Альва Прайвесі
Альва Прайвесі
Адвокатське об’єднання
Досвід, якість, конфіденційність
Пн-Пт з 09:00 до 19:00
0-800-604-613  (дзвінки - безкоштовні);
044-502-81-16; +38-067-777-89-01
Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб побачити її.

  • адвокатське об'єднання ALVA PRIVACY
  • Головна
  • Публікації
  • Персональні дані на підприємстві: законний збір і використання. Що таке GDPR?

Персональні дані на підприємстві: законний збір і використання. Що таке GDPR?

персональні дані GDPR

Захист персональних даних у світі та в Україні набуває важливого значення як для бізнесу, так і для простих фізичних осіб. Інформатизація суспільства дає можливість чіткіше відстежувати на якому етапі, хто і де порушує правила в сфері захисту персональних даних (далі - "ПД").

За загальним правилом відповідно до ч. 6 ст. 6 профільного Закону України «Про захист персональних даних» не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди. Як вказують адвокати юридичної компанії Альва Прайвесі, – виняток становлять лише випадки, визначені законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Проте, ані згаданий профільний закон, ані підзаконні акти до нього, не містять вичерпного переліку відомостей, які відносяться до персональних даних. Але є орієнтовний перелік персональних даних, які визначив Конституційний Суд України. Згідно з рішенням КСУ від 20.01.2012 р. №2рп/2012 до ПД в першу чергу відносять: національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, матеріальне становище, адреса, дата і місце народження, місце проживання та перебування, а також відомості про події та явища, що відбувалися або відбуваються у побутовій, інтимній, професійній, діловій та інших сферах життя людини.

Що таке GDPR і чи поширюються його правила на українські підприємства?

З травня 2018 року діє GDPR (General Data Protection Regulation) - Загальний регламент про захист даних. Поки бізнес розбирався з цією абревіатурою, французький регулятор CNIL наприкінці 2018 року наклав на компанію Google штраф в 50 мільйонів євро.

Хоча даний документ належить Європейському Союзу, однак положення GDPR ширші до застосування і стосуються більшості компаній України. Текст GDPR досить складний в прочитанні, тому фахівці ALVA PRIVACY Law Firm пояснять на прикладах.

EDPB (European Data Protection Supervisor - Європейський інспектор із захисту даних) пояснює, що юридичного значення місце обробки персональних даних не має, так само як і місце перебування суб'єктів даних або їх громадянство.

Приклади застосування GDPR українськими компаніями і підприємствами:

  1. Наприклад, якщо турист з Польщі звернеться за послугами в українську компанію, яка веде господарську діяльність тільки на території України, то ця компанія не буде зобов'язана підкорятися GDPR.
  2. Або інший приклад - компанія, зареєстрована на території ЄС, яка здійснює обробку даних українських користувачів в Південній Кореї, повинна підкорятися GDPR. Це обумовлено тим, що вона зареєстрована в ЄС.
  3. Ще одна фабула - приватна спортивна установа (клуб) "Фактор" (назва вигадана) знаходиться та зареєстрована, наприклад, в Чернігові. "Фактор" найбільше відвідують італійці, які живуть і працюють в Чернігові. Виходячи з цього, клуб робить рекламу італійською мовою в соцмережах таргетовано під цю ж цільову аудиторію. Заклад активно рекламує свої послуги італійською мовою в інтернеті для користувачів, які перебувають в Україні. Сайт спортивного клубу запропонований українською, англійською та італійською мовами. Такий спортивний клуб не підпадає під регулювання GDPR, оскільки він не має заснування на території ЄС, не спрямовує свої послуги на фізичних осіб на території ЄС. Сам по собі факт наявності італійської версії сайту або реклами в Україні для італійців не має юридичних наслідків в плані GDPR.
  4. І ще один випадок - вузькоспеціалізована українська консалтингова компанія, яка знаходиться у Львові, супроводжує справи, надає юридичні консультації та підтримку українцям, які живуть в Словенії. Їх офіційний сайт доступний лише українською мовою, під доменом «.ua». Компанія збирає (за добровільною згодою клієнтів) і обробляє персональні дані про своїх клієнтів, які надаються та необхідні їй для роботи з питань українців в Словенії. Всі розрахунки ведуться офіційно в гривнях. В цьому випадку наявність того факту, що компанія пропонує і надає послуги фізичним особам на території ЄС (їх офіційне місце реєстрації може не мати значення), досить для того, щоб компанія була на контролі в GDPR.

Тобто, це ціле завдання для українського підприємства - визначити свою приналежність або не приналежність до регулювання GDPR. Тільки після повного аналізу діяльності підприємства по GDPR можна визначити цю приналежність і розробити план дій для відповідності регламенту.

Але в цілому всі компанії, які мають хоч якісь дані з іноземним елементом, вже повинні налаштувати роботу з персональними даними на своєму підприємстві не тільки під національні норми, а й міжнародні.

Відповідальність за порушення в сфері персональних даних

захист персональних даних

Відповідно до ст. 188-39 КУпАП штраф за порушення законодавства у сфері захисту персональних даних може досягати 34000 гривень.

Згідно зі ст. 188 КК України за порушення недоторканності приватного життя, яке включає в себе порушення в сфері ПД, в кримінальних справах максимальною санкцією є позбавлення волі на 5 років.

Випадків притягнення до відповідальності за порушення порядку збору, зберігання і використання ПД поки небагато, але юристи вже опановують окрему спеціалізацію в цій відносно новій галузі.

Також в Україні діє інститут Уповноваженого Верховної Ради з прав людини, який має право проводити на підставі звернень або за власною ініціативою виїзні та невиїзні, планові, позапланові перевірки власників або розпорядників ПД. Керується він при цьому спеціальним Порядком від 08.01.2014 р. №1/02-14. Активізація державних органів (видима або реальна) може посилити роботу і цього інституту влади для підтвердження євроінтеграційних процесів.

Забезпечення законності

В інтересах підприємства, в тому числі яке знаходиться в ролі роботодавця, зробити законним збір, зберігання, обробку та використання ПД потенційних, існуючих і колишніх співробітників.

Більше того, некоректне забезпечення захисту ПД співробітників, клієнтів і партнерів підприємства однозначно впливає і на репутацію компанії, оскільки контрагенти будуть визначати її як ненадійного партнера, який не може цілісно і законно захищати ПД працівників, клієнтів і т.і.

Налагоджуємо законну роботу з персональними даними на підприємстві (приклад)

Почати потрібно з професійного аналізу відповідності вже існуючої ситуації в компанії і визначення як виправити існуючі порушення. Кожен суб'єкт індивідуальний, але тут адвокати ALVA PRIVACY розглянуть загальні рекомендації щодо дотримання законної роботи з ПД для компанії з електронним інтерфейсом надання послуг - інформаційний ресурс для зареєстрованих користувачів:

  • збір ПД повинен відбуватися за персональною згодою фізичної особи-користувача з умовами використання сайту під час реєстрації на цьому ресурсі. Якщо вносяться зміни в умови, то необхідно оповіщати користувачів, актуалізувати цю інформацію на сайті, вказуючи дату останньої зміни;
  • збір ПД здійснюється виключно в цілях забезпечення безпечної роботи сервісу, для зв'язку з клієнтом і надання послуг, які пропонуються. Неприпустимо збирати дані, якщо вони не потрібні сервісу в роботі (зайві). Для цього прикладу досить таких даних: дані облікового запису, електронна пошта (обов'язково), ім'я, номер телефону, посилання на соцмережу (факультативно), а також автоматично формується онлайн ідентифікація - геолокація, вид пристрою, IP-адреса;
  • звіт про отриману особисту інформацію повинен відображатися в особистому кабінеті або акаунті користувача. Користувач, звичайно, повинен мати можливість змінити або видалити дані про себе;
  • інформація про користувачів і їх особисті дані оптимально зберігати за принципом «життя користувача» (throughout the lifetime), тобто на весь час користування сайтом цим користувачем;
  • банківські та платіжні дані клієнта рекомендуємо зашифрувати платіжним сервісом, сертифікатом безпеки.

Ми навели зразковий (як приклад, шаблон) і орієнтовний підхід до збору та захисту ПД користувачів простого інформаційного порталу (з якимись платними функціями), до якого потрібно прагнути, задіявши IT підтримку. Перед компанією стоїть додаткове завдання розробити коректне технічне завдання для програмістів, адже питання в подальшому будуть не до них, а до керівництва підприємства.

Як бути з персональними даними співробітників: колишніх, існуючих і майбутніх?

GDPR і персональні дані в IT

Адвокатська фірма "Альва Прайвесі" рекомендує роботодавцям розробляти уніфіковані положення про збір, обробку та використання ПД і знайомити з ними під підпис своїх співробітників. При прийомі на роботу нових співробітників надавати під підпис ними заяву про надання ними згоди на обробку ПД, а також їх письмове зобов'язання про нерозголошення ними ПД. Працюючим вже співробітникам слід теж надати під підпис такі документи, якщо вони були істотно змінені або якщо вони взагалі не підписувалися такими співробітниками раніше.

Такі заяви слід зберігати в особистих справах кадрової служби навіть після їх звільнення. Наприклад, незадоволений звільнений колишній співробітник, як мінімум, не зможе використовувати проти колишнього роботодавця звинувачення в незаконному зберіганні або використанні його ПД, якщо він сам дав на це згоду. Адже, коли немає інших зачіпок за порушення трудових прав працівника, маніпуляції з ПД можуть бути теж використані.

Тому всі положення і зразки (форми) заяв повинні бути актуально розроблені, обов'язково повинні бути враховані дія положень у часі і порядок зберігання, використання ПД після звільнення працівника.

Персональні дані: претенденти проти роботодавців

З резюме кандидатів на вакантні посади теж потрібно бути обережними. Як правило, основні майданчики пошуку роботи вже на стадії реєстрації претендента вимагають у нього згоду на обробку ПД. Але такі портали в першу чергу страхують себе, а не роботодавця, якому в підсумку потрапляє інформація з ПД претендента. Тому багато роботодавців в своїх оголошеннях про вакансії почали вказувати вимоги про розміщення в резюме згоди на обробку ПД претендента, навіть надаючи текст такої заяви. Поки прецеденти суперечок між претендентами і роботодавцями в сфері ПД невідомі, але ситуація може змінитися.

GDPR комплаєнс - навіщо і якому бізнесу потрібний супровід в сфері ПД?

Складна абревіатура GDPR стосується багатьох українських підприємств, адже багато з них якщо і не працюють ще з європейськими партнерами або клієнтами, то, наприклад, вже націлені на аудиторію ЄС. Штрафи за порушення GDPR - до 20 мільйонів євро - прямо вказують на серйозність цієї теми для бізнесу.

GDPR комплаєнс - сукупність заходів і дій, спрямованих на відповідність цьому регламенту.

GDPR-chek - це комплексна перевірка підприємства на відповідність цьому регламенту. За її результатами і аналізу формується подальша стратегія роботи з ПД. Відзначимо, що тут важлива комплексність. Не вийде вести бізнес по-європейськи, якщо ПД клієнтів збережені по GDPR, а співробітників - ні.

Великим компаніям рекомендується створювати або формувати відділи по роботі з GDPR через великий масив роботи з ПД. Малі компанії можуть мати відповідального за роботу з ПД. Але це не може бути юрист, який весь час працює з договорами, або кадровик, зайнятий лікарняними і відпустками, а «коли є час» вони щось роблять з ПД.

Cам GDPR - це 88 сторінок складного, термінологічного тексту, практика застосування якого тільки формується.

Всі компанії, які вже за час дії GDPR отримали штрафи, сформували загальну рекомендацію для тих, хто сумнівається чи підпадають вони під цей регламент чи ні: необхідно забезпечити GDPR комплаєнс такої організації.

Приблизно 60 тис. заяв про порушення GDPR вже було подано і близько 100 штрафів виписано з моменту набрання чинності Регламентом. Це означає, що далі можна очікувати підвищену увагу до нового європейського закону і ще більше судових прецедентів.

Юридичний супровід бізнесу від Альва Прайвесі

Адвокати та юристи Адвокатського об'єднання "АЛЬВА ПРАЙВЕСІ" мають ґрунтовний досвід підготовки і повного юридичного супроводу документації підприємств щодо дотримання законодавства в сфері захисту ПД. Наші фахівці готують для бізнес-суб'єктів проекти згод, зобов'язань співробітників, клієнтів і контрагентів на збір і обробку їх персональних даних, форми журналів реєстрації зобов'язань про нерозголошення персональних даних, розробляють положення про обробку і захист ПД за індивідуальними запитами компаній.

Складність роботи з ПД полягає в тонкій грані між законним і незаконним їх використанням, а тому врегулювання має відбуватися не факультативно, а обов'язково і професійно.

logo
Альва Прайвесі
Адвокатське об’єднання
Досвід, якість, конфіденційність
 
©   2013 - 2020