Сначала разберемся, что такое персональные данные. Это любая информация о человеке, которую можно идентифицировать. Имя, телефон и электронная почта, возраст, место работы, доход, семейное положение, сведения о состоянии здоровья, даже цвет волос позволяют определить конкретное лицо.
Обычно такая информация хранится в базах данных.
Современные базы данных структурируются в хранилищах по определенному признаку, связаны друг с другом и используются для удовлетворения тех или иных потребностей их владельцев. Таким образом, базы данных имеют две функции – хранение информации и управление ею.
Собирать персональные данные могут государственные органы, а также организации и предприятия. Первые используют их для предоставления услуг и контроля, вторые – исключительно для оказания услуг.
Согласно требованиям законодательства, в частности Закону Украины «О защите персональных данных» (далее ‒ ЗУ), лицу должны сообщить о сборе персональных данных.
В частности:
- об источниках сбора информации и местонахождении персональных данных;
- цель обработки данных, местожительство (пребывание) владельца или распорядителя персональных данных;
- срок хранения этих данных;
- условия предоставления доступа к персональным данным, в частности информацию относительно третьих лиц, которым передаются персональные данные;
- собственные права: владелец обязан объяснить лицу все права, связанные с персональными данными.
Обычно такую информацию размещают в публичной оферте на сайте предприятия. Или на отдельной странице, которая в названии содержит слово «конфиденциальность» или его английский аналог privacy.
Какие персональные данные о физическом лице являются тайной
Юридическая компания Avitar объясняет, что на все персональные данные распространяется действие отмеченного закона, потому они являются конфиденциальными или считаются информацией с ограниченным доступом.
Владельцы таких данных (физическое или юридическое лицо) должны приложить надлежащие усилия для ограждения вытекания информации и несанкционированного доступа к ней. Особого внимания требуют данные о здоровье, сексуальной ориентации, политических и религиозных взглядах и другие, которые прописаны в статье 7 ЗУ.
Можно ли передавать персональные данные третьим лицам?
ЗУ «О защите персональных данных» наравне с Общим регламентом о защите данных (GDPR), действующим в пределах законодательства ЕС, определяет суровые критерии для передачи данных третьим лицам.
Передача запрещена во всех случаях, кроме таких:
- передача данных необходима для выполнения соглашения;
- субъект персональных данных дал четкое согласие на передачу;
- передача данных является требованием законодательства.
Также владелец персональных данных может передавать их своим распорядителям на основании письменного договора об обработке данных.
Защита персональных баз данных и ее регламентация государством
Главным нормативно-правовым актом, который регулирует защиту персональных баз данных есть вышеупомянутый закон.
Частью 1 статьи 24 предусмотрено, что владельцы, распорядители персональных данных и третьи лица обязаны обеспечить защиту этих данных от случайной потери или уничтожения, незаконной обработки, в том числе от незаконного уничтожения или доступа к ним.
Кроме этого, владелец персональных данных обязан сообщать уполномоченному Верховной Рады Украины по правам человека об обработке персональных данных, которые представляют особый риск для прав и свобод человека, о передаче персональных данных третьему лицу и о каждом изменении сведений.
Однако юристы компании Avitar отмечают: владельцы и распорядители персональных данных не обязаны по закону сообщать государственные органы об утечке данных.
Права человека относительно персональных данных
В соответствии со статьей 8 ЗУ (некоторые пункты уже изложены выше), украинцы имеют право:
- на доступ к собственным данным;
- на их защиту от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным укрывательством, непредоставлением или несвоевременным предоставлением, а также на защиту от предоставления сведений, являющимся неправдивыми или позорящими честь, достоинство и деловую репутацию лица;
- на защиту от автоматизированного решения, которое имеет для человека правовые последствия;
- лицо должно получить ответ, подвергаются ли обработке его персональные данные, а также получить содержание этих данных не позже 30 календарных дней после поступления запроса, кроме случаев, предусмотренных законом;
- может вносить предостережение относительно ограничения права на обработку персональных данных во время предоставления согласия;
- отзывать согласие на такую обработку;
- должен знать алгоритм автоматической обработки персональных данных.
Право обращения к владельцу персональных данных
В случае незаконной обработки персональных данных и вмешательства в личную жизнь, человек имеет право обратиться к владельцу или распорядителю персональных данных с мотивированным требованием:
- запретить обработку его данных;
- в случае недостоверности информации внести изменения в свои данные;
- требовать их удаления (уничтожения). Если это требование не будет выполнено, можно обратиться к Уполномоченному Верховной Рады Украины по правам человека (неофициальное название ‒ Омбудсмен) или в суд, чтобы обжаловать действия или бездеятельность владельца (распорядителя) персональных данных.
Именно Омбудсмен контролирует защиту персональных данных: по обращению лица проводит проверку, составляет соответствующий акт, на основании которого в случае выявления нарушений выносится предписание об их устранении или протокол об административном правонарушении.
Причины утечки персональных данных и органы контроля
Любая утечка данных является погрешностью в системе кибербезопасности компании, независимо от причин: это могут быть действия, связанные с сетью Интернет или облачными сервисами или физическое вмешательство.
Самые распространенные причины:
- слабые или украденные учетные данные;
- уязвимость дополнений;
- вредное ПО;
- вредные инсайдеры;
- внутренняя ошибка системы.
Часть этих проблем решается за счет внутренней политики, которая объясняет требования и правила обращения с данными. Оперативно реагировать на утечку персональных данных обязан его владелец. Но если этого не происходит, обращайтесь к Офису Омбудсмена Украины ‒ он регулирует эти вопросы. В случае утечки данных компанию-владельца ожидает проверка и штраф.
Ответственность за утечку или незаконную передачу персональных данных
Юристы Avitar также объясняют: законодательством предусмотрена криминальная ответственность за действия, которые касаются персональных данных. В частности:
- статья 132. Разглашение сведений о проведении медицинского осмотра на выявление заражения вирусом иммунодефицита человека или другой неизлечимой инфекционной болезни;
- статья 145. Незаконное разглашение врачебной тайны;
- статья 168. Разглашение тайны усыновления (удочерение);
- статья 232. Разглашение коммерческой или банковской тайны.
Согласно статье 188-39 Кодекса Украины об административных правонарушениях владелец несет административную ответственность за нарушение законодательства относительно защиты персональных данных, а именно:
- за несообщение или несвоевременное сообщение Омбудсмена об обрабатывании персональных данных или об изменении сведений, а также за сообщение неполных или неправдивых сведений;
- невыполнение требований (предписаний) Омбудсмана относительно предотвращения относительно предотвращения или устранения нарушений законодательства о защите персональных данных;
- несоблюдение порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных.
Общим регламентом о защите данных, действующим на территории ЕС, в зависимости от вида нарушения (касается персональных данных резидентов) предусмотрена ответственность в виде штрафов:
- до €10 млн или до 2% ежегодного мирового оборота за предыдущий финансовый год для предприятий в зависимости от того, какой показатель больше;
- до €20 млн или 4% от годового мирового обороту за предыдущий финансовый год для предприятий.
Новое в отрасли персональных данных: опыт ЕС
Чтобы повысить стандарты защиты данных и упростить взаимодействие с бизнесом, в украинском законодательстве готовятся изменения, которые базируются на европейском документе, Общем регламенте о защите данных (GDPR).
Разрабатываются три версии законопроекта, одну из которых поддерживает ЕС, однако финальная, на которую можно сослаться при проведении анализа, пока не опубликована.
