Report about error or idea
YouControl
logo youcontrol
ENG
youcontrol youcontrol
0 800 309 077
Free call

Register and check 10 companies for free, or get a phone consultation by calling us at 0 800 309 077.

Комплаєнс в галузі захисту персональних даних
20 min

Комплаєнс в сфері захисту персональних даних: що це і для чого

 

Комплаєнс (compliance) в нашій державі, останнім часом, стає частиною управління ризиками, гарантування безпеки бізнесу та його інвестиційної привабливості.
Тема захисту персональних даних та дотримання законодавства про них найчастіше зводиться до ключових питань: «Що це?», «Що передбачає процедура їх обробки?» та «Що таке комплаєнс у сфері персональних даних?». Давайте шукати відповіді на ці запитання.  


Зростання ролі технологій в суспільному житті, внаслідок чого здійснюється обробка все більшого об’єму персональних даних, викликає масу запитань щодо ефективності юридичних механізмів, які забезпечують їх захист. Все більше і більше держав реформують власне законодавство захисту персональних даних та впроваджують суворі правові стандарти забезпечення їх безпеки.


В Україні право на приватність гарантовано Конституцією, а захист персональних даних - одна зі сфер, в якій така гарантія повинна реалізовуватися.
Право на приватність, як зазначено вище, та на захист персональних даних в разі їхньої обробки закріплене в ст. 32 Конституції України, яка містить таке положення: «Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України». Також в ній гарантується недопущення: «Збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом». Ця конституційна норма в цілому відповідає стандартам, які містяться в Міжнародному Пакті про громадянські та політичні права 1996 року і Європейській конвенції прав людини 1950 року.


При цьому, 25 травня 2018 року, в Європейському Союзі вступило в дію нове регулювання захисту персональних даних - Регламент про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних (англ. General Data Protection Regulation, скор. GDPR, далі – Регламент), який суттєво посилює вимоги щодо обробки персональних даних в частині їхнього захисту. 
Оскільки стратегічним зовнішньополітичним курсом України є європейська інтеграція, то нові стандарти ЄС та питання їх співвідношення із чинним українським законодавством є надзвичайно актуальним.

 

Комплаєнс в сфері захисту персональних даних: що таке персональні дані


Для початку, ми маємо зрозуміти, що таке персональні дані. Наразі вичерпного їх переліку не сформовано, та розпізнати персональні дані можна за 3 основними елементами:
- «Окремі відомості або сукупність відомостей»: наразі персональні дані - не лише прізвище та ім'я фізичної особи, а значно суттєвіший обсяг даних, який може містити в собі інформацію про конкретну особу;
- «Дані про фізичну особу»: важливий аспект в сенсі розуміння того, що не всі дані є персональними, а лише ті, які стосуються фізичних осіб. Це означає, наприклад, що дані про компанії не потрапляють до категорії персональних даних;
- «Особа ідентифікована або може бути ідентифікована»: саме на основі таких даних можна зробити висновок про те, що мова йде про конкретну фізичну особу, тобто персональні дані характеризують фізичну особу.
На даний час немає сталого розуміння та тлумачення норм законодавства щодо захисту персональних даних. Окремо автори часто виділяють нижчезазначені проблеми, які виникають із розумінням та тлумаченням українського законодавства в сфері захисту персональних даних. 


В першу чергу відчувається брак якісної судової практики, що не сприяє ані одноманітному застосування відповідного законодавства, ані  його однаковому розумінню. Ті ж самі положення по різному трактуються різними суб'єктами (державними органами, громадянами, неурядовими організаціями та юридичними особами), а їх застосування, в багатьох випадках, залежить від того, яку позицію вони обстоюють, а не від реального змісту цих норм.
Проте, такий статус-кво зумовлений не винятково некваліфікованим правотлумаченням, а й недосконалістю самого закону. Положення законодавства є надто заплутаними, суперечливими і містять багато неточностей. В свою чергу, це і створює можливості для розширеного тлумачення. Закон можна тлумачити настільки широко, що при найширшому тлумаченні він узагалі не містить жодних зобов'язань для володільців персональних даних.


Як забезпечити захист персональних даних?

Належного захисту персональних даних можна досягти шляхом вжиття заходів за трьома основними напрямками:
- правові заходи: підготовка якомога більш змістовних політик, стратегій, застережень, договорів і окремих положень для них про те, яким чином відбувається збір та обробка персональних даних;
- організаційні заходи: налагодження і контроль за бізнес-процесами, які передбачають роботу із персональними даними, робота із персоналом, взаємодія із субпідрядниками, документування процесів тощо;
- технічні заходи. В таких напрямках має працювати володілець і розпорядник персональних даних, а саме: компанія, яка дані збирає і здійснює їх обробку (частіше за все, це одна і та ж компанія).
Компанії мають дбати й про належне інформування фізичних осіб, персональні дані яких вони обробляють. Тому важливо сповіщати про:
- права, які має фізична особа у процесі збору та обробки її персональних даних;
- категорії персональних даних, які збираються та обробляються;
- мету такої обробки та правові підстави, на яких ґрунтується така обробка (згода, законний інтерес, виконання договору, виконання зобов'язання, обробка в силу закону, захист життєво важливих інтересів);
- передачу персональних даних третім особам;
- інформацію про строки видалення даних.
Фізична ж особа може зіставити, чи виправдані ті обсяги та характер даних, які про неї збирають, задекларованій меті, а також чи має компанія взагалі на це право. Якщо прослідковуються певні зловживання, фізична особа вже на цьому етапі може захистити свої права і не надавати персональні дані або ж заперечувати проти їх обробки.


Відповідно до класифікації Міжнародної асоціації професіоналів у галузі приватності (IAPP), існує дві основних моделі регулювання персональних даних:
- секторальна (регулювання правового режиму відповідно до типу даних) — медичні та фінансові дані, дані про релігійні та політичні переконання мають окремі вимоги щодо захисту, передачі та обробки. Така модель застосовується, наприклад, у США, де спеціальні категорії даних, як то медичні та фінансові дані (HIPAA та GLBA відповідно) мають спеціальні вимоги до обробки і застосування механізмів безпеки; 
- всеохоплююча — встановлюється єдиний загальний режим регулювання персональних даних. Приклад — режим Європейського Союзу за GDPR.


Відповідно до існуючої у країні моделі регулювання компанії найчастіше будували свої стратегії комплаєнсу. Проте глобальна експансія бізнесу, зростаюча роль технологій у повсякденному житті та всеохопна експансія технологічних гігантів поставили під питання можливості локальної та секторальної організації управління даними.
Отже, постало питання, як правильно побудувати політику приватності в організації, аби врахувати строкате законодавство різних юрисдикцій, правила кроскордонної передачі даних, мінімізувати ризики та при цьому організувати процес ефективно.
Більшість глобальних регулювань об'єднують кілька спільних вимог, які закладають у рамковий підхід до управління приватністю. Відповідно до нього, доцільними будуть наступні кроки:
1. Провести розмітку даних: які дані збираються організацією (наприклад, резюме аплікантів на роботу, електронна пошта клієнтів для промо-розсилки, фізична адреса для доставки товарів).
2. Описати процес обробки даних: для яких цілей дані використовуються (маркетингова розсилка, надання сервісу користувачу, аналітика показників використання сервісу).
3. Створити перелік вендорів: описати усі сервіси, які використовує організація для роботи з даними (електронна пошта, хмарні сховища, корпоративні месенджери, сервіси для маркетингових розсилок тощо). Переконатись, що з усіма вендорами є належні договірні механізми для передачі таких даних. Якщо ви використовуєте сервіси великих технологічних компаній, перевірте секцію «Приватність» в угоді на використання таких сервісів.
4. При передачі даних у інші юрисдикції: описати порядок такої передачі та підстави (найчастіше договір, у окремих випадках підстави, передбачені законом).
5. Створити механізм інформованої активної згоди на обробку даних: розробити та описати у політиці приватності, що є згодою на обробку персональних даних користувача (згода на сайті, надання даних при використанні сервісу тощо).
6. Розробити механізми реалізації прав суб'єкта персональних даних: створити простий і зрозумілий механізм, який дозволить користувачу запросити у вашої організації видалення даних про користувача, надасть доступ користувачу до даних, які організація про нього зібрала, призупинення використання таких даних.
7. Створити політику приватності: на основі кроків, що описані вище, розробити політику приватності — опис процесу, як і навіщо організація використовує дані. Слід викласти її простою і зрозумілою мовою перед збором персональних даних (наприклад, на сайті перед тим, як зібрати дані користувача).
8. Регулярно оновлювати та актуалізувати описані вище процеси та періодично проводити аналіз впливу на безпеку даних (Data Privacy Impact Assessment), аби підтримувати належний рівень забезпечення приватності в організації.
Підсумовуючи, можна зробити висновок, що все більше організацій прямують до всеохоплюючого ринкового підходу до безпеки даних та забезпечення приватності шляхом вибудовування єдиної стратегії для різних юрисдикцій. Формування стратегічних процесів у організації дозволяє швидко масштабувати процеси обробки даних на нових ринках, легше проходити перевірки контрагентів і процедури закупівель та мінімізує регуляторні ризики.
Все частіше можна зустріти комплаєнс стратегії та політики компаній, все більше ми бачимо інтерес та прагнення бізнесу мати європейський рівень захисту персональних даних своїх працівників та клієнтів.

 

 


 

1.     Конституція України прийнята на V сесії Верховної Ради України 28 червня 1996 р. (зі змінами) // Відомості Верховної Ради України. – 1996. – № 30. – Ст. 141.

2.     Про захист персональних даних : Закон України від 01.06.2010 р. №2297-VI / Верховна Рада України. - Офіційний вісник України від 09.07.2010 р. – Офіц. вид. – 2010. - № 49. - Стор. 199, стаття 1604, код акту 51762/2010.

3.     Аналіз Закону України про захист персональних даних : DGI/DP/expertiseUKR(2012) / М. Жорж, Г. Саттон. – Страсбург : Рада Європи, 2012. – 63 с.

4.     Погребна А. Коментар до Закону України «Про захист персональних даних» / А. Погребна // Юридичний журнал. – 2010. - №7. – [Електронний ресурс]. Цит. 02.09.2010 р. Доступно з - http://www.justinian.com.ua/article.php?id=3579

5.     Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 р. про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 96/46/ЄС (Загальний регламент про захист даних) / Європейський Союз. – [Електронний ресурс]. Цит. 24.11.2014 р. Режим доступу - https://www.kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

6.     Городиський І. М. Відповідність законодавства України в сфері захисту персональних даних вимогам Регламенту ЄС щодо захисту персональних даних (GDPR) - http://aphd.ua/publication-570/;

7.     Захист персональних даних: робота на випередження, Тетяна Слабко, https://biz.ligazakon.net/ua/analitycs/195680_zakhist-personalnikh-danikh-robota-na-viperedzhennya ;

8.     Галина Василевська.  Управління приватністю даних в організаціях та комплаєнс: практичні кроки для бізнесу https://yur-gazeta.com/publications/practice/inshe/upravlinnya-privatnistyu-danih-v-organizaciyah-ta-komplaens-praktichni-kroki-dlya-biznesu.html.

 

Автор уроку: Вероніка Курінна, адвокат, провідний юрисконсульт НДСЛ «ОХМАТДИТ» МОЗ України

 

 

Ви можете замовити аналіз комплаєнс ризиків співпраці з компанією або ФОП. Щоб це зробити переходьте за посиланням

Отримайте знання від кращих експертів на ринку
Реєстрація в академії
Add "YouControl" app to your home screen
Press load -> ‘Add to Home Screen’