Персональні дані клієнтів: що це та як їх зберігати

Спочатку розберемося, що таке персональні дані. Це будь-яка інформація про людину, яку можна ідентифікувати. Ім’я, телефон та електронна пошта, вік, місце роботи, дохід, сімейний стан, відомості про стан здоров’я, навіть колір волосся дають змогу визначити конкретну особу. 

Зазвичай така інформація зберігається в базах даних.

Сучасні бази даних структуруються у сховищах за певною ознакою, пов'язані одна з одною та використовуються для задоволення тих чи інших потреб їх володільців. Таким чином бази даних мають дві функції ‒ збереження інформації та управління нею. 

Збирати персональні дані можуть державні органи, а також організації та підприємства. Перші використовують їх для надання послуг та контролю. Другі – виключно для надання послуг. 

Єдине, згідно з вимогами законодавства, зокрема Закону України «Про захист персональних даних» (далі ‒ ЗУ), організації та підприємства мають повідомити особу про збір персональних даних. Зокрема:

• про джерела збирання інформації та місцезнаходження її персональних даних; 
• мету оброблення даних, місце проживання (перебування) володільця чи розпорядника персональних даних;
• строк зберігання цих даних;
• умови надання доступу до персональних даних, зокрема інформацію щодо третіх осіб, яким передаються персональні дані;
• власні права: володілець зобов'язаний пояснити особі усі права, пов'язані з персональними даними. 

Зазвичай таку інформацію розміщують у публічній оферті підприємства. Або на окремій сторінці сайту, яка у своїй назві містить слово «конфіденційність» чи його англійський аналог privacy.

Які персональні дані про фізичну особу є таємницею

Юридична компанія Avitar пояснює, що на всі персональні дані поширюється дія зазначеного закону, тому вони є конфіденційними або ж вважаються інформацією з обмеженим доступом. Власники таких даних (фізична або юридична особа) повинні докласти належних зусиль для убезпечення витоку інформації та несанкціонованого доступу до неї.

Особливої уваги вимагають дані про здоров’я, сексуальну орієнтацію, політичні та релігійні погляди тощо, які прописані у статті 7 ЗУ.

Чи можна передавати персональні дані третім особам?

ЗУ «Про захист персональних даних» нарівні із Загальним регламентом про захист даних (GDPR), що діє в межах законодавства ЄС, визначає суворі критерії для передачі даних третім особам. 

Передача заборонена в усіх випадках, крім таких:

• передача даних необхідна для виконання угоди;
• суб’єкт персональних даних дав чітку згоду на передачу;
• передача даних є вимогою законодавства.

До того ж володілець персональних даних може передавати їх своїм розпорядникам на підставі письмового договору про оброблення даних.

Захист персональних баз даних та його регламентація державою

Головним нормативно-правовим актом, що регулює захист персональних баз даних є вищезгаданий закон. Частиною 1 статті 24 передбачено, що володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкової втрати або знищення, незаконного оброблення, у тому числі від незаконного знищення чи доступу до них. 

Крім цього, володілець персональних даних зобов’язаний повідомляти уповноваженого Верховної Ради України з прав людини про оброблення персональних даних, яке становить особливий ризик для прав і свобод людини, про передачу персональних даних третій особі та про кожну зміну відомостей.

Проте юристи компанії Avitar зауважують: володільці й розпорядники персональних даних не зобов’язані за законом повідомляти державні органи про витік даних. 

Які ж права щодо персональних даних має людина? 

Відповідно до статті 8 ЗУ (деякі пункти вже викладені вище):

• на доступ до своїх даних;
• на їх захист від незаконного оброблення та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним наданням, а також на захист від надання відомостей, що є неправдивими чи ганьблять честь, гідність і ділову репутацію особи;
• на захист від автоматизованого рішення, яке має для людини правові наслідки;
• особа повинна отримати відповідь, чи обробляються її персональні дані, а також одержати зміст цих даних не пізніше 30 календарних днів від надходження запиту, крім випадків, передбачених законом;
• може вносити застереження стосовно обмеження права на оброблення персональних даних під час надання згоди;
• відкликати згоду на таке оброблення;
• має знати алгоритм автоматичного оброблення персональних даних.

Право звернення до володільця

У випадку незаконного оброблення персональних даних та втручання в особисте життя, людина має право звернутися до володільця або розпорядника персональних даних із вмотивованою вимогою:

• заборонити оброблення її даних;
• у випадку неправдивості інформації внести зміни до своїх даних;
• вимагати їх видалення (знищення).

Якщо цю вимогу не буде виконано, можна звернутися до Уповноваженого Верховної Ради України з прав людини (неофіційна назва ‒ Омбудсман) або до суду, щоб оскаржити дії чи бездіяльність володільця (розпорядника) персональних даних. Саме Омбудсман контролює захист персональних даних: за зверненням особи він проводить перевірку, згодом складається відповідний акт, на підставі якого у випадку виявлення порушень робиться припис про їх усунення або протокол про адміністративне правопорушення.

Причини витоку персональних даних та органи контролю

Будь-який витік даних є похибкою в системі кібербезпеки компанії незалежно від того, що його спричинило: дії, пов'язані з мережею Інтернет чи хмарними сервісами, або ж фізичне втручання. 

Найпоширеніші причини:

• слабкі чи вкрадені облікові дані;
• уразливість додатків;
• шкідливе ПО;
• шкідливі інсайдери;
• внутрішня помилка системи.

Частина цих проблем вирішується внутрішньою політикою, яка пояснює вимоги і правила поводження з даними.

Оперативно реагувати на витік персональних даних зобов’язаний його володілець. Та якщо цього не відбувається, звертайтеся до Офісу Омбудсмана України ‒ він регулює ці питання. У разі витоку даних компанію-володільця очікує перевірка і штраф.

Відповідальність за витік або незаконну передачу персональних даних

Юристи Avitar також пояснюють: законодавством передбачена кримінальна відповідальність за дії, що стосуються персональних даних. Зокрема:

• стаття 132. Розголошення відомостей про проведення медичного огляду на виявлення зараження вірусом імунодефіциту людини чи іншої невиліковної інфекційної хвороби;
• стаття 145. Незаконне розголошення лікарської таємниці;
• стаття 168. Розголошення таємниці усиновлення (удочеріння);
• стаття 232. Розголошення комерційної або банківської таємниці.

Згідно зі статтею 188-39 Кодексу України про адміністративні правопорушення володілець несе адміністративну відповідальність за порушення законодавства щодо захисту персональних даних, а саме:

• за неповідомлення або несвоєчасне повідомлення Омбудсмана про оброблення персональних даних або про зміну відомостей, а також за повідомлення неповних чи неправдивих відомостей;
• невиконання вимог (приписів) Омбудсмана щодо запобігання або усунення порушень законодавства про захист персональних даних;
• недодержання порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних.

Загальним регламентом про захист даних, що діє на території ЄС, залежно від виду порушення (стосується персональних даних резидентів) передбачена відповідальність у вигляді штрафів:

• до €10 млн або до 2 % щорічного світового обороту за попередній фінансовий рік для підприємств залежно від того, який показник більший; 
• до €20 млн або 4 % від річного світового обороту за попередній фінансовий рік для підприємств.

Нове у галузі персональних даних: досвід ЄС 

Зараз в українському законодавстві готуються зміни, які базуються на європейському документі, Загальному регламенті про захист даних (GDPR), щоб підвищити стандарти захисту даних і спростити взаємодію з бізнесом. 

У роботі наразі перебувають три версії законопроєкту, один з них підтримує ЄС. Проте фінальної версії, на яку можна опиратися для проведення аналізу, поки не опубліковано.