Обробка персональних даних в Україні: про що потрібно знати

У сучасному світі, де межі між онлайн та офлайн реальностями стираються, обробка персональних даних стає дедалі актуальнішою темою. Україна, як і багато інших країн, стикається з викликами регулювання цієї сфери відповідно до міжнародних стандартів та локальних потреб. Важливим аспектом захисту прав громадян є правове регулювання обробки їхніх персональних даних. На цьому тлі, вкрай важливо забезпечити, щоб усі процеси, пов'язані з обробкою персональних даних, здійснювалися з дотриманням встановлених законом вимог. Для цього універсальним інструментом буде готовий договір на обробку даних, який у разі потреби виручить вас.

Що таке персональні дані

Персональні дані — це інформація, яка безпосередньо асоціюється з конкретною особою, здатною бути ідентифікованою. До таких даних належить не тільки основна інформація, як-от ПІБ, дані про паспорт, дата і місце народження, житлові умови та інше, а й більш чутливі аспекти. До чутливих відомостей належать переконання особистого характеру, чи то релігійні, чи то політичні погляди, а також інформація щодо етнічної приналежності, медичних даних, сексуальних вподобань, наявності або відсутності судимостей та інші подібні дані.

Персональні дані: правовий бік

В Україні ключовим нормативним актом, що регламентує обробку та охорону особистих даних, є Закон України «Про захист персональних даних». Цей закон створює правову базу для захисту та обробки даних особистого характеру, метою якої є захист прав і свобод людини в контексті обробки її особистих даних. В його основі лежать принципи, такі як обов'язковість отримання дозволу від особи, чиї дані обробляються, заходи для забезпечення безпеки цих даних, а також надання права володільцям даних на доступ до їхньої персональної інформації та можливість вносити до неї виправлення або навіть вимагати її видалення. Закон встановлює права і зобов'язання як для індивідуумів, дані яких підлягають обробці, так і для операторів, які здійснюють цю обробку. Крім цього, передбачено створення спеціалізованого органу нагляду за дотриманням норм і правил, що стосуються обробки та захисту персональних даних.

Що належить до персональних даних, а що ні

Що є персональними даними

Основними ідентифікаторами, що дають змогу розпізнати індивіда, є:

• дані паспорта,
• відомості про банківський рахунок,
• ІПН,
• СНІЛС та інші.

Список персональних даних, що часто зустрічаються, включає:

• Повні ім'я, прізвище та по батькові
• Контакти: адреси проживання, телефони, електронні та поштові адреси
• Унікальні ідентифікатори: номер паспорта, ІПН, СНІЛС
• Дані про місцезнаходження: координати місця розташування
• Фінансова інформація: рахунки, номери карток, відомості про доходи та витрати
• Медичні дані: стан здоров'я, історія хвороб
• Відомості про професію та освіту
• Фотографії.

Що не є персональними даними

• Анонімна інформація: відомості, не прив'язані до певної особи
• Агреговані дані: узагальнена інформація, що не дає змоги ідентифікувати індивіда
• Загальні контакти організацій: email і телефони компаній, не асоційовані з конкретними людьми.

Хто збирає персональні дані і навіщо вони потрібні?

Різні організації та особи, включно з наступними категоріями, займаються збором і обробкою особистих даних:

• Технологічні гіганти на кшталт Google, Microsoft, Apple та Amazon;
• Платформи соціальних мереж, такі як Facebook, Instagram, Twitter і LinkedIn;
• Провайдери мобільного зв'язку та інтернет-сервіси, а також інші телекомунікаційні компанії;
• Виробники пристроїв і розробники платформ для інтернету речей, включно із системами для розумних будинків, розумними годинниками і фітнес-браслетами;
• Творці мобільних додатків, власники сайтів та інтернет-сервісів;
• Банки та фінансові установи;
• Страхові компанії;
• Організації охорони здоров'я;
• Мережі роздрібної торгівлі та багато інших.

Зазвичай згоду на використання особистих даних користувачі надають під час реєстрації в застосунку чи сервісі, укладення договору на надання послуг або навіть під час першого візиту на веб-сторінку (через повідомлення про використання файлів cookie). Особисті дані можуть бути передані під час встановлення додатків на смартфон, які запитують доступ до вашої геолокації, списку контактів або інших функцій пристрою.

Управління та захист особистих даних: ключові моменти

Обмеження щодо мети та обсягу використання даних

Організації можуть обробляти особисті дані відповідно до дозволених цілей обробки. Згоду на обробку даних надають у чітко визначених рамках, які уточнюють обсяг даних і мету їх використання. У разі зміни мети обробки на несумісну з початковою (наприклад, з метою найму на роботу на мету маркетингу), потрібне отримання нової згоди від суб'єкта даних або наявність іншої правової основи для обробки даних.

Відповідальність співробітників

Після визначення процедур обробки даних, організація повинна вказати співробітників, які матимуть доступ до особистих даних. Доступ повинен надаватися виключно для виконання службових обов'язків. Зазначені співробітники зобов'язані зберігати конфіденційність особистих даних. Таке зобов'язання зазвичай фіксується в трудовому договорі або спеціальній угоді про нерозголошення.

Зберігання та забезпечення безпеки даних

Визначення строків зберігання та заходів щодо забезпечення безпеки особистих даних є важливою частиною роботи з такими даними. Закон встановлює загальні принципи, залишаючи деталі на розсуд організацій. Слід обробляти дані не довше, ніж це потрібно для досягнення цілей їхнього збору, водночас можливе їхнє опрацювання для статистичних та інших цілей за дотримання умов. Важливо враховувати правила архівування документів, бажання суб'єкта даних і мету обробки при визначенні строків зберігання. Що стосується захисту даних, організаціям надається право самостійно обирати необхідні технічні та організаційні заходи захисту, включно з навчанням персоналу та процедурами контролю доступу. Рекомендується документувати підходи до зберігання та захисту даних у спеціальних внутрішніх політиках, наприклад, у політиці зі зберігання даних, де будуть зазначені як терміни зберігання, так і дії після їхнього закінчення (наприклад, видалення або анонімізація даних).

Персональні дані являють собою інформацію про фізичних осіб, яку збирають і аналізують як організації, так і приватні особи в інтернеті та поза ним. Ці дані можуть бути різних типів, включно з публічно доступними, чутливими, біометричними та іншими категоріями. Вони служать важливим ресурсом для аналітичної роботи з використанням технологій великих даних і подальшого застосування в рекламних і маркетингових цілях. Законодавче регулювання збору та обробки особистих даних здійснюється на рівні національного законодавства різних країн, як, наприклад, Закон «Про захист персональних даних» в Україні та Загальний регламент щодо захисту даних (GDPR) у Європейському Союзі. Крім того, багато компаній запроваджують власні заходи захисту даних своїх клієнтів, щоб запобігти несанкціонованому доступу до них з боку третіх осіб.