Защита персональных данных в мире и в Украине приобретает важное значение как для бизнеса, так и для просто физических лиц. Информатизация общества дает возможность четче отслеживать на каком этапе, кто и где нарушает правила в сфере защиты персональных данных (далее – "ПД").
По общему правилу согласно ч. 6 ст. 6 профильного Закона Украины «О защите персональных данных» не допускается обработка данных о физическом лице, которые являются конфиденциальной информацией, без его согласия. Как указывают адвокаты юридической компании Альва Прайвеси, – исключение составляют лишь случаи, определенные законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
Ни упомянутый профильный закон, ни подзаконные акты к нему не содержат исчерпывающего перечня сведений, которые относятся к персональным данным. Но есть ориентировочный перечень персональных данных, которые определил Конституционный Суд Украины. Согласно решению КСУ от 20.01.2012 г. №2рп/2012 к ПД в первую очередь относят: национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, материальное положение, адрес, дата и место рождения, место жительства и пребывания, а также сведения о событиях и явлениях, происходивших или происходящих в бытовой, интимной, профессиональной, деловой и других сферах жизни человека.
Что такое GDPR и его применение украинскими предприятиями?
С мая 2018 года действует GDPR (General Data Protection Regulation) - Общий регламент о защите данных. Пока бизнес разбирался с этой аббревиатурой, французский регулятор CNIL в конце 2018 года наложил на компанию Google штраф в 50 миллионов евро.
Хотя данный документ принадлежит Европейскому Союзу, однако положения GDPR широкие к применению и касаются большинства компаний Украины. Текст GDPR достаточно сложный в прочтении, поэтому специалисты ALVA PRIVACY Law Firm объяснят на примерах.
EDPB (European Data Protection Supervisor – Европейский инспектор по защите данных) объясняет, что юридического значения место обработки персональных данных не имеет, так же как и место пребывания субъектов данных или их гражданство.
Примеры применения GDPR украинскими компаниями:
- Например, если турист из Польши обратится за услугами в украинскую компанию, которая ведет хозяйственную деятельность только на территории Украины, то эта компания не будет обязана подчиняться GDPR.
- Или другой пример – компания, зарегистрированная на территории ЕС, которая осуществляет обработку данных украинских пользователей в Южной Корее, должна подчиняться GDPR. Это обусловлено тем, что она зарегистрирована в ЕС.
- Еще одна фабула – частное спортивное учреждение (клуб) "Фактор" (название выдумано) находится и зарегистрировано, к примеру, в Чернигове. "Фактор" больше всего посещают итальянцы, которые живут и работают в Чернигове. Исходя из этого, клуб делает рекламу на итальянском языке в соцсетях таргетировано под эту же целевую аудиторию. Заведение активно рекламирует свои услуги на итальянском языке в интернете для пользователей, которые находятся в Украине. Сайт спортивного клуба предложен на украинском, английском и итальянском языках. Такой спортивный клуб не подпадает под регулирование GDPR, поскольку оно не имеет учреждения на территории ЕС, не направляет свои услуги на физических лиц на территории ЕС. Сам по себе факт наличия итальянской версии сайта или рекламы в Украине для итальянцев не имеет юридических последствий в плане GDPR.
- И еще один случай – узкоспециализированная украинская консалтинговая компания, которая находиться во Львове, сопровождает дела, предоставляет юридические консультации и поддержку украинцам, которые живут в Словении. Их официальный сайт доступен лишь на украинском языке, под доменом «.ua». Компания собирает (по добровольному согласию клиентов) и обрабатывает персональные данные о своих клиентах, которые предоставляются и необходимы ей для работы по вопросам украинцев в Словении. Все расчеты ведутся официально в гривнах. В этом случае факта, что компания предлагает и предоставляет услуги физическим лицам на территории ЕС (их официальное место регистрации может не иметь значения), достаточно чтобы компания была на контроле в GDPR.
То есть, это целая задача для украинского предприятия – определить свою принадлежность или не принадлежность к регулированию GDPR. Только после полного анализа деятельности предприятия по GDPR можно определить эту принадлежность и разработать план действий для соответствия регламенту.
Но в целом все компании, которые имеют хоть какие-то данные с иностранным элементом, уже должны подогнать работу с персональными данными на своем предприятии не только под национальные нормы, но и международные.
Ответственность за нарушения в сфере персональных данных
В соответствии со ст. 188-39 КУоАП штраф за нарушение законодательства в сфере защиты персональных данных может достигать 34000 гривен.
Согласно ст. 188 УК Украины за нарушение неприкосновенности частной жизни, которое включает в себя нарушения в сфере ПД, в уголовных делах максимальной санкцией является лишение свободы на 5 лет.
Случаев привлечения к ответственности за нарушения сбора, хранения и использования ПД пока немного, но юристы уже приобретают отдельную специализацию в этой относительно новой отрасли.
Также в Украине действует институт Уполномоченного Верховной Рады по правам человека, который имеет право проводить на основании обращений или по собственной инициативе выездные и невыездные, плановые, внеплановые проверки владельцев или распорядителей ПД. Руководствуется он при этом специальным Порядком от 08.01.2014 г. №1/02-14. Активизация государственных органов (видимая или реальная) может усилить работу и этого института власти для подтверждения евроинтеграционных процессов.
Обеспечение законности
В интересах предприятия, в том числе которое находится в роли работодателя, сделать законным сбор, хранение, обработку и использование ПД потенциальных, существующих и бывших сотрудников.
Более того, некорректное обеспечение защиты ПД сотрудников, клиентов и партнеров предприятия однозначно влияет и на репутацию компании, поскольку контрагенты будут определять ее как ненадежного партнера, который не может толком и законно защищать ПД работников, клиентов и т.п.
Законная работа с персональными данными (пример)
Начать нужно с профессионального анализа соответствия уже сложившейся ситуации в компании и определения как исправить существующие нарушения. Каждый субъект индивидуален, но здесь адвокаты ALVA PRIVACY рассмотрят общие рекомендации по соблюдению законной работы с ПД для компании с электронным интерфейсом предоставления услуг – информационный ресурс для зарегистрированных пользователей:
- сбор ПД должен происходить по персональному согласию физического лица-пользователя с условиями использования сайта во время регистрации на этом ресурсе. Если вносятся изменения в условия, то необходимо оповещать пользователей, актуализировать эту информацию на сайте, указывая дату последнего изменения;
- сбор ПД осуществляется исключительно в целях обеспечения безопасной работы сервиса, для связи с клиентом и предоставления услуг, которые предлагаются. Недопустимо собирать данные, если они не нужны сервису в работе (лишние). Для этого примера достаточно таких данных: данные аккаунта, электронная почта (обязательно), имя, номер телефона, ссылка на соцсеть (факультативно), а также автоматически формируется онлайн идентификация – геолокация, вид устройства, IP-адрес;
- отчет о полученной личной информации должен отображаться в личном кабинете или аккаунте пользователя. Пользователь, конечно, должен иметь возможность изменить или удалить данные о себе;
- информация о пользователях и их личные данные оптимально сохранять по принципу «жизни пользователя» (throughout the lifetime), то есть на все время пользования сайтом этим пользователем;
- банковские и платежные данные клиента рекомендуем зашифровать платежным сервисом, сертификатом безопасности.
Мы привели образцовый (как пример, шаблон) и ориентировочный подход к сбору и защите ПД пользователей простого информационного портала (с какими-то платными функциями), к которому нужно стремиться, задействовав IT поддержку. Перед компанией стоит дополнительное задание разработать корректное техническое задание для программистов, ведь спрос будет не с них, а с руководства предприятия.
Как быть с персональными данными сотрудников?
Адвокатская фирма "Альва Прайвеси" работодателям рекомендует разрабатывать унифицированные положения о сборе, обработке и использовании ПД и знакомить с ними под подпись своих сотрудников. При приеме на работу новых сотрудников предоставлять под подпись им заявления о предоставлении ими согласия на обработку ПД, а также их письменное обязательство о неразглашении им ПД. Работающим уже сотрудникам следует тоже предоставить под подпись данные документы, если они были существенно изменены или если они вообще не подписывались такими сотрудниками ранее.
Такие заявления следует хранить в личных делах кадровой службы даже после их увольнения. Например, недовольный уволенный бывший сотрудник, как минимум, не сможет использовать против бывшего работодателя обвинения в незаконном хранении или использовании его ПД, если он сам дал на это согласие. Ведь, когда нет других зацепок за нарушения трудовых прав сотрудника, манипуляции с ПД могут быть тоже использованы.
Поэтому все положения и образцы (формы) заявлений должны быть актуально разработаны, обязательно должны быть учтены действие положений во времени и порядок хранения, использования ПД после увольнения работника.
Персональные данные: соискатели против работодателей
С резюме кандидатов на вакантные должности тоже нужно быть осторожными. Как правило, основные площадки поиска работы уже на стадии регистрации соискателя требуют у него согласия на обработку ПД. Но такие порталы в первую очередь страхуют себя, а не работодателя, которому в итоге попадает информация с ПД соискателя. Поэтому многие работодатели в своих объявлениях о вакансиях начали указывать требования о размещении в резюме согласия на обработку ПД соискателя, даже предоставляя текст такого заявления. Пока прецеденты споров между соискателями и работодателями в сфере ПД неизвестны, но ситуация может поменяться.
GDPR комплаенс – зачем и кому нужен?
Сложная аббревиатура GDPR касается многих украинских предприятий, ведь многие если и не работают еще с европейскими партнерами или клиентами, то, к примеру, уже нацелены на аудиторию ЕС. Штрафы за нарушение GDPR – до 20 миллионов евро – прямо указывают на серьезность этой темы для бизнеса.
GDPR комплаенс – совокупность мер и действий, нацеленных на соответствие этому регламенту.
GDPR-chek – это комплексная проверка предприятия на соответствие этому регламенту. По ее результатам и анализу формируется дальнейшая стратегия работы с ПД. Отметим, что здесь важна комплексность. Не получится вести бизнес по-европейски, если ПД клиентов сохранены по GDPR, а сотрудников – нет.
Большим компаниям рекомендуется создавать или формировать отделы по работе с GDPR из-за большого массива работы с ПД. Некрупные компании могут иметь ответственного за работу с ПД. Но это не может быть юрист, который все время работает с договорами, или кадровик, занятый больничными и отпусками, а «когда есть время» они что-то делают с ПД.
Cам GDPR – это 88 страниц сложного, терминологического текста, практика применения которого только формируется.
Все компании, которые уже за время действия GDPR получили штрафы, сформировали общую рекомендацию для тех, кто сомневается подпадают ли они под этот регламент или нет: необходимо обеспечить GDPR комплаенс такой организации.
Около 60 тыс. заявлений о нарушении GDPR уже было подано и около 100 штрафов выписано с момента вступления в силу Регламентом. Это значит, что далее можно ожидать повышенное внимание к новому европейского закону и еще больше судебных прецедентов.
Юридическое сопровождение бизнеса от Альва Прайвеси
Адвокаты и юристы Адвокатского объединения "АЛЬВА ПРАЙВЕСИ" имеют основательный опыт подготовки и полного юридического сопровождения документации предприятий по соблюдению законодательства в сфере защиты ПД. Наши специалисты готовят для бизнес-субъектов проекты согласий, обязательств сотрудников, клиентов и контрагентов на сбор и обработку их персональных данных, формы журналов регистрации обязательств о неразглашении персональных данных, разрабатывают положения об обработке и защите ПД по индивидуальным запросам компаний.
Сложность работы с ПД состоит в тонкой грани между законным и незаконным их использованием, а потому урегулирование должно происходить не факультативно, а обязательно и профессионально.
С уважением, Адвокатское объединение АЛЬВА ПРАЙВЕСИ
