Експертна думка. Обробка персональних даних в Україні: правові аспекти
Олександр Кожухар, член Ради Комітету з ІТ, медіа та захисту персональних даних Асоціації правників України, керуючий юрист AVELLUM, у колонці для ЮРЛІГИ розглянув основні правові аспекти роботи з персональними даними в Україні.
Ми сьогодні спостерігаємо світову тенденцію до стрімкого розвитку законодавства, яке стосується новітніх технологій та суміжних питань. Системи штучного інтелекту та потенційне прийняття AI Act. Дуже великі онлайн-платформи (VLOPs) та набрання чинності Digital Markets Act. І, авжеж, Загальний регламент про захист даних (GDPR), який після набрання чинності в 2018 році продовжує впливати на організації у всьому світі. Не в останню чергу завдяки своїй екстериторіальній дії.
Україна відстає від згаданих тенденцій регулювання. Закон України «Про захист персональних даних» був прийнятий понад 10 років тому для імплементації Директиви 95/46 (на сьогодні втратила актуальність) та істотно не переглядався. Потреба змінити чинне регулювання є нагальною. Це необхідно для членства в ЄС та інтеграції до Єдиного цифрового ринку зокрема. Цю потребу бачить і парламент. Тривалий час ведеться робота над відповідним законопроєктом (№ 8153), який покликаний імплементувати вимоги GDPR. Нещодавно цей законопроєкт було внесено до порядку денного одинадцятої сесії Верховної Ради. Тому доцільно слідкувати за подальшими кроками з цього питання.
Поки ринок чекає на нові правила гри у сфері захисту персональних даних, організації налагоджують свої процеси, керуючись чинним законодавством. При цьому, як ми бачимо на практиці, вони також намагаються враховувати найкращі міжнародні практики для готовності до майбутніх змін та, де це необхідно, впровадження вимог своїх контрагентів, зокрема з ЄС.
Нижче розглянемо основні правові аспекти роботи з персональними даними в Україні, які слідують з поточного регулювання.
Почніть із «чому»
Перед тим, як визначити застосовні законодавчі вимоги, доцільно виділити перелік ваших процесів, пов'язаних з використанням персональних даних (наприклад, рекрутинг, маркетинг тощо). Після цього спробуйте відповісти на декілька основних запитань:
- яка роль вашої організації в цьому процесі? Так, якщо ви визначаєте мету і обсяг обробки даних, ви дієте як володілець (контролер) даних та несете основну відповідальність за дотримання законодавства. Якщо ж вам доручає обробку даних інша особа, ви будете розпорядником (оператором) даних, діючи відповідно до інструкцій володільця даних;
- чиї персональні дані ви обробляєте — резидентів України чи також осіб, які проживають в інших юрисдикціях, наприклад в ЄС? Чи передбачається обробка персональних даних малолітніх чи неповнолітніх осіб? Як ви отримуєте персональні дані — напряму від особи, чиї дані ви обробляєте, чи в інший спосіб?
- які саме персональні дані ви використовуєте, зокрема чи використовуєте ви «чутливі» персональні дані (наприклад, дані про здоров'я)? Чи виправданий такий обсяг обробки даних? Звернемо увагу, що як регулювання ЄС, так і українське законодавство визнає принцип мінімізації даних, за яким слід уникати надмірного використання даних, тобто такого використання, яке не є необхідним для визначеної мети;
- яка основна та додаткова мета використання даних? Чи існує реальна ймовірність, що ви будете використовувати ці дані для інших цілей у майбутньому?
- хто в межах вашої організації має доступ до персональних даних та з якою метою? Чи плануєте ви передавати ці дані іншим особам (в Україні та за кордоном)? Якщо так, з якою метою?
- як ви плануєте зберігати персональні дані (фізично чи електронно) та протягом якого строку? Як ви плануєте захищати такі дані від втрати? Хто буде контролювати належну обробку даних в межах організації?
Відповіді на ці запитання (стосовно кожного процесу обробки даних) доцільно задокументувати. Ви можете це зробити у вигляді реєстру (за аналогією з реєстром діяльності з обробки даних, який організації з ЄС повинні вести відповідно до GDPR) або іншого схожого документа (наприклад, data inventory чи data mapping). Шаблони таких реєстрів (у форматі таблиць) можна знайти на веб-сайтах місцевих регуляторів з ЄС. Альтернативно можна скористатися програмним забезпеченням, яке розроблено для опису процесів обробки даних.
Виконання зазначеної вправи дозволить зрозуміти поточний стан справ у межах організації та визначити подальші кроки. Так, ви зможете накласти на ці процеси застосовні законодавчі вимоги, оцінити ступінь дотримання законодавства та виокремити наявні прогалини (gap analysis). Після цього ви зможете провести роботу з вирішення таких проблем для мінімізації ризиків порушення законодавства та суміжних репутаційних ризиків.
Збір даних: законність та прозорість
Законність
Центральною законодавчою вимогою у сфері захисту персональних даних є законність обробки. Вона передбачає, що кожен процес обробки даних здійснюється за наявності однієї або декількох належних підстав. В Україні найпоширенішими підставами в приватному секторі є згода особи, виконання обов'язку володільця даних, передбаченого законом, та укладення та виконання правочину, стороною якого є особа, чиї дані ви обробляєте. Кожна організація повинна оцінити можливість застосування тієї чи іншої підстави в кожному окремому випадку.
Окремий важливий аспект — це збір «чутливих» персональних даних (даних, обробка яких становить особливий ризик для прав і свобод суб'єктів), що включає дані про здоров'я та біометричні дані. Використання таких даних покладає на організацію додаткові обов'язки. Наприклад, передбачається вужчий перелік підстав для обробки, а також — у певних випадках — обов'язок повідомити регулятору про використання таких даних та призначити відповідальну особу в межах організації. Враховуючи це, а також ризики, пов'язані з будь-яким можливим витоком даних, організації повинні попередньо оцінювати доцільність такої обробки.
Прозорість
Організації повинні забезпечити, щоб персональні дані оброблялися відкрито та прозоро. Відповідно, вони повідомляють особі, чиї дані використовуються, про основні аспекти такого використання — хто є володільцем даних, які дані використовуються та з якою метою, які в особи є права та кому можуть передаватися персональні дані. Така інформація повідомляється в момент збору даних (якщо дані збираються безпосередньо в особи) або протягом 30 робочих днів з дати збору даних (в інших випадках). Спосіб надання такої інформації визначається залежно від конкретного процесу обробки даних та може відрізнятися, наприклад, у випадку рекрутингу та електронної комерції.
Використання та захист персональних даних: на що звернути увагу
Обмеження мети та обсягу обробки
Організація може використовувати персональні дані в межах, дозволених відповідною підставою для обробки. Так, особа надає свою згоду на обробку даних у чітко встановлених межах, де визначаються обсяг та мета обробки. При цьому, якщо в певний момент в організації змінюється мета обробки і така мета є несумісною з попередньою метою (наприклад, дані збиралися для рекрутингу, а надалі використовуються для маркетингу), подальша обробка вимагає повторної згоди такої особи або наявності іншої підстави для обробки.
Зобов'язання працівників
Виокремивши власні процеси обробки даних, організація визначає працівників, які матимуть доступ до персональних даних. Важливо, щоб такий доступ надаватися саме для виконання професійних чи трудових обов'язків працівника (а не, до прикладу, всім працівникам незалежно від їхньої функції в організації). Такі працівники зобов'язані не розголошувати персональні дані. Зобов'язання про нерозголошення зазвичай включається в письмовий трудовий договір (якщо такий є) або в окрему угоду про нерозголошення.
Зберігання та захист даних
Важливим аспектом роботи з персональними даними є визначення строків зберігання даних, а також захист останніх. Законодавство значною мірою залишає це питання на розсуд організації, встановлюючи лише загальні правила.
Так, обробка даних повинна здійснюватися не довше, ніж це необхідно для законних цілей, у яких такі дані збиралися. При цьому допускається подальша обробка в, із-поміж іншого, статистичних цілях. На практиці організації самостійно вирішують це питання з огляду на таке:
- строки зберігання документа, в якому містяться персональні дані, відповідно до правил документообігу;
- волевиявлення особи, чиї дані використовуються (наприклад, особа може заперечувати проти обробки або вимагати знищення даних); та
- досягнення мети обробки даних.
Що стосується захисту даних, організації вправі самостійно визначити технічні та організаційні заходи. Це може включати проведення внутрішніх тренінгів, впровадження процедур доступу до даних тощо. Головне, щоб такі заходи були достатніми для запобігання втраті даних.
Конкретні підходи організації до строків зберігання та захисту персональних даних доцільно задокументувати у внутрішніх політиках. Наприклад, у політиці зберігання даних (data retention policy) організації визначають як строки зберігання (або загальний підхід до визначення строків зберігання), так і дії організації після закінчення строків (наприклад, знищення чи анонімізація даних).
Передача персональних даних
Підстава передачі
Будь-яка робота з персональними даними передбачає, що в організації є належна підстава, яка дозволяє вчинення відповідних дій з даними. Це також стосується передачі даних іншим особам. Відповідно, якщо організація покладається на згоду особи, чиї дані вона планує передати, необхідно, щоб отримана згода також допускала можливість такої передачі.
Окремо слід звертати увагу на передачу персональних даних з України в ті країни, які не визнаються нашою державою як такі, що забезпечують належний захист даних. У цьому випадку передача допускається у разі виконання однієї з додаткових умов (наприклад, наявність однозначної згоди особи на таку передачу).
Документація
Коли організація вирішує доручити обробку персональних даних третій особі (наприклад, підряднику), необхідно, щоб між організацією та такою третьою особою був письмовий договір, в якому визначаються обсяг та мета обробки даних. Додаткові договірні умови визначаються на розсуд сторін.
При цьому на сьогодні в Україні відсутній обов'язок укладати в такому разі окремий договір про обробку даних (за зразком data processing agreement в ЄС). Достатньо врегулювати питання обробки даних у чинному письмовому договорі з третьою особою. Щоправда, якщо залучення третьої особи до роботи з персональними даними є істотним, доцільно розглянути більш комплексний підхід до документування відносин між сторонами.
Висновки
Процеси обробки персональних даних регулярно змінюються: одні втрачають актуальність, нові швидко з'являються. Так само виникають нові ринкові стандарти роботи з персональними даними, які слідують з нового законодавства або вимог іноземних контрагентів. Тому робота з персональними даними — це завжди динаміка, що вимагає постійного контролю за внутрішніми практиками організації. Робота з даними — це також про комплексність, оскільки стосується всього циклу життя даних в межах організації. Від первинного збору до остаточного знищення даних.
Для забезпечення динаміки та комплексності цієї роботи необхідно реально оцінювати стан справ у межах організації та оновлювати таку оцінку в міру появи нових процесів обробки даних. Паралельно з цим слід усувати виявлені недоліки та впроваджувати найкращі ринкові практики. Це дозволить не лише мінімізувати ризики порушення законодавства та репутаційні ризики, а й краще підготуватися до майбутніх євроінтеграційних змін та зміцнити довіру з боку осіб, які вирішили довірити організації свої дані.