації в цьому процесі? Так, якщо ви визначаєте мету та обсяг обробки даних, ви дієте як власник (контролер) даних та несете основну відповідальність за дотримання законодавства. Якщо вам доручає обробку даних інша особа, ви будете розпорядником (оператором) даних, діючи відповідно до інструкцій власника даних.
  • чиї персональні дані ви опрацьовуєте – резидентів України чи осіб, які проживають в інших юрисдикціях, наприклад, у ЄС? Чи передбачається обробка персональних даних малолітніх чи неповнолітніх осіб? Як ви отримуєте персональні дані - безпосередньо від особи, чиї дані ви обробляєте чи іншим способом?
  • які персональні дані ви використовуєте, зокрема, чи використовуєте ви "чутливі" персональні дані (наприклад, дані про здоров'я)? Чи виправдано такий обсяг обробки даних? Зауважимо, що як регулювання ЄС, так і українське законодавство визнає принцип мінімізації даних, за яким слід уникати надмірного використання даних, тобто такого використання, яке не потрібне для певних цілей.
  • яка основна та додаткова мета використання даних? Чи є реальна ймовірність, що ви використовуватимете ці дані для інших цілей у майбутньому?
  • хто у вашій організації має доступ до персональних даних та з якою метою? Чи плануєте ви передавати ці дані іншим особам (в Україні та за кордоном)? Якщо так, з якою метою?
  • як ви плануєте зберігати персональні дані (фізично чи електронно) та протягом якого терміну? Як ви плануєте захищати дані від втрати? Хто контролюватиме належну обробку даних усередині організації?
     

Відповіді ці питання (по кожному процесу обробки даних) доцільно задокументувати. Ви можете це зробити у вигляді реєстру (за аналогією до реєстру діяльності з обробки даних, який організації з ЄС повинні вести відповідно до GDPR) або іншим схожим документом (наприклад, data inventory або data mapping). Шаблони таких реєстрів (у форматі таблиць) можна знайти на веб-сайтах місцевих регуляторів із ЄС. Альтернативно можна використовувати програмне забезпечення, розроблене для опису обробки даних.

Виконання цієї вправи дозволить зрозуміти поточний стан справ у межах організації та визначити подальші кроки. Так, ви зможете накласти на ці процеси застосовні законодавчі вимоги, оцінити ступінь дотримання законодавства та виділити наявні прогалини (gap analysis). Після цього ви зможете провести роботу з вирішення таких проблем для мінімізації ризиків порушення законодавства та суміжних репутаційних ризиків.

Збір даних: законність та прозорість

Законність

Центральною законодавчою вимогою у сфері захисту персональних даних є законність опрацювання. Вона передбачає, кожен процес обробки даних здійснюється за наявності однієї чи кількох покладених підстав.

В Україні найбільш поширеними підставами у приватному секторі є згода особи, виконання обов'язку власника даних, передбаченого законом, та укладення та виконання правочину, стороною якого є особа, чиї дані ви опрацьовуєте. Кожна організація повинна оцінити можливість застосування тієї чи іншої підстави в кожному окремому випадку. Використання таких даних покладає на організацію додаткові обов'язки. 

Наприклад, передбачається більш вузький перелік підстав для обробки, а також - у певних випадках - обов'язок повідомити регулятор про використання таких даних і призначити відповідальну особу в рамках організації. З огляду на це, а також ризики, пов'язані з будь-яким можливим витоком даних, організації повинні попередньо оцінювати доцільність такої обробки.


Прозорість

Організації повинні забезпечити, щоб персональні дані оброблялися відкрито та прозоро. Відповідно, вони повідомляють особі, чиї дані використовуються, про основні аспекти такого використання – хто є власником даних, які дані використовуються та з якою метою, які особи мають права та кому можуть передаватися персональні дані. 

Така інформація повідомляється в момент збирання даних (якщо дані збираються безпосередньо у людини) або протягом 30 робочих днів з дати збирання даних (в інших випадках).Спосіб надання такої інформації визначається залежно від процесу обробки даних і може відрізнятися, наприклад, у разі рекрутингу та електронної комерції.


Використання та захист персональних даних: на що звернути увагу

Обмеження мети та обсягу обробки

Організація може використовувати персональні дані в межах, дозволених відповідною основою обробки. Так, особа дає свою згоду на обробку даних у чітко встановлених межах, де визначаються обсяг та мета обробки. 

При цьому якщо в певний момент в організації змінюється мета обробки і така мета несумісна з попередньою метою (наприклад, дані збиралися для рекрутингу, а надалі використовуються для маркетингу), подальша обробка вимагає повторної згоди такої особи або наявності іншої підстави для обробки.


Зобов'язання працівників

Виділивши власні процеси обробки даних, організація визначає працівників, які мають доступ до персональних даних. Важливо, щоб такий доступ надавалися саме для виконання професійних чи трудових обов'язків працівника (а не, наприклад, усім працівникам незалежно від їхньої функції в організації). 

Такі працівники повинні не розголошувати персональні дані. Зобов'язання про нерозголошення зазвичай включається до письмового трудового договору (якщо такий є) або до окремої угоди про нерозголошення.


Зберігання та захист даних

Важливим аспектом роботи з персональними даними є визначення термінів зберігання даних, а також захист останніх. Законодавство значною мірою залишає це питання на розсуд організації, встановлюючи лише загальні правила.

Так, обробка даних має проводитися не довше, ніж це необхідно для законних цілей, у яких такі дані збиралися.

При цьому допускається подальша обробка, серед іншого, статистичних цілях. На практиці організації самостійно вирішують це питання з урахуванням наступного:

  • термін зберігання документа, в якому містяться персональні дані, згідно з правилами документообігу;
  • волевиявлення особи, чиї дані використовуються (наприклад, особа може заперечувати проти обробки чи вимагати знищення даних); 
  • досягнення мети обробки даних.

У разі захисту даних, організації вправі самостійно визначити технічні та організаційні заходи. Це може включати проведення внутрішніх тренінгів, впровадження процедур доступу до даних і т.д. Головне, щоб такі заходи були достатніми для запобігання втраті даних.

Конкретні підходи щодо термінів зберігання та захисту персональних даних доцільно задокументувати у внутрішніх політиках. Наприклад, у політиці зберігання даних (data retention policy) організації визначають як термін зберігання (або загальний підхід до визначення термінів зберігання), так і дії організації після закінчення термінів (наприклад, знищення або анонімізація даних).


Передача персональних даних

Підстава передачі

Будь-яка робота з персональними даними передбачає, що організація має належну підставу, що дозволяє вчинення відповідних дій із даними. Це також стосується передачі даних іншим особам. Відповідно, якщо організація покладається на згоду особи, чиї дані вона планує передати, необхідно, щоб отримана згода також допускала можливість такої передачі.

Окремо слід звертати увагу на передачу персональних даних з України до тих країн, які не визнаються нашою державою як такі, що забезпечують належний захист даних. У цьому випадку передача допускається при виконанні однієї з додаткових умов (наприклад, наявність однозначної згоди особи на таку передачу).


Документація

Коли організація вирішує доручити обробку персональних даних третій особі (наприклад, підряднику), необхідно, щоб між організацією та такою третьою особою був письмовий договір, в якому визначаються обсяг та мета обробки даних. Додаткові договірні умови визначаються на розсуд сторін.

При цьому сьогодні в Україні відсутній обов'язок укладати в такому разі окремий договір про обробку даних (на зразок data processing agreement в ЄС). 

Достатньо врегулювати питання обробки даних у чинному письмовому договорі з третьою особою. Щоправда, якщо залучення третя особа до роботи з персональними даними суттєво, доцільно розглянути комплексніший підхід до документування відносин між сторонами.

Як здійснювати фіскалізацію платежу при різних способах розрахунку (готівковий та безготівковий)

Процеси обробки персональних даних регулярно змінюються: одні втрачають актуальність, нові швидко виникають. Також виникають нові ринкові стандарти роботи з персональними даними, які з нового законодавства чи вимог іноземних контрагентів. Тому робота з персональними даними – це динаміка, потребує постійного контролю над внутрішніми практиками організації. 

Робота з даними – це також комплексність, оскільки стосується всього циклу життя даних у межах організації.Від первинного збору до остаточного знищення даних. Для забезпечення динаміки та комплексності цієї роботи необхідно реально оцінювати положення в рамках організації та оновлювати таку оцінку в міру появи нових процесів обробки даних. 

Паралельно з цим слід усувати виявлені недоліки та впроваджувати найкращі ринкові практики. Це дозволить не лише мінімізувати ризики порушення законодавства та репутаційні ризики, а й підготуватися до майбутніх євроінтеграційних змін та зміцнити довіру з боку осіб, які вирішили довірити організації свої дані.

 

Вперше швидкі банківські кредити для бізнесу онлайн

Подати заявку

Поставте своє запитання

Усі питання

Будьте завжди в курсі

Підпишіться й щотижня отримуйте на пошту свіжі статті про ведення бізнесу
і дайджест з новинами.

Підбірки