Дзеньк! Вам прилетів запит від користувача вашого сервісу в Україні. Як і коли на нього відповідати та чи обов’язково це робити взагалі – розповідає в AIN.Business Оксана Задніпровська, партнерка Axon Partners.

Коли користувачі можуть надіслати запит щодо своїх персональних даних?

Якщо бізнес обробляє персональні дані, то суб’єкти таких даних можуть звернутися із запитами на реалізацію своїх прав. Запити на доступ та розкриття персональних даних можуть надходити і від третіх осіб, але це зовсім інша історія, про яку поговоримо іншим разом.

Як зрозуміти, чи обробляєте ви персональні дані? Важливо знати, що персональні дані – це не лише ім’я та номер телефону, а й будь-яка інша інформація, що дозволяє ідентифікувати особу (дані про місце роботи, електронна пошта, IP-адреса тощо). Ви можете зібрати персональні дані через вебсайт чи мобільний застосунок, паперові форми чи телефонні дзвінки. Головне – людина надала свої персональні дані, а ви, як бізнес, щось із ними робите: надаєте послуги, розсилаєте рекламу, телефонуєте й про щось розпитуєте, надсилаєте товари, просто збираєте в одному місці базу даних або передаєте дані ФОПам-підрядникам для технічної підтримки сервісу.

Які запити щодо персональних даних може отримати український бізнес?

За ст. 8 ЗУ «Про захист персональних даних», людина, чиї дані ви обробляєте, має право:

  • знати, звідки в бізнесу взялися її дані, де вони перебувають, для чого їх обробляють;
  • на доступ до її даних; 
  • на отримання відповіді, чи обробляються її дані, а також на отримання змісту таких даних; 
  • відмовлятися від обробки, вимагати зміни або знищення її даних.

Окрім того, людина має право доручити іншим особам отримати цю інформацію та дізнатися умови надання доступу до її даних третім особам.

Усе це може бути вимогою українського користувача в запиті до вашого бізнесу.

Чи обов’язково відповідати на такі запити?

Так. І на це є дві причини: 

  1. Так наказує закон.
  2. Коли бізнес ігнорує запити користувачів, це може нашкодити репутації компанії.

Звісно, адміністративні штрафи за Кодексом України про адміністративні правопорушення (КУпАП) за невиконання вимог Омбудсмена є дрібними і тому стимулюють відносно слабо (стаття 188-39 КУпАП, санкція до 17 000 грн). Однак репутаційні ризики не проігноруєш. Коли Омбудсмен приходить з перевіркою, він з великою ймовірністю розповість про це у фейсбуці. Там дуже різна аудиторія. Найуразливіші представники можуть відмовитися від сервісу-порушника й піти до того, кому можна довіряти, на їхню думку. Окрім Омбудсмена, пост на фейсбуці зі своїми коментарями може також написати ображений користувач.

Чи можна зовсім не відповісти?

Ні. Це найгірший із можливих варіантів. 

Чи можна відмовити? 

Можна, якщо, наприклад, розкриття даних заборонено законом. Відмовляти варто, якщо людина проігнорувала вимоги ст. 16 Закону і не надала дані про своє прізвище, ім’я, по батькові, місце проживання і реквізити документа, що посвідчує особу, або інші відомості для ідентифікації. Як бізнес, без цієї інформації ви не можете бути впевнені, що розкриваєте дані тому, хто має право їх отримати. Тож якщо невідома особа А просить розкрити їй дані про особу Б, відмовляйте на здоров’я. 

Якщо читати ст. 8 та ст. 16 Закону разом, то виходить, що інші вимоги до запиту за статтею 16 (про мету і підстави запиту) більше стосуються запитів від держорганів чи інших компаній, коли хтось звертається за доступом до чужих даних. Якщо із запиту зрозуміло, чого хоче людина і які дані вона має на увазі, не варто відмовляти лише тому, що вона не пояснила правові підстави запиту або не вказала, про яку базу даних ідеться.

Та відмовити можна, якщо:

  • даних просто немає у вас у розпорядженні – тоді бажано вказати того, у кого вони є (якщо ви в курсі);
  • людина просить видалити, змінити дані або припинити обробку без пояснень, невмотивовано.

У таких випадках ви, як бізнес, повинні пояснити, чому запит є необґрунтованим або чому у вас немає даних, про які запитують.

Якщо людина хоче відкликати свою згоду на обробку даних, ви майже завжди мусите видалити дані. Відмовити у повному видаленні можна, лише якщо є інша підстава для обробки даних:

  1. Договір – коли вам потрібна адреса, аби доставити людині якесь оформлене замовлення.
  2. Обов’язок за законом – коли вам потрібно 3 роки зберігати первинні документи, що містять персональні дані покупця.
  3. Законний інтерес – коли ви хочете зберігати частину даних для ведення реєстру запитів користувачів, щоб захистити свої інтереси в разі виникнення спорів. Однак тут ваші інтереси треба співвідносити з правами особи. Чи не забагато даних ви собі залишаєте? Чи не можете ви досягти тієї ж мети іншим способом, без обробки даних? Чи знає людина про ваш законний інтерес?

Якщо у вас немає належної підстави для обробки і ви обробляєте дані незаконно, тоді видаляти дані на запит обов’язково.

У які строки треба надати відповідь?

За ст. 8 – протягом 30 днів. За ст. 16 – протягом 10 днів варто надіслати проміжну відповідь, де сказати «гаразд, ми розкриємо/видалимо дані до ХХ.ХХ.2021 року» або «на жаль, не можемо розкрити/видалити дані, бо … [у нас їх немає, ви не підтвердили свою особу, ми маємо інші підстави для обробки…]»

Незрозуміло, умова про 10 днів стосується запитів тільки від третіх осіб чи й запитів від самої особи-власника даних теж. Краще перестрахуватися і надіслати проміжну відповідь протягом 10 днів після отримання звернення. Як мінімум, це позитивно вплине на репутацію і покаже, що ви свідомий бізнес.

Строк фінальної відповіді з 30 днів можна продовжити до 45 днів, якщо на те є серйозні підстави. Їх бажано одразу пояснити в проміжній відповіді. При цьому «ми дуже зайняті, щоб відповідати на ваш запит у строки» не спрацює. Зате може спрацювати: «У нас наразі дуже багато аналогічних запитів в обробці та скорочення штату. Хоча ми робимо все можливе, щоб відповісти в строки, імовірно, встигнемо лише до [45 днів від дати отримання запиту]».

У який спосіб відповідати?

Відповісти потрібно в тим способом, яким ви отримали запит (наприклад, підписати електронним підписом та надіслати електронною поштою, у кабінеті користувача чи поштовим голубом). Щоб підстрахуватися на випадок спорів чи перевірок Омбудсмена, можна підписати копію електронної відповіді на папері та надіслати її звичайною поштою з повідомленням про вручення.

Від чийого імені слід відповідати?

Відповідь повинен надіслати той, кому направили запит. Зазвичай, це юридична особа (за підписом директора) або ФОП, який надає послуги. Не варто відповідати в стилі «Ваша технічна підтримка» або «[назва сайту]», бо такий підпис не дозволить чітко визначити особу, яка надіслала відповідь. Якщо буде перевірка чи спір, доведеться підтверджувати, що відповідь підписував саме той, хто повинен був це зробити, і той, хто мав на це право. 

Чи можна вимагати грошей за відповідь?

Якщо особа просить доступ до власних даних, такий доступ має бути безкоштовним. Це право прописане не тільки в Законі «Про захист персональних даних», але і входить до складу гарантованого Конституцією і міжнародними договорами права на приватність.

Вашу відповідь на запит можуть опублікувати в мережі?

Так, цілком можливо. Розумна людина замалює чорним маркером усі конфіденційні місця, але основний зміст опублікує, і це буде законно.

Тож треба підходити до формування відповіді уважно, відповідати ввічливо та юридично правильно. Знову ж таки це ваша репутація, яку відновити значно важче, аніж сплатити адмінштраф.

Оксана Задніпровська, партнерка Axon Partners