В наш час, люди повідомляють власні персональні дані багатьом зберігачам. Це й інтернет сайти, програми лояльності в магазинах, державні органи та інші. Проте законодавство України встановлює норми збору, обробки та передачі персональних даних третім особам, а також відповідальність за порушення таких норм. Законодавство передбачає санкції, як грошові штрафи, так і кримінальну відповідальність.
Які дані вважаються персональними за законодавством України?
Закон України «Про захист персональних даних» надає визначення терміну «персональні дані» як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Також в Законі є визначення знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу. Такий принцип використовується для мінімізації об’єму зберігання персональних даних, залишаючи лише важливі для потрібної мети, що захищає дані від витоків.
Як такого переліку, що відноситься до персональних даних, не визначено. Проте, як правило, персональними вважають наступні відомості: прізвище, ім’я та по батькові; паспортні дані; місце проживання; освіта; сімейний стан; національність; етнічне походження; дата й місце народження; інформація щодо переконань та поглядів та інше. Це перелік не є вичерпним, адже, як було вказано вище, будь-яка інформація, за якою можна ідентифікувати особу, буде вважатися персональною.
Коли потрібна згода суб’єкта на передачу персональних даних?
Згода суб’єкта потрібна перед передачею його даних. Відповідно до вищезгаданого закону, у сфері електронної комерції суб’єкт погоджується під час реєстрації в інформаційно-комунікаційній системі, шляхом проставляння відмітки про надання дозволу на обробку персональних даних відповідно до сформульованої мети їх обробки. Згода на обробку та передачу персональних даних може бути підписана особисто, під час заповнення анкети чи іншого вказання таких даних. Варто наголосити, що згода на обробку персональних даних має бути пропорційною меті обробки. В багатьох випадках без передачі третім особам дані неможливо використати за призначенням, проте варто звертати увагу кому і для чого будуть передані ваші дані.
Види відповідальності за незаконне розголошення або передачу даних
Відповідальність за вчинення дій, щодо порушення законодавства про персональні дані прописана у Кодексі про адміністративні порушення та Кримінальному кодексі України. За адміністративне правопорушення санкція передбачена у вигляді штрафу від 1700 грн до 34 000 грн, сума залежить від скоєних дій та від суб’єкта, який ці дії скоїв. За кримінальне правопорушення видів санкцій більше, так це може бути штраф, виправні роботи, пробаційний нагляд, обмеження волі або навіть позбавлення волі.
Адміністративна відповідальність: що передбачає КУпАП?
Якщо більш детально, то Кодекс про адміністративні правопорушення передбачає відповідальність за неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей. Для громадян розмір штрафу встановлений від ста до двохсот неоподаткованих мінімумів доходів громадян, а для посадових осіб та суб’єктів підприємницької діяльності від двохсот до чотирьохсот неоподаткованих мінімумів доходів громадян.
За невиконання законних вимог чи приписів Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних громадянам загрожує штраф від двохсот до трьохсот неоподаткованих мінімумів доходів громадян, а посадовим особам та суб’єктам підприємницької діяльності від трьохсот до тисячі неоподаткованих мінімумів доходів громадян.
Повторне вчинення двох вищезазначених порушень протягом року тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян, а на посадових осіб і громадян, що є суб’єктами підприємницької діяльності – від п’ятисот до двох тисяч неоподатковуваних мінімумів доходів громадян.
Якщо недодержання встановленого законодавством порядку захисту персональних даних призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, то штраф від ста до п’ятисот неоподатковуваних мінімумів доходів громадян може загрожувати громадянам, в свою чергу, від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян штрафу може загрожувати посадовим особам та суб’єктам підприємництва. Повторні дії протягом року потягнуть за собою відповідальність у вигляді штрафу від однієї тисячі до двох тисяч неоподатковуваних мінімумів доходів громадян, для всіх суб’єктів правопорушення.
Кримінальна відповідальність за незаконне використання персональних даних
У Кримінальному кодексі України міститься стаття 182, яка передбачає відповідальність за порушення недоторканості приватного життя. В даній статті об’єктом правопорушення вказана конфіденційна інформація, проте законодавство про персональні дані зазначає, що персональні дані можуть бути віднесені до конфіденційної інформації.
За незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації по особу або незаконна зміна такої інформації визначена відповідальність у вигляді штрафу в розмірі від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або пробаційним наглядом на строк до трьох років, або обмеженням волі на той самий строк.
Якщо вище зазначені дії були вчинені повторно, або якщо було заподіяна істотна шкода правам, інтересам та свободам особи, то покаранням буде пробаційний нагляд на строк від трьох до п’яти років або обмеження волі на строк від трьох до п’яти років, або позбавлення волі на той самий строк. Істотною шкодою вважається заподіяння матеріальних збитків більше ніж на 151 400 грн.
Як бізнесу дотримуватись вимог законодавства при обробці даних?
Для того, щоб зменшити ризики порушення українського законодавства, бізнесу варто притримуватися наступних етапів:
Для початку, визначити, яка інформація збирається. Тобто, прізвище, ім’я, по-батькові, номер телефона, відомості про сімейний стан та інше. Також важливо оцінити чи є серед цієї інформації теми з підвищеним захистом, як то стан здоров’я, біометричні дані, політичні чи релігійні погляди або інше. Оскільки згідно з Порядком повідомлення володільці, що здійснюють обробку персональних даних, інформація яких становить особливий ризик для прав і свобод суб’єктів таких даних, несуть обов’язок повідомляти Уповноваженого з прав людини про ці види обробки. Основним критерієм з визначення такого ризику є, як раз, категорії персональних даних, що обробляються.
Далі, варто визначити та чітко розуміти всі деталі пов’язані з обробкою персональних даних. Повинен бути детальний порядок способів збору даних; умови та строки збереження; умови та процедури для видалення даних про особу; перелік, причини та засоби передачі даних третім особам; звичайно, заходи, що вживаються для захисту персональних даних та їх ефективність.
Наступним етапом, перед збиранням даних у осіб, важливо розробити певну документацію, пов’язану зі зазначеним питанням. Одним з основних документів буде «Політика конфіденційності», в змісті якого буде мета збору, права та обов’язки сторін та інші положення, що визначені законодавством. Клієнт буде ознайомлюватися з Політикою та розуміти кому й для чого він надає свої особисті дані. Інший основоположний документ – це внутрішній порядок роботи з персонально інформацією, до якого входять: коло співробітників з доступом до інформації, їх повноваження та мета обробки. Можливе прийняття й іншої документації для максимального захисту та безпеки особистих даних осіб. Важливо слідкувати за оновленнями законодавства по даному питанню, щоб завжди актуалізовувати вище зазначені документи.
Завершальним важливим етапом буде призначення відповідальної особи або осіб, які б слідкували за дотриманням законодавства та внутрішніх приписів співробітниками, за потреби повідомляли Уповноваженого ВРУ і таке інше.
Які ризики несе компанія за порушення правил обробки даних?
Для нагадування вищезазначеної інформації про відповідальність саме в контексті компанії, варто зазначити, що при виявлені несерйозних порушень, часом видається припис про усунення таких недоліків. Якщо не усунути вимоги викладені у приписі, то тільки після цього може бути накладений штраф, але тільки в деяких випадках. Штрафні санкції для бізнесу становлять від 5 100 до 17 000 грн, а в разі повторного порушення протягом року– від 8 500 до 34 000 грн.
Проте за наступні порушення відповідальність буде без попереднього видання приписів:
Неповідомлення або несвоєчасне повідомлення Уповноваженого ВРУ з прав людини про обробку або зміну відомостей, повідомлення неповних чи недостовірних відомостей – штраф для компанії буде складати від 3 400 до 6 800 грн, а у разі повторного порушення протягом року від 8 500 до 34 000 грн.
Недодержання порядку щодо захисту персональних даних, якщо ці дії призведуть до незаконного доступу до них або порушення прав суб’єкта персональних даних – штраф буде у розмірі від 5 100 до 17 000 грн, а в разі повторного вчинення від 17 000 до 34 000 грн.
Порушення, за яке передбачена кримінальна відповідальність, яка також згадувалась вище, складно вчинити ненавмисно. Виходячи з цього, компанії немає приводу для побоювань, якщо ні в кого зі співробітників немає наміру отримати конфіденційну інформації незаконно.
Допомога адвоката у питаннях персональних даних
Допомога адвоката або юриста може знадобитися бізнесу на всіх етапах у питанні персональних даних осіб. З початку, юрист може допомогти у визначені потрібних та достатніх персональних даних для цілей компанії, проте з уникненням від зайвого контролю та відповідальності за зберігання даних з особливим ризиком для суб’єкта персональних даних. Також, під час розробки «Політики конфіденційності» та внутрішніх розпоряджень при роботі з персональними даними для співробітників, варто, як мінімум, проконсультуватися та радитися з юристами, а ще краще, довірити складання такої документації досвідченим спеціалістам. Юрист допоможе більш точно застосувати норми права, краще прописати мету, права й обов’язки сторін, щоб у майбутньому не було проблем з законом у компанії, а клієнт не сумнівався для яких цілей одержують його дані.
У разі виявлення ймовірних правопорушень, адвокат зможе переконатися, чи справді такі дії було вчинено компанією, чи правоохоронний орган помилився або допустив певні помилки. Оскарження штрафів та приписів у судовому порядку, доведення невинуватості компанії – все це зможе допомогти зробити адвокат.