Джерело: LIGA ZAKON
У бізнес-середовищі так склалося, що коли йдеться про роботу з персональними даними, перше, що спадає на думку, це GDPR (Загальний регламент щодо захисту даних) та комплаєнс з його положеннями. Компанії, діяльність яких зосереджена виключно на українському ринку, впевнено заявляють, що на них дія GDPR не поширюється, тому вони не впроваджували функцію захисту персональних даних у своїй діяльності. Так, сучасне українське законодавство поступається нормам ЄС у регулюванні процесів обробки персональних даних, але це не означає, що воно не містить вимоги на національному рівні.
Зазвичай порушення або певні невідповідності виявляються під час аудиту, комплаєнс-перевірки або комплексного дослідження (наприклад, в межах передінвестиційної перевірки). Нижче наведені порушення законодавства про захист персональних даних, які доволі часто зустрічаються на практиці.
Неповідомлення про обробку «чутливих» персональних даних
Якщо компанія здійснює обробку даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних (так званих «чутливих» персональних даних), на неї покладаються обов’язки щодо посиленого контролю за такою обробкою та захистом даних в цілому. Здебільшого це стосується компаній, які здійснюють діяльність у сфері банківської діяльності та діяльності фінансових установ, страхування, медичній сфері, надання освітніх послуг тощо. Однак може стосуватися і суб’єкта з іншої сфери, якщо він обробляє «чутливі» персональні дані (наприклад, в процесі зчитування QR-коду фізичною особою формується інформація про її місцеперебування, що також належить до категорії «чутливих» даних). У такому випадку відповідно до Закону України «Про захист персональних даних» («Закону») компанія має надати Уповноваженому Верховної Ради України з прав людини («Омбудсмену») інформацію про:
- здійснення обробки «чутливих» персональних даних (зокрема відомості про володільця і розпорядника персональних даних, склад даних, мету їхньої обробки, категорії суб’єктів персональних даних, транскордонну передачу тощо) (ст. 9 Закону), та
- структурний підрозділ або особу, відповідальну в компанії за організацію роботи із захисту персональних даних при їх обробці (ст. 24 Закону).
Саме ці положення законодавства зазвичай залишаються поза увагою володільців персональних даних. Як наслідок, неповідомлення або несвоєчасне повідомлення Омбудсмена може стати підставою притягнення до адміністративної відповідальності (ст. 188-39 КУАП).
Транскордонна передача
Сьогодні важко уявити, щоб бізнес хоча б іноді не стикався з передачею персональних даних за межі України. Корпоративне структурування в різних юрисдикціях, дистанційний характер праці, залучення підрядників з усього світу – все це сприяє глобальному обміну персональними даними. Однак, варто пам’ятати, що Закон встановлює певні правила, яких треба дотримуватися під час транскордонної передачі даних.
Так, передача персональних даних за межі України може здійснюватися лише за умови забезпечення державою, яка їх отримує, належного захисту таких даних. За Законом до таких держав належать держави-учасниці Європейського економічного простору та держави, які підписали Конвенцію 108). Окрім цього, Кабінет Міністрів України має право визначати країни, що забезпечують належний захист персональних даних. Наразі відповідне рішення наявне лише щодо країн, до яких дозволена або заборонена передача персональних даних з Єдиного державного вебпорталу електронних послуг. Загальний перелік країн з адекватним рівнем захисту персональних даних відсутній.
Якщо ж країна, до якої планується передача даних, не відноситься до вищезазначених, то така передача може бути здійснена, зокрема, у разі наявності однозначної згоди суб’єкта персональних даних або інших підстав, передбачених ст. 29 Закону.
Окрім цього, на практиці все частіше зустрічаються випадки, коли афілійовані компанії з різних юрисдикцій здійснюють обмін персональними даними в межах однієї групи компаній. І якщо з точки зору компаній цей обмін виглядає як «внутрішній», оскільки передається «між своїми», то з точки зору законодавства це трактується як передача персональних даних іноземному суб’єкту і, відповідно, мають бути дотримані умови такої передачі.
Порушення строків зберігання
Закон встановлює, що персональні дані підлягають видаленню або знищенню, зокрема, у разі закінчення строку їх зберігання, визначеного згодою суб'єкта на обробку цих даних або законом. І якщо в частині законодавчих вимог все зрозуміло (наприклад, строк зберігання документів з кадрових питань працівників визначається Наказом Мін’юсту №1000/5 від 18.06.2015 р.), то щодо іншої категорії, яка не охоплюється законодавством, у компаній виникають складнощі (наприклад, резюме кандидатів, які надалі не були прийняті на роботу).
Зазвичай труднощі з визначенням строків зберігання обумовлені неврегульованістю питань зберігання інформації на рівні внутрішніх нормативних актів (зокрема, відсутністю політики щодо зберігання та знищення персональних даних). Другою причиною, як правило, є недостатній контроль за реалізацією цих процесів та дотриманням внутрішніх правил. Тобто, навіть добре задокументована процедура обробки персональних даних на практиці може реалізовуватися інакше або не здійснюватися взагалі. Як наслідок, документи, які містять персональні дані, зберігаються необґрунтовано довго або взагалі безстроково, що порушує загальні вимоги до обробки персональних даних, передбачені ст. 6 Закону.
Неповідомлення суб’єкта про дії з персональними даними
На відміну від GDPR українське законодавство окремо не регламентує процедуру повідомлення суб’єктів персональних, якщо трапляється інцидент з їхніми даними (наприклад, у разі «витоку» персональних даних).
Водночас Закон покладає обов’язок на володільців персональних даних повідомити про дії з останніми, зокрема, про зміну, видалення, знищення або обмеження доступу до них. Тобто, якщо з персональними даними були вчинені зазначені дії (в тому числі несанкціоновані), то володілець має протягом 10 робочих днів повідомити про це суб’єкта персональних даних (ст. 21 Закону).
Окрім цього, за загальним правилом володілець має повідомити протягом 10 робочих днів суб’єкта про передачу персональних даних третій особі. В такому разі йдеться скоріше про свідому передачу даних, аніж про «витік» даних. Однак, випадкова передача даних теж буде охоплюватися цим положенням (наприклад, надіслання інформації на невірну електронну адресу).
Згода суб’єкта не завжди потрібна
На практиці існує думка, що для законної обробки персональних даних треба обов’язково отримати згоду фізичної особи. Це не зовсім вірно, оскільки згода суб’єкта персональних даних – це лише одна з шести можливих підстав для обробки даних. Іншими підставами, які можна використовувати у багатьох ситуаціях, є:
- укладення або виконання правочину, за участі фізичної особи або на її користь, а також вчинення дій, що передують укладенню правочину на вимогу цієї особи;
- необхідність виконання обов’язку володільця персональних даних, який передбачений законом (наприклад, обробка роботодавцем персональних даних своїх працівників та їхня подальша передача державним органам).
Додатково, під час дії воєнного стану все більш розповсюдженими стають такі підстави, як:
- захист життєво важливих інтересів суб’єкта персональних даних (наприклад, у разі необхідності надання екстреної медичної допомоги), та
- дозвіл на обробку персональних даних, наданий володільцю даних відповідно до закону виключно для здійснення його повноважень (наприклад, що стосується повноважень державних органів для забезпечення національної безпеки).
Варто враховувати, що підстави для обробки «чутливих» персональних даних відрізняються від загальних і мають свої особливості. Тому визначення коректної підстави для обробки персональних даних буде залежати від їхньої категорії (чи належать вони до «чутливих») та безпосередньо мети обробки.
Що робити у разі виявлення порушення?
Вищезазначені порушення хоча й можуть бути усунені швидко, але, як правило, є лише «верхівкою айсберга» і свідчать про існування інших проблем на рівні побудови внутрішніх процесів компанії. У такому випадку доцільним є проведення аудиту всіх внутрішніх процесів, що стосуються обробки та захисту персональних даних (від моменту їхнього збору і до знищення).
Не варто також забувати, що на розгляді парламенту перебуває Проєкт Закону № 8153 від 25 жовтня 2022 року, який має на меті узгодити законодавство України з правовими нормами ЄС. Документ передбачає істотні зміни щодо розподілу прав і обов’язків володільця (контролера) та розпорядника (оператора) персональних даних, підстав та порядку здійснення транскордонної передачі персональних даних, обов’язків та алгоритму дій у разі витоку персональних даних та, зокрема, посилення відповідальності за порушення законодавства у сфері захисту персональних даних тощо.
Очікується, що даний проєкт закону має бути прийнятий найближчим часом. Тому, зараз у компаній є можливість провести превентивний аудит внутрішніх процесів з обробки і захисту персональних даних і підготуватися до майбутніх законодавчих змін.
Аліна Січкар, старша юристка KPMG в Україні