Персональные данные клиентов: что это и как их хранить

Персональные данные клиентов

Сначала разберемся, что такое персональные данные. Это любая информация о человеке, которую можно идентифицировать. Имя, телефон и электронная почта, возраст, место работы, доход, семейное положение, сведения о состоянии здоровья, даже цвет волос позволяют определить конкретное лицо.

Обычно такая информация хранится в базах данных.

Современные базы данных структурируются в хранилищах по определенному признаку, связаны друг с другом и используются для удовлетворения тех или иных потребностей их владельцев. Таким образом, базы данных имеют две функции – хранение информации и управление ею.

Собирать персональные данные могут государственные органы, а также организации и предприятия. Первые используют их для предоставления услуг и контроля, вторые – исключительно для оказания услуг.

Согласно требованиям законодательства, в частности Закону Украины «О защите персональных данных» (далее ‒ ЗУ), лицу должны сообщить о сборе персональных данных. 

В частности: 

  • об источниках сбора информации и местонахождении персональных данных;
  • цель обработки данных, местожительство (пребывание) владельца или распорядителя персональных данных; 
  • срок хранения этих данных; 
  • условия предоставления доступа к персональным данным, в частности информацию относительно третьих лиц, которым передаются персональные данные; 
  • собственные права: владелец обязан объяснить лицу все права, связанные с персональными данными. 

Обычно такую информацию размещают в публичной оферте на сайте предприятия. Или на отдельной странице, которая в названии содержит слово «конфиденциальность» или его английский аналог privacy.

Какие персональные данные о физическом лице являются тайной

Юридическая компания Avitar объясняет, что на все персональные данные распространяется действие отмеченного закона, потому они являются конфиденциальными или считаются информацией с ограниченным доступом. 

Владельцы таких данных (физическое или юридическое лицо) должны приложить надлежащие усилия для ограждения вытекания информации и несанкционированного доступа к ней. Особого внимания требуют данные о здоровье, сексуальной ориентации, политических и религиозных взглядах и другие, которые прописаны в статье 7 ЗУ. 

Можно ли передавать персональные данные третьим лицам? 

ЗУ «О защите персональных данных» наравне с Общим регламентом о защите данных (GDPR), действующим в пределах законодательства ЕС, определяет суровые критерии для передачи данных третьим лицам. 

Передача запрещена во всех случаях, кроме таких: 

  • передача данных необходима для выполнения соглашения; 
  • субъект персональных данных дал четкое согласие на передачу; 
  • передача данных является требованием законодательства.

Также владелец персональных данных может передавать их своим распорядителям на основании письменного договора об обработке данных. 

Защита персональных баз данных и ее регламентация государством

Захист персональних баз даних та його регламентація державою

Главным нормативно-правовым актом, который регулирует защиту персональных баз данных есть вышеупомянутый закон. 

Частью 1 статьи 24 предусмотрено, что владельцы, распорядители персональных данных и третьи лица обязаны обеспечить защиту этих данных от случайной потери или уничтожения, незаконной обработки, в том числе от незаконного уничтожения или доступа к ним. 

Кроме этого, владелец персональных данных обязан сообщать уполномоченному Верховной Рады Украины по правам человека об обработке персональных данных, которые представляют особый риск для прав и свобод человека, о передаче персональных данных третьему лицу и о каждом изменении сведений. 

Однако юристы компании Avitar отмечают: владельцы и распорядители персональных данных не обязаны по закону сообщать государственные органы об утечке данных. 

Права человека относительно персональных данных 

В соответствии со статьей 8 ЗУ (некоторые пункты уже изложены выше), украинцы имеют право: 

  • на доступ к собственным данным; 
  • на их защиту от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным укрывательством, непредоставлением или несвоевременным предоставлением, а также на защиту от предоставления сведений, являющимся неправдивыми или позорящими честь, достоинство и деловую репутацию лица; 
  • на защиту от автоматизированного решения, которое имеет для человека правовые последствия; 
  • лицо должно получить ответ, подвергаются ли обработке его персональные данные, а также получить содержание этих данных не позже 30 календарных дней после поступления запроса, кроме случаев, предусмотренных законом; 
  • может вносить предостережение относительно ограничения права на обработку персональных данных во время предоставления согласия; 
  • отзывать согласие на такую обработку;
  • должен знать алгоритм автоматической обработки персональных данных. 

Право обращения к владельцу персональных данных 

В случае незаконной обработки персональных данных и вмешательства в личную жизнь, человек имеет право обратиться к владельцу или распорядителю персональных данных с мотивированным требованием: 

  • запретить обработку его данных; 
  • в случае недостоверности информации внести изменения в свои данные; 
  • требовать их удаления (уничтожения). Если это требование не будет выполнено, можно обратиться к Уполномоченному Верховной Рады Украины по правам человека (неофициальное название ‒ Омбудсмен) или в суд, чтобы обжаловать действия или бездеятельность владельца (распорядителя) персональных данных. 

Именно Омбудсмен контролирует защиту персональных данных: по обращению лица проводит проверку, составляет соответствующий акт, на основании которого в случае выявления нарушений выносится предписание об их устранении или протокол об административном правонарушении.

Причины утечки персональных данных и органы контроля 

Причини витоку персональних даних та органи контролю

Любая утечка данных является погрешностью в системе кибербезопасности компании, независимо от причин: это могут быть действия, связанные с сетью Интернет или облачными сервисами или физическое вмешательство.  

Самые распространенные причины: 

  • слабые или украденные учетные данные; 
  • уязвимость дополнений; 
  • вредное ПО; 
  • вредные инсайдеры; 
  • внутренняя ошибка системы. 

Часть этих проблем решается за счет внутренней политики, которая объясняет требования и правила обращения с данными. Оперативно реагировать на утечку персональных данных обязан его владелец. Но если этого не происходит, обращайтесь к Офису Омбудсмена Украины ‒ он регулирует эти вопросы. В случае утечки данных компанию-владельца ожидает проверка и штраф.

Ответственность за утечку или незаконную передачу персональных данных 

Юристы Avitar также объясняют: законодательством предусмотрена криминальная ответственность за действия, которые касаются персональных данных. В частности: 

  • статья 132. Разглашение сведений о проведении медицинского осмотра на выявление заражения вирусом иммунодефицита человека или другой неизлечимой инфекционной болезни; 
  • статья 145. Незаконное разглашение врачебной тайны; 
  • статья 168. Разглашение тайны усыновления (удочерение); 
  • статья 232. Разглашение коммерческой или банковской тайны. 

Согласно статье 188-39 Кодекса Украины об административных правонарушениях владелец несет административную ответственность за нарушение законодательства относительно защиты персональных данных, а именно: 

  • за несообщение или несвоевременное сообщение Омбудсмена об обрабатывании персональных данных или об изменении сведений, а также за сообщение неполных или неправдивых сведений; 
  • невыполнение требований (предписаний) Омбудсмана относительно предотвращения относительно предотвращения или устранения нарушений законодательства о защите персональных данных; 
  • несоблюдение порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных. 

Общим регламентом о защите данных, действующим на территории ЕС, в зависимости от вида нарушения (касается персональных данных резидентов) предусмотрена ответственность в виде штрафов: 

  • до €10 млн или до 2% ежегодного мирового оборота за предыдущий финансовый год для предприятий в зависимости от того, какой показатель больше; 
  • до €20 млн или 4% от годового мирового обороту за предыдущий финансовый год для предприятий. 

Новое в отрасли персональных данных: опыт ЕС 

Чтобы повысить стандарты защиты данных и упростить взаимодействие с бизнесом, в украинском законодательстве готовятся изменения, которые базируются на европейском  документе, Общем регламенте о защите данных (GDPR). 

Разрабатываются три версии законопроекта, одну из которых поддерживает ЕС, однако финальная, на которую можно сослаться при проведении анализа, пока не опубликована.

Related Terms

НЕ ПРОПУСТИТЬ САМОЕ ИНТЕРЕСНОЕ

x