Захист персональних даних

Персональні дані (ПД) – нематеріальна цінність та благо, яке потрібно ретельно оберігати. Так само як гідність чи репутацію. Коли фізособа надає особисту інформацію будь-якій організації, потрібна впевненість: її телефон, номер банківської картки, ПІБ та інше не потраплять до сторонніх осіб. Організація повинна будь-яким способом забезпечити безпеку й конфіденційність, захист персональних даних. В інакшому випадку вона може отримати штраф, інше покарання за законом та недовіру клієнтів.

Захищати ПД зобов’язані всі організації, які збирають інформацію. Для цієї процедури створюється ряд документів. У них обумовлюється перелік відомостей, які можуть запитуватися й оброблятися, а також можливі дії з ними.

Компанія стає власником ПД, а фізособа, яка їх передає – суб’єктом. Останній має дати згоду на обробку, а власник повинен дотримуватись зобов’язання про нерозголошення персональних даних.

Фахівці патентно-юридичної компанії (ПЮК) СІОН допоможуть розробити документи, якими регламентуватиметься робота з ПД в організації. Ми знаємо вимоги до такої документації, маємо досвід її складання. Також за необхідності представимо в суді інтереси сторін.

Порядок обробки та захисту персональних даних

У розвинутих країнах на законодавчому рівні запроваджено спеціальні директиви. Документ, актуальний для ЄС – Загальний регламент захисту персональних даних (General Data Protection Regulation, чи GDPR). Він встановлює порядок в інформаційному світі. Закон містить низку принципів, на які можна спиратися компаніям, що проводять збір та обробку клієнтських відомостей. Це стосується усіх підприємств: офлайн (банки, клініки, магазини) та онлайн (інтернет-магазини, акції від брендів).

Основні принципи GDPR:

• Легальні підстави для збирання, чесність, відкритість під час використання.
• Обробка лише у тій мірі, що заявлена.
• Мінімізація збору (не потрібно вимагати зайве).
• Формулювання повинні бути точними, безпомилковими, не вводити в оману.
• Зберігання лише протягом обумовленого терміну, не довше.
• Конфіденційне та безпечне зберігання, без витоків.
• Призначення відповідальних за операції, документування.

Згідно із цими принципами та законодавством юрисдикції, компанії повинні складати документ, що описує порядок роботи з ПД, їх захист. У ньому прописується політика конфіденційності та перераховуються всі дії, які юрособа може вчиняти з інформацією.

Документ має бути складений прозоро та зрозуміло, щоб компанію не запідозрили у приховуванні й, тим гірше, у шахрайстві. Співробітники СІОН допоможуть юридично грамотно скласти положення про порядок роботи з ПД, щоб захистити інтереси компанії та не порушити інтереси фізосіб.

Захист персональних даних в інтернеті

В онлайн-середовищі принципи GDPR теж діють. Тільки знайти та покарати порушників в інтернеті набагато складніше. Щоб зберегти власну особистість, не передати інформацію про неї (та заодно про матеріальні активи) зловмисникам, треба бути втричі пильнішими. Особливу увагу слід приділити захисту таких відомостей:

• Логіни, паролі на сайтах;
• Apple ID, обліковий запис Google;
• Акаунти в соцмережах, онлайн-іграх;
• Номери та коди банківських карток, електронних гаманців.

В інтернеті радимо вдаватися до надійних технічних способів захисту. Це двофакторна автентифікація, використання ліцензійного програмного забезпечення, встановлення надійних паролів для доступу. А ще – уважність та грамотність.

В Україні діє кіберполіція, яка розслідує крадіжку відомостей в Інтернеті. Крім того, крадіжки з карток розслідують служби безпеки (СБ) банків. У деяких випадках вони повертають вкрадені гроші – головне, правильно скласти та подати звернення. Якщо вкрали особисті фото та розмістили на сторонньому сайті, є сенс звернутися до його власника із вимогою видалити.

Ми проконсультуємо щодо конкретного онлайн-порушення та підкажемо, що можна зробити – наприклад, чи є шанс розраховувати на відшкодування від банку. За необхідності, допоможемо скласти звернення до СБ фінорганізації, Держслужби з питань захисту персональних даних. Або до власника сайту, де неправомірно розмістили матеріали про вас.

Документи захисту персональних даних

Кожне підприємство самостійно формує порядок роботи із ПД клієнтів та працівників. Але загальна схема має відповідати принципам GDPR, вона практично завжди буде однаковою. Може передбачати такі документи:

• Політика конфіденційності. Програмний документ, який дає відомості про компанію, засоби обробки ПД, порядок доступу, посилання на законодавство.
• Порядок роботи з ПД (договір, угода). Повідомляє про включення відомостей до бази, вимагає згоди з їхньої обробки.
• Умови використання. Зазвичай це стосується правил користування сайтом або програмним продуктом.
• Положення про використання файлів cookie. Ці файли допомагають сайтам “запам’ятати” логін та пароль, налаштування тощо. На їх зберігання теж потрібна згода користувача.
• Публічний договір оферти. Пропозиція укласти електронний договір із необмеженою кількістю користувачів (наприклад, від сайту, що пропонує онлайн-послуги). Як звичайний паперовий договір прописує права та обов’язки сторін, умови надання послуг, відомості про продавця.

Іноді із цих документів роблять гібриди – наприклад, угоди про cookie розміщують у користувацькому договорі або навіть політиці конфіденційності. Наші фахівці допоможуть опрацювати кожен із видів документації.

Договір про обробку та захист персональних даних

Він може називатися по-різному: договір, повідомлення, згода, положення, правила тощо. Напевно, всі стикалися із такими договорами на сайтах: їх треба прочитати й поставити галочку про згоду на збір та обробку інформації. Документ зазвичай містить такі підрозділи:

• Цілі. Для чого відбувається збір – для реєстрації, розсилки електронною поштою, доставки товарів, клієнтської підтримки тощо.
• Розшифрування термінів. Наприклад, обробка – комплекс дій зі збирання, накопичення, зберігання, адаптації, оновлення, використання, передачі інформації.
• Види відомостей, що збираються (ПІБ, дата народження, телефон, e-mail, cookie, джерела входу на ресурс тощо).
• Спосіб зберігання. Зазвичай це електронні носії.
• Режим конфіденційності тощо.

Залежно від ступеня опрацювання документ може складатися із декількох абзаців або декількох сторінок тексту. Співробітники СІОН підкажуть, наскільки детальною має бути розробка, які пункти треба включити у документацію, розроблять сам договір.

Покарання за розголошення персональних даних в Україні

Законодавство, про захист персональних даних, в Україні діє з 2011 року. Воно знаходиться на шляху до принципів GDPR. Головні правила поводження з ПД викладено у ст. 32 Конституції України. Інші важливі документи – закони “Про захист персональних даних” від 01.06.2010 № 2297-VI, “Про інформацію” (ст. 23).

Відповідальність за персональні дані (їх поширення) передбачена адміністративна та кримінальна. Відповідно, це обумовлено ст. 188³⁹ Кодексу України про адміністративні правопорушення (КУпАП) та ст. 182 Кримінального кодексу України (ККУ). Залежно від складу, тяжкості порушення та інших моментів передбачені такі види відповідальності:

• Штрафи (застосовуються найчастіше);
• Виправні роботи;
• Арешт;
• Позбавлення волі.

Не вважатиметься порушенням поширення відомостей за згодою фізособи. Рекомендуємо уважно читати документи, які ви підписуєте. Також не забороняється розповсюджувати повідомлення про скоєні правопорушення та злочини, за це не притягають до відповідальності.

Штраф за розповсюдження персональних даних

Величина штрафів найчастіше прив’язується до розміру неоподатковуваного мінімуму доходів. У 2021 році він прив’язаний до твердого грошового еквіваленту 17 грн. Можливий розмір штрафів:

• За незаконне навмисне поширення ПД передбачається кримінальна відповідальність згідно зі ст. 182 ККУ. Передбачає штраф 500-1000 неоподатковуваних мінімумів (8 500-17 000 грн.).
• За недотримання порядку захисту особистих відомостей, внаслідок чого до них отримали доступ треті особи, передбачено адміністративну відповідальність за ст. 188³⁹ КУпАП. Передбачає штраф 100-500 неоподатковуваних мінімумів (1 700-8 500 грн.).

Фізособа у разі витоку інформації може звернутися до суду або до Уповноваженого ВРУ з прав людини (омбудсмена). Звернення треба подати протягом року після порушення. Після нього може бути ініційована позапланова перевірка підприємства, в результаті видається припис на виправлення, протокол про адмінпорушення або матеріали передаються до правоохоронних органів.

Обробка персональних даних без згоди суб’єкта

В українському законодавстві прописано, що обробка конфіденційної інформації (тобто будь-які дії, з нею пов’язані) не допускається без згоди фізособи. Ця згода має бути виявлена недвозначно та підтверджена дією – особистим підписом (на папері) або галочкою (в онлайн-анкеті).

Є низка випадків, коли можна не питати згоди суб’єкта ПД. Це можливо для дотримання:

• Нацбезпеки;
• Економічного добробуту;
• Прав людини.

По факту, несанкціонована робота із ПД іноді проводиться. Найпопулярніший варіант – якщо людина заборгувала перед мікрофінансовою організацією (МФО), остання продає борг колекторам. Вони отримують інформацію без згоди фізособи. Згідно із законом, згода на обробку не означає згоду на передачу відомостей стороннім.

Щоб мати можливість продати справу колекторам, МФО має прописати у договорі пункт про можливість передачі інформації про кредитора третім особам. Також організація зобов’язана підписати угоду з колекторською фірмою про стягнення заборгованості. Немає пункту, немає угоди – значить, тиск колекторів на боржника буде вважатися незаконним.

Персональні дані судова практика

Відповідальність за безпеку ПД несе власник бази. Від його сумлінності та вміння організувати процес буде залежати охорона особистих даних. Іноді приватні відомості крадуть, інколи їх розкриває сам власник бази. В Україні це найчастіше відбувається у випадку, якщо банки чи МФО передають матеріали про боржників колекторам.

Юристи боржників знають метод, як визнати договір між банком та колекторами недійсним. Підстава – передача клієнтських ПД третій стороні без дозволу. Це насправді працює. Так само можна вчинити, якщо колектори починають дзвонити родичам чи особам, зазначеним як поручителі.

Буває, що на схожі порушення суди реагують по-різному. У цьому випадку в якості доказу можна використовувати прецеденти (рішення по аналогічним справам) та докази щодо них. Наші адвокати представляють у суді інтереси осіб, які постраждали від неправомірної передачі їхньої особистої інформації. Вони знають і успішно використовують рішення щодо попередніх аналогічних справ.

Вартість розробки документації з захисту персональних даних

Одним із важливих напрямів діяльності СІОН є розробка документації, спрямованої на безпечну роботу з ПД клієнтів або власного персоналу. На замовлення компанії, з урахуванням її індивідуальних особливостей роботи, ми створимо політику конфіденційності, договір на обробку ПД. Для тих, хто надає онлайн-послуги, є власником сайту або програми, пропишемо порядок використання cookie та інші важливі моменти.

Ціна роботи залежатиме від переліку та обсягу документації, що розробляється. Ми допомагаємо обом сторонам угод, включаючи фізосіб. Якщо щодо останніх є порушення, юристи та адвокати СІОН допоможуть їх урегулювати досудовими чи судовими методами. Вони прийдуть на допомогу, якщо компанію неправомірно звинувачують у поширенні конфіденційних відомостей. В усіх цих випадках без кваліфікованого фахівця складно буде досягти справедливості.

Кожен має право бути впевненим, що інформація про його особистість, життя, здоров’я та інші аспекти буде недоторканною. При цьому іноді виникають ситуації, коли ті чи інші відомості стають об’єктом адміністративного, чи кримінального правопорушення. Якщо ви зіткнулися зі подібним, будь ласка, напишіть нам на імейл: info@sion-ip.com