Михайло Процайло, юрист Юридичної групи LCF, написав для AIN.UA колонку про те, чому важливо дотримуватися законодавства у сфері захисту персональних даних користувачів, на що саме звернути увагу і дав декілька порад, як організувати роботу з персональними даними.

Михайло Процайло, фото надане автором

Зазвичай, коли згадують захист персональних даних, мова йде про General data protection regulation – регламент Європейського союзу про порядок обробки та захисту персональних даних громадян ЄС. Втім, він не діє в Україні і може застосовуватися в обмежених випадках, як-то обробка або зберігання персональних даних громадян ЄС. Однак, це не означає, що порядок обробки персональних даних в Україні не регулюється, а права громадян не захищаються. Принаймні на рівні закону. 

Вимоги щодо обробки та захисту персональних даних встановлені низкою нормативно-правових актів, але основний з них – Закон України “Про захист персональних даних” від 01.06.2010. Повноваження щодо контролю за дотриманням цього закону належать Уповноваженому Верховної ради з прав людини, а саме – Департаменту у сфері захисту персональних даних Секретаріату Уповноваженого. 

Згідно доповіді Уповноваженого про стан дотримання прав людини в Україні за 2020 рік, кількість звернень щодо порушення прав під час обробки персональних даних становила 2 031 повідомлення, що майже вдвічі більше за попередній рік (1061 повідомлення). За результатами розгляду цих звернень було проведено 67 перевірок та відкрито 62 провадження Уповноваженого. 9 з них були направлені до суду для притягнення винних до відповідальності за ст. 188-39 Кодексу України про адміністративні правопорушення.

Хоча статичні показники поки що незначні, така тенденція свідчить про підвищення уваги контролюючих органів до порядку обробки персональних даних. Першим свідченням цього є активна діяльність Уповноваженого для прийняття закону №4241 щодо захисту боржників при врегулюванні простроченої заборгованості, яким, серед іншого, встановили чіткіші вимоги щодо обробки персональних даних. Прийняття цього закону обумовлено тим, що серед 2 031 звернень до уповноваженого за 2020 рік 1500 (73%) стосувалися порушень під час роботи зі стягнення заборгованості.

Імовірно, увага Уповноваженого згодом торкнеться і бізнесу з інших сфер. Окрім фінансових послуг, найбільш вірогідними є перевірки в медичних закладах та ІТ-секторі. 

Можна виділити найбільш поширені проблеми з обробкою персональних даних для бізнесу: 

Нерозуміння бізнесом того, що саме є персональними даними

Закон не містить переліку даних, які вважаються персональними. Визначення надається шляхом вказівки на одну особливість – дані самі по собі або в сукупності мають ідентифікувати особу. Тобто, якщо набір даних дозволяє встановити особу, то такі дані є персональними. Варто пам’ятати, що перелік даних, які можуть вважатись персональними даними, необмежений. Доволі часто при обробці даних в політиці конфіденційності забувають вказати про ідентифікатори пристроїв, ip-адреси, cookies та інше – це також персональні дані. 

Окремо варто згадати про збір номерів мобільних телефонів. Наразі не існує однозначної позиції щодо того, чи є номер телефону персональними даними сам по собі. Дискусія полягає в тому, чи можливо обробнику даних ідентифікувати особу лише за номером мобільного телефону. Втім, доволі часто мобільний телефон збирається разом з іншою інформацією, перш за все з ім’ям особи. В сукупності це однозначно є персональними даними, отже до їх обробки також необхідно застосовувати вимоги закону. 

Порада: повідомляйте користувача про всі дані, які ви від нього отримуєте: ім’я, номер паспорту та номер платника податків, номер телефону, місце проживання, місце роботи, банківські рахунки, електронна пошта, ідентифікатори пристроїв, ip-адреси, cookies та інше. Щодо обробки або зберігання будь-якого з цих видів даних або їх сукупності дотримуйтесь вимог Закону «Про захист персональних даних». 

Відсутність чіткого та доступного інформування особи про обсяг даних, що збирається, а також про порядок їх обробки.

Закон встановлює вимогу не лише щодо інформування особи про вид даних, що збирається, а й про порядок та мету збору та обробки, обсяг прав особи, відомості про того, хто збирає та обробляє персональні дані та третіх осіб, яким ці дані можуть передаватися. Зазвичай така інформація зазначається в окремому документі, наприклад, положенні про обробку персональних даних, який публікується на сайті у доступному місці. Саме про доступність такої інформації інколи забувають. Особа повинна мати можливість без перешкод отримати цю інформацію. Якщо розмістити порядок обробки персональних даних так, що доступ до нього буде обмежено, це може бути розцінене Уповноваженим як порушення. 

Варто пам’ятати також про необхідність надати інформацію про порядок обробки персональних даних за прямим зверненням особи. 

Порада: сформуйте окремий документ, який пояснюватиме користувачу як саме ви оброблюєте його персональні дані. Розмістіть цей документ у доступному для користувача місці, наприклад у футері сайту або окремому розділі мобільного застосунку.

Не використовуйте шаблонів «Політик конфіденційності» і тим паче політик інших бізнесів, адже цей документ має точно відповідати саме вашим бізнес-процесам. 

Відсутність згоди на обробку персональних даних

Найпоширенішою підставою для обробки персональних даних є згода особи. Без такої згоди і за відсутності інших підстав обробки персональних даних такі дії однозначно вважатимуться порушенням. Нещодавно Уповноважений виніс припис на усунення порушення двом зі списку десяти системно важливих банків через збір номерів телефонів без згоди їх власників.

Втім, отримувати згоду особи на обробку персональних даних необхідно не завжди. Наприклад, підставою для обробки персональних даних є укладення правочину, стороною якого є суб’єкт персональних даних. Тобто при укладенні договору вимагати окрему згоду немає потреби. Усунення цього положення у договорі може спростити паперову роботу або “розвантажити” інтерфейс сервісу. Більше того, іноді для цілей бізнесу отримувати персональні дані  (або окремі відомості із загального обсягу інформації про особу) взагалі не потрібно. В такому випадку збір персональних даних надмірний, що є порушенням вимог закону. Детальніше про це у наступному пункті. 

Порада: правильно визначте підставу для обробки персональних даних та обробляйте персональні дані виключно за наявності такої підстави. Перелік підстав зазначено в ст. 11 Закону «Про захист персональних даних». Якщо підставою обробки є згода користувача, отримайте підтвердження такої згоди. Підтвердження має бути активним, тобто користувач має здійснити певну дію для підтвердження своєї згоди. «Пасивна» згода (згода за замовчуванням) не допускається. 

Пам’ятайте, що зміни в порядку або обсягу обробки персональних даних вимагають отримати у користувача згоду на продовження такої обробки. 

Збір надмірного обсягу персональних даних

Обсяг даних, який збирається, має відповідати меті обробки. Бізнес часто отримує згоду на обробку взагалі всіх даних, про всяк випадок. Це зручно для нього, але суперечить вимогам закону. Якщо Уповноважений виявить, що дані збираються понад той обсяг, який необхідний для досягнення вказаної мети обробки даних, це може бути розцінено як порушення. 

Порада: збирайте лише той обсяг персональних даних, який відповідає меті обробки. Якщо процес взаємодії з користувачем проходить в декілька етапів, яким відповідають різні обсяги персональних даних, розділіть такі дані на «порції» відповідно до кожного з етапів. Наприклад, користувач заходить на сайт і погоджується з обробкою cookies. Після цього реєструється на сайті та надає згоду на обробку персональних даних про прізвище, ім’я, пошту та номер телефону. Останнім етапом є придбання товару (тобто, укладення правочину, що є підставою для обробки), із зазначенням місця проживання для доставки. 

Відсутність комунікації з Уповноваженим під час перевірки

Це неочевидний пункт, проте важливий. Якщо Уповноважений перевіряє вас або виніс припис на усунення порушення, поінформуйте Секретаріат Уповноваженого про відповідні дії у строк, який зазначений у приписі. Інакше уповноважений звернеться до суду. Прикладом цього є притягнення Голосіївським судом міста Києва (справа №752/8287/21) до відповідальності посадової особи мікрофінансової організації за ігнорування вимоги Уповноваженого поінформувати його у визначений строк.

Порада: при перевірці Уповноваженим надавайте йому запитувану інформацію – це обов’язок розпорядника персональних даних відповідно до закону. Не протидійте перевірці. При винесенні припису на усунення порушення, виконайте зазначені вимоги. Практика перевірок Уповноваженого свідчить про доволі м’який підхід контролюючого органу: Уповноважений звертається до суду у виключних випадках, зазвичай обмежуючись приписом про усунення порушення. Звернення до суду для притягнення до відповідальності є поодинокими випадками і застосовується лише до «злісних» порушників. Адекватна комунікація значно зменшить загрозу притягнення до відповідальності. 

Чому це важливо

Наразі відповідальність за порушення вимог закону про захист персональних даних відносно незначна: за найтяжче порушення передбачена відповідальність до 17 000 грн. Варто згадати також про кримінальну відповідальність за збір персональної інформації, хоча приклади притягнення до відповідальності за ст. 182 Кримінального кодексу за незаконний збір конфіденційної інформації про особу майже відсутні.

Втім, порушення порядку обробки персональних даних несе в собі репутаційні ризики, а отже може призвести до зменшення кількості клієнтів. Перевірки Уповноваженого майже завжди починаються із заяви фізичної особи, яким часто є незадоволений клієнт. Тому за правильної роботи із даними про особу бізнес захистить себе від перевірок та збереже довіру клієнтів. 

Автор: Михайло Процайло, юрист Юридичної групи LCF