Захист персональних даних в Україні: 7 кроків для українського бізнесу
Ви здійснюєте діяльність в Україні? Хочете уникнути штрафів та репутаційних втрат через порушення законодавства про захист персональних даних? Чи впевнені ви, що ваш бізнес відповідає усім вимогам Закону? Якщо це питання викликало у вас сумніви, саме час задуматися над тим, як привести ваш бізнес у відповідність до законодавства.
Захист персональних даних – це не нудна бюрократія, а необхідність для кожного бізнесу, який обробляє персональні дані клієнтів, співробітників та інших субʼєктів. Дотримання Закону України “Про захист персональних даних” не лише зменшує ризики штрафів, а є сигналом для партнерів і клієнтів: так, нам можна довіряти!
У цій статті ми розглянемо ключові кроки, які допоможуть українському бізнесу забезпечити ефективний захист персональних даних та уникнути негативних юридичних наслідків.
Декілька слів про українське законодавство
Закон України “Про захист персональних даних” набрав чинності з початку 2011 року та став першим нормативним актом в Україні, що системно регулював питання обробки та захисту персональних даних.
Окрім самого Закону, варто звернути увагу ще на три важливі підзаконні акти:
- Типовий порядок обробки персональних даних;
- Порядок здійснення Уповноваженим контролю за дотриманням законодавства про захист персональних даних;
- Порядок повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод субʼєктів персональних даних.
Однак, з моменту ухвалення цього закону минуло понад десять років, і він значною мірою застарів, враховуючи сучасний розвиток інформаційних технологій. Більше того, за основу була взята Конвенція 108, яка зараз замінена на новіший закон – GDPR.
Чи потрібно нам оновлення законодавства? Безперечно, так! В Україні триває робота над оновленням законодавства у сфері захисту персональних даних, щоб привести його у відповідність до європейських стандартів, зокрема GDPR.
Новий проєкт закону, який наразі розглядається, має замінити чинний Закон та усунути його недоліки. Проте, коли саме це станеться – невідомо. Тому, українським компаніям слід дотримуватись чинного законодавства, адже його вимоги залишаються обов’язковими, а порушення можуть призвести до юридичних наслідків.
Ключові положення Закону та відмінності з GDPR
Додатково ознайомитися з цією темою ви можете в нашій попередній публікації CCPA, GDPR, Закон України “Про захист персональних даних”. Вони однакові?
| Положення | Закон | GDPR |
| Сфера застосування | Закон є актом законодавства національного рівня, тому його дія поширюється на обробку персональних даних на території України. Отже, компанії, які здійснюють діяльність на території України повинні забезпечити дотримання його положень. | GDPR чітко визначає межі своєї територіальної юрисдикції, вказуючи, що його дія поширюється на: обробку персональних даних контролером або процесором, що зареєстрований на території ЄС; обробку персональних даних контролером або процесором, які зареєстровані поза територією ЄС, проте які обробляють дані осіб, що перебувають в ЄС. |
| Персональні дані | Закон визначає персональні дані як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. | Персональні дані за GDPR є більш широкою та деталізованою категорією. Детальніше тут: Що таке персональні дані за GDPR? |
| Правові підстави | Закон встановлює шість підстав, на основі яких можна законно здійснювати обробку персональних даних субʼєкта даних. Основною підставою є згода суб’єкта даних на обробку його персональних даних. До інших підстав відносяться необхідність виконання договору з суб’єктом, необхідність захисту життєво важливих інтересів суб’єкта, необхідність виконання контролером покладених на нього обов’язків і т.д. | Такі ж підстави також передбачені і в GDPR, проте з дещо зміненим формулюванням. |
| Основні ролі | Закон чітко розділяє поняття: Володілець персональних даних визначає мету та способи обробки даних. Розпорядник персональних даних обробляє дані за дорученням володільця. | Поняття володільця та розпорядника персональних даних дуже схоже з тими, які закріплені у GDPR для контролера та процесора. |
| Субʼєкт даних | У Законі суб’єкт даних визначається як фізична особа, персональні дані якої обробляються. В чинній редакції Закон не містить спеціальних положень щодо обробки даних неповнолітніх осіб. | GDPR встановлює, що суб’єктом даних є фізична особа, яку ідентифіковано чи можна ідентифікувати. GDPR встановлює, що для обробки даних особи, яка молодше 16 років, потрібно отримати згоду її батьків чи опікунів. |
| Права субʼєкта | Права передбачені Законом такі ж як у GDPR, за винятком права на мобільність персональних даних. Перелік таких прав міститься у статті 8 Закону. | GDPR надає субʼєктам даних право на доступ, право на виправлення, право на видалення (“право бути забутим”), право на обмеження обробки, право бути поінформованим, право на мобільність даних, право на заперечення (право на відмову), право не підлягати рішенню, що ґрунтується винятково на автоматизованій обробці, право на відкликання згоди. |
| Відповідальність | У тексті Закону є посилання на те, що за порушення вимог даного Закону настає встановлена законодавством відповідальність. На рівні законодавства, основний масив відповідальності передбачений статтею 188-39 КУпАП України (у виді штрафів різних розмірів). Окрім того, ст.182 КК України встановлює відповідальність за поширення конфіденційної інформації про особу або незаконну зміну такої інформації (аж до обмеження волі на строк 3 роки). | GDPR, який запровадив чітке розмежування видів покарань, а саме: 2% загального річного обороту або 10 млн. євро, залежно від того, що вище – за порушення положень щодо обробки даних неповнолітніх осіб, обов’язків контролера та оператора і т.д.; або 4% загального річного обороту або 20 млн. євро, залежно від того, що вище – за порушення положень щодо принципів обробки даних, прав суб’єктів даних, передачу даних в треті країни і т.д. |
Особливі вимоги ЗУ про захист персональних даних
Обовʼязок повідомити про обробку чутливих даних Уповноваженого ВРУ з прав людини
Володілець персональних даних повинен повідомити Уповноваженого ВРУ про здійснення ним будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних.
До таких видів обробки відносяться обробка персональних даних, зокрема, щодо:
- расового, етнічного та національного походження;
- політичних, релігійних або світоглядних переконань;
- членства в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
- стану здоров’я, статевого життя;
- біометричних даних, генетичних даних;
- притягнення до адміністративної чи кримінальної відповідальності;
- застосування щодо особи заходів в рамках досудового розслідування;
- вчинення щодо особи тих чи інших видів насильства;
- місцеперебування та/або шляхів пересування особи.
Таке повідомлення подається за формою та в порядку, визначеними Уповноваженим ВРУ.
Призначення структурного підрозділу або відповідальної особи, яка організовує роботу, пов’язану із захистом персональних даних
В органах державної влади, органах місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до Закону, компанія повинна створити (визначити) структурний підрозділ або відповідальну особу, яка організовує роботу, пов’язану із захистом персональних даних під час їх обробки.
Інформація про такий підрозділ або особу повідомляється Уповноваженому відповідно до Закону.
Транскордонна передача персональних даних за межі України
Для транскордонної передачі персональних даних володілець персональних даних зобовʼязаний переконатися, що країна-одержувач забезпечує належний рівень захисту. Окрім цього, володілець персональних даних може передавати персональні дані у разі:
- наявності однозначної згоди суб’єкта персональних даних;
- укладення або виконання правочину в інтересах суб’єкта персональних даних;
- захисту життєво важливих інтересів суб’єкта персональних даних;
- захисту суспільного інтересу або правових вимог;
- надання гарантій невтручання у приватне життя суб’єкта персональних даних.
Важливо зауважити, що зміни до статті 30 Закону від 29.07.2022, дозволяють передавати персональні дані іноземним суб’єктам для надання медичної та реабілітаційної допомоги із застосуванням телемедицини під час дії воєнного стану та протягом шести місяців після його завершення. При цьому персональні дані мають захищатися відповідно до законодавства країни, де здійснюється медична практика.
Як бізнесу забезпечити комплаєнс відповідно до Закону про захист персональних даних – покроковий план
Крок 1. Проведіть аудит персональних даних
- Визначте, які саме персональні дані ви збираєте (ПІБ, контактна інформація, платіжна інформація тощо).
- Переконайтеся, що у вас є правові підстави для обробки даних (згода, договір, законний інтерес).
- Оцініть, чи обробляються чутливі персональні дані (стан здоров’я, біометричні дані, політичні погляди).
- Визначте, чи підпадає ваша компанія під обов’язок повідомлення Уповноваженого ВРУ з прав людини. Для цього необхідно:
- оцінити, чи ваша компанія обробляє персональні дані, які становлять особливий ризик для прав і свобод суб’єктів персональних даних.
- подати повідомлення до Уповноваженого Верховної Ради з прав людини про обробку таких персональних даних (за необхідності).
Крок 2. Визначте порядок обробки персональних даних
На цьому етапі важливо чітко визначити всі аспекти обробки персональних даних у вашій компанії. Сформуйте детальний порядок обробки, зокрема:
- спосіб збору, накопичення персональних даних;
- строк та умови зберігання персональних даних;
- умови та процедуру зміни, видалення або знищення персональних даних;
- умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;
- порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних;
- заходи забезпечення захисту персональних даних;
- процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.
Крок 3. Оформіть внутрішню документацію
- Розробіть Політику конфіденційності – вона має містити мету збору персональних даних, права суб’єкта та порядок обробки та інші положення відповідно до Закону.
- Створіть внутрішні політики обробки персональних даних для працівників, які мають доступ до таких даних та визначте обов’язки та права осіб, відповідальних за організацію роботи, пов’язаної із захистом персональних даних під час їх обробки.
- Укладіть письмові договори з розпорядниками персональних даних (наприклад, з ІТ-підрядниками, сервісами CRM тощо);
- Розробіть іншу документацію, повʼязану з обробкою персональних даних.
Крок 4. Призначте відповідальну особу за захист персональних даних (за необхідності)
Якщо ваш бізнес підпадає під вимоги щодо призначення структурного підрозділу або відповідальної особи, що організовує роботу, пов’язану із захистом персональних даних (наприклад, ви обробляєте чутливі персональні дані), ви зобовʼязані:
- Оцінити чи здійснюється обробка персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних.
- Призначити таку відповідальну особу або створити окремий підрозділ для контролю за дотриманням законодавства.
Крок 5. Оцініть відповідність країн для передачі персональних даних (за необхідності)
Якщо ви плануєте здійснювати транскордонну передачу персональних даних необхідно:
- Перевірити, чи така країна (1) входить до Європейського економічного простору, (2) підписала Конвенцію Ради Європи № 108, або (3) є учасницею (IOSCO.
- Якщо жодне з вищепереліченого не застосовується – перевірити перелік держав, визначених Кабінетом Міністрів України (зокрема, які містяться у Постанові № 910).
- Перевірити, чи можна застосувати інший спосіб передачі, передбачений Законом.
Крок 6. Забезпечте безпеку та захист персональних даних
- Визначте перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки, зокрема заходи, спрямовані на запобігання їх випадкової втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
- Впровадьте технічні та організаційні заходи безпеки:
- Шифрування та резервне копіювання даних.
- Контроль доступу (мінімізація доступу до персональних даних лише для уповноважених осіб).
- Розробка плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій.
Крок 7. Регулярно переглядайте та оновлюйте політики
- Аналізуйте зміни у законодавстві (зокрема, майбутній новий закон про персональні дані).
- Регулярно оновлюйте політику конфіденційності, внутрішню документацію та договори.
- Навчайте співробітників правилам захисту персональних даних.
Висновок
Хоча Закон України “Про захист персональних даних” значно поступається GDPR за рівнем деталізації та вже не повною мірою відповідає сучасним реаліям та європейським стандартам, його вимоги залишаються обов’язковими для всіх компаній, що працюють з персональними даними.
Очікуваний новий закон про захист персональних даних має виправити поточні недоліки, зробити українське законодавство більш ефективним і наблизити його до стандартів ЄС. Однак вже зараз бізнесу необхідно приділяти увагу належній обробці персональних даних, впровадженню політик безпеки та підвищенню обізнаності співробітників, щоб мінімізувати ризики та підготуватися до нових правил.
Тому дотримання вимог Закону – це не тільки обов’язок, але й інвестиція в майбутнє вашого бізнесу.
Не зволікайте, якщо у вас є питання або необхідність в аудиті та підготовці документації, звертайтесь до нас – ми оперативно допоможемо вашому бізнесу відповідати всім вимогам законодавства щодо захисту персональних даних.
