Обработка персональных данных в Украине: правовые аспекты

05 июня 2024

Системы искусственного интеллекта и потенциальное принятие AI Act. Очень большие онлайн-платформы (VLOPs) и вступление в силу Digital Markets Act. И, конечно, Общий регламент о защите данных (GDPR), который после вступления в силу в 2018 году продолжает влиять на организации во всем мире. Не в последнюю очередь благодаря своему экстерриториальному действию.

Украина отстает от упомянутых тенденций регулирования. Закон Украины "О защите персональных данных" был принят более 10 лет назад для имплементации Директивы 95/46 (на сегодняшний день потеряла актуальность) и существенно не пересматривался. Потребность изменить действующую регулировку является насущной. 

Это необходимо для членства в ЕС и интеграции в Единый цифровой рынок в частности. Эту потребность видит и парламент. Долгое время ведется работа над соответствующим законопроектом (№8153), который призван имплементировать требования GDPR. Недавно этот законопроект был внесен в повестку одиннадцатой сессии Верховной Рады. Поэтому целесообразно следить за дальнейшими шагами по этому вопросу.

Пока рынок ждет новых правил игры в сфере защиты персональных данных, организации налаживают свои процессы, руководствуясь действующим законодательством. При этом, как мы видим на практике, они также пытаются учитывать лучшие международные практики для готовности к будущим изменениям и, где это необходимо, внедрение требований своих контрагентов, в частности, с ЕС.Ниже рассмотрим основные правовые аспекты работы с персональными данными в Украине, вытекающие из текущего регулирования.

Начните с почему

Перед тем, как определить применимые законодательные требования, целесообразно выделить список ваших процессов, связанных с использованием персональных данных (например, рекрутинг, маркетинг и т.п.). После этого попытайтесь ответить на несколько основных вопросов:

• какова роль вашей организации в этом процессе? Да, если вы определяете цель и объем обработки данных, вы действуете как владелец (контролер) данных и несете основную ответственность за соблюдение законодательства. Если вам поручает обработку данных другое лицо, вы будете распорядителем (оператором) данных, действуя в соответствии с инструкциями владельца данных.
• чьи персональные данные вы обрабатываете – резидентов Украины или лиц, проживающих в других юрисдикциях, например в ЕС? Предусматривается ли обработка персональных данных малолетних или несовершеннолетних лиц? Как вы получаете персональные данные - напрямую от лица, чьи данные вы обрабатываете или другим способом?
• какие персональные данные вы используете, в частности используете ли вы "чувствительные" персональные данные (например, данные о здоровье)? Оправдан ли такой объем обработки данных? Обратим внимание, что как регулирование ЕС, так и украинское законодательство признает принцип минимизации данных, по которому следует избегать чрезмерного использования данных, то есть такого использования, которое не необходимо для определенных целей.
• какова основная и дополнительная цель использования данных? Есть ли реальная вероятность, что вы будете использовать эти данные для других целей в будущем?
• кто в вашей организации имеет доступ к персональным данным и с какой целью? Планируете ли вы передавать эти данные другим лицам (в Украине и за границей)? Если да, с какой целью?
• как вы планируете хранить персональные данные (физически или электронно) и в течение какого срока? Как вы планируете защищать данные от потери? Кто будет контролировать надлежащую обработку данных внутри организации?
   

Ответы на эти вопросы (по каждому процессу обработки данных) целесообразно задокументировать. Вы можете это сделать в виде реестра (по аналогии с реестром деятельности по обработке данных, который организации с ЕС должны вести в соответствии с GDPR) или другим похожим документом (например, data inventory или data mapping). 

Шаблоны таких реестров (в формате таблиц) можно найти на веб-сайтах местных регуляторов из ЕС. Альтернативно можно использовать программное обеспечение, разработанное для описания процессов обработки данных.

Выполнение данного упражнения позволит понять текущее положение дел в рамках организации и определить дальнейшие шаги. Да, вы сможете наложить на эти процессы применимые законодательные требования, оценить степень соблюдения законодательства и выделить имеющиеся пробелы (gap analysis). После этого вы сможете провести работу по решению таких проблем для минимизации рисков нарушения законодательства и смежных репутационных рисков.

Сбор данных: законность и прозрачность

Законность

Центральным законодательным требованием в сфере защиты персональных данных является законность обработки. Она предполагает, что каждый процесс обработки данных осуществляется при наличии одного или нескольких положенных оснований. 

В Украине наиболее распространенными основаниями в частном секторе является согласие лица, исполнение обязанности владельца данных, предусмотренного законом, и заключение и исполнение сделки, стороной которой является лицо, чьи данные вы обрабатываете. 

Каждая организация должна оценить возможность применения того или иного основания в каждом частном случае. Отдельный важный аспект – это сбор "чувствительных" персональных данных (данных, обработка которых представляет особый риск для прав и свобод субъектов), включающий данные о здоровье и биометрических данных. Использование таких данных возлагает на организацию дополнительные обязанности. 

Например, предполагается более узкий перечень оснований для обработки, а также - в определенных случаях - обязанность сообщить регулятору об использовании таких данных и назначить ответственное лицо в рамках организации. Учитывая это, а также риски, связанные с любой возможной утечкой данных, организации должны предварительно оценивать целесообразность такой обработки.

Прозрачность

Организации должны обеспечить, чтобы персональные данные обрабатывались открыто и прозрачно. Соответственно, они сообщают лицу, чьи данные используются, об основных аспектах такого использования - кто является владельцем данных, какие данные используются и с какой целью, какие лица имеют права и кому могут передаваться персональные данные. 

Такая информация сообщается в момент сбора данных (если данные собираются непосредственно у человека) или в течение 30 рабочих дней с даты сбора данных (в других случаях). Способ предоставления такой информации определяется в зависимости от процесса обработки данных и может отличаться, например, в случае рекрутинга и электронной коммерции.

 

Использование и защита персональных данных: на что обратить внимание

Ограничение цели и объема обработки

Организация может использовать персональные данные в пределах, разрешенных соответствующим основанием для обработки. Так, лицо дает свое согласие на обработку данных в четко установленных пределах, где определяются объем и цель обработки. При этом, если в определенный момент в организации изменяется цель обработки и такая цель несовместима с предыдущей целью (например, данные собирались для рекрутинга, а в дальнейшем используются для маркетинга), последующая обработка требует повторного согласия такого лица или наличия другого основания для обработки.

Обязательство работников

Выделив собственные процессы обработки данных, организация определяет работников, имеющих доступ к персональным данным. Важно, чтобы такой доступ предоставлялся именно для выполнения профессиональных или трудовых обязанностей работника (а не, например, всем работникам независимо от их функции в организации). 

Такие работники обязаны не разглашать персональные данные. Обязательство о неразглашении обычно включается в письменный трудовой договор (если таковой есть) или в отдельное соглашение о неразглашении.

Хранение и защита данных

Важным аспектом работы с персональными данными является определение сроков хранения данных, а также защита последних. Законодательство в значительной степени оставляет этот вопрос по усмотрению организации, устанавливая только общие правила.

Так, обработка данных должна производиться не дольше, чем это необходимо для законных целей, в которых такие данные собирались. При этом допускается дальнейшая обработка в, среди прочего, статистических целях. На практике организации самостоятельно решают этот вопрос с учетом следующего:

• сроки хранения документа, в котором содержатся персональные данные, согласно правилам документооборота;
• волеизъявление лица, чьи данные используются (например, лицо может возражать против обработки или требовать уничтожения данных); 
• достижение цели обработки данных.

В случае защиты данных, организации вправе без помощи других найти технические и организационные мероприятия. Это может включать в себя проведение внутренних тренингов, внедрение процедур доступа к данным и т.д. Главное, чтобы такие меры были достаточными для предотвращения потери данных.

Конкретные подходы к срокам хранения и защиты персональных данных целесообразно задокументировать во внутренних политиках. Например, в политике хранения данных (data retention policy) организации определяют как сроки хранения (или общий подход к определению сроков хранения), так и действия организации по окончании сроков (например, уничтожение или анонимизация данных).

Передача персональных данных

Основание передачи

Любая работа с персональными данными предполагает, что у организации есть надлежащее основание, разрешающее совершение соответствующих действий с данными. Это также относится к передаче данных другим лицам. Соответственно, если организация возлагается на согласие лица, чьи данные он планирует передать, необходимо, чтобы полученное согласие также допускало возможность такой передачи.

Отдельно следует обращать внимание на передачу персональных данных из Украины в те страны, которые не признаются нашим государством как обеспечивающие надлежащую защиту данных. В этом случае передача допускается при выполнении одного из дополнительных условий (например, наличие однозначного согласия лица на такую ​​передачу).

Документация

Когда организация решает поручить обработку персональных данных третьему лицу (например, подрядчику), необходимо, чтобы между организацией и таким третьим лицом был письменный договор, в котором определяются объем и цель обработки данных. Дополнительные договорные условия определяются по усмотрению сторон.

При этом сегодня в Украине отсутствует обязанность заключать в таком случае отдельный договор об обработке данных (по образцу data processing agreement в ЕС). 

Достаточно урегулировать вопрос обработки данных в действующем письменном договоре с третьим лицом. Правда, если привлечение третьего лица к работе с персональными данными существенно, целесообразно рассмотреть более комплексный подход к документированию отношений между сторонами.

Как осуществлять фискализацию платежа при разных способах расчета (наличный и безналичный)

Процессы обработки персональных данных регулярно изменяются: одни теряют актуальность, новые быстро возникают. Также возникают новые рыночные стандарты работы с персональными данными, вытекающие из нового законодательства или требований иностранных контрагентов. 

Поэтому работа с персональными данными – это всегда динамика, требующая постоянного контроля за внутренними практиками организации. Работа с данными – это также о комплексности, поскольку касается всего цикла жизни данных в пределах организации. 

От первоначального сбора до окончательного уничтожения данных.Для обеспечения динамики и комплексности этой работы необходимо реально оценивать положение в рамках организации и обновлять такую ​​оценку по мере появления новых процессов обработки данных. 

Параллельно с этим следует устранять выявленные недостатки и внедрять лучшие рыночные практики. Это позволит не только минимизировать риски нарушения законодательства и репутационные риски, но и подготовиться к будущим евроинтеграционным изменениям и укрепить доверие со стороны лиц, решивших доверить организации свои данные.