Передача персональних даних третім особам здійснюється відповідно до законодавства про захист персональних даних і підпорядковується визначеним правилам. Зазвичай така передача можлива лише за згодою особи, чиї дані обробляються, або в випадках, прямо передбачених законом. Порушення встановлених вимог може спричинити цивільну, адміністративну чи навіть кримінальну відповідальність. Детальніше про захист персональних даних, розповідає IT адвокат АО “Inferno DLC”.
Що вважається передачею персональних даних
Згідно зі статтею 14 Закону України “Про захист персональних даних” поширенням персональних даних є дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних. Треті особи – це будь-які особи, окрім суб’єкта персональних даних, володільця чи розпорядника персональних даних, а також Уповноваженого Верховної Ради України з прав людини, яким володілець або розпорядник передає персональні дані.
Передача персональних даних може відбуватися у різний спосіб, зокрема: електронною поштою, через різного роду CRM-системи або інші сервіси, у письмовій формі чи усно.
До прикладу, якщо роботодавець передає дані працівника бухгалтерській компанії, яка надає послуги на умовах аутсорсингу для нарахування заробітної плати, – це вважається передачею персональних даних третій особі. Важливо розуміти, що навіть передача персональних даних у межах єдиної корпоративної групи – скажімо, між материнською та дочірньою компанією також може кваліфікуватися як передача персональних даних третім особам.
Отож, передачею персональних даних третім особам слід вважати будь-яке надання доступу до таких даних особам, які не є суб’єктом даних, володільцем або розпорядником персональних даних.
Які умови потрібно виконати для законної передачі даних
Для того, щоб передача персональних даних третім особам була правомірною, необхідно дотримуватись ряду законодавчих вимог. Так, відповідно до ЗУ “Про захист персональних даних”, такою підставою може бути передусім чітка згода суб’єкта персональних даних, виражена у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Особа, дані якої передаються, повинна бути належним чином поінформована про мету обробки, коло третіх осіб, яким передаються дані, а також про строки зберігання й можливі ризики. Поширення персональних даних без згоди суб’єкта або уповноваженої ним особи допускається лише у випадках, прямо передбачених законом. Таке поширення можливе виключно за умови необхідності, зокрема в інтересах національної безпеки, економічного добробуту, захисту прав людини або для проведення Всеукраїнського перепису населення.
Іншими законними підставами для передачі даних можуть бути:
- Виконання договору, у якому суб’єкт персональних даних є стороною або який укладається на його користь;
- Виконання обов’язку, передбаченого законом;
- Захист життєво важливих інтересів суб’єкта;
- Реалізація законних інтересів володільця даних або третьої особи, якій дані передаються – за умови, що інтереси суб’єкта не мають пріоритету.
Згідно з ч. 3 ст. 29 ЗУ “Про захист персональних даних”, у випадках, коли дані передаються за межі України, обов’язково потрібно перевірити, чи гарантує іноземна держава належний рівень захисту персональних даних, відповідно до вимог законодавства України та міжнародних стандартів.
Також важливо враховувати, що відповідно до Закону України «Про захист персональних даних», у разі передачі персональних даних третім особам володілець зобов’язаний повідомити про це суб’єкта персональних даних протягом десяти робочих днів, якщо така вимога встановлена умовами наданої згоди або якщо інше не передбачено законом.
Як захистити дані при передачі
Захист персональних даних під час їх передачі третім особам є ключовим аспектом інформаційної безпеки. Насамперед важливо забезпечити, щоб передача здійснювалась лише на законних підставах і в обсязі, який відповідає визначеній меті. Дані не повинні передаватися «про запас» – має застосовуватись принцип мінімізації, тобто передаються лише ті відомості, які дійсно необхідні.
Обов’язок дотримання вимог щодо захисту персональних даних покладається на сторону, яка здійснює їх поширення. Водночас особа чи організація, що отримує такі дані, зобов’язана заздалегідь вжити заходів для забезпечення дотримання вимог, установлених Законом України «Про захист персональних даних».
Важливим елементом захисту є і належне оформлення договірних відносин із третьою стороною, якій передаються дані. Так, у договорі слід чітко визначити обсяг переданих даних, мету використання, заходи безпеки, відповідальність сторін та порядок повернення або знищення інформації після завершення обробки.
Ми рекомендуємо компаніям укладати угоди про нерозголошення (NDA) з підрядниками, консультантами та будь-якими іншими особами, які отримують або потенційно можуть отримати доступ до персональних даних працівників чи клієнтів. Такий підхід дозволяє:
- Мінімізувати ризики несанкціонованого доступу або витоку інформації;
- Забезпечити контроль за використанням даних;
- Реалізувати право компанії на вимогу відшкодування збитків або стягнення штрафних санкцій у разі порушення умов конфіденційності.
Для компаній також варто розробляти документи для внутрішнього використання працівниками, зокрема політику конфіденційності. Такий документ слугує основою, у якій визначаються порядок, умови, механізми захисту персональних даних працівників, а також можна передбачити процедуру їх передачі третім особам. Запровадження в компанії внутрішніх регламентів щодо обробки персональних даних є не лише елементом належного управління, а й вагомим доказом дотримання законодавства в разі перевірки Уповноваженим Верховної Ради України з прав людини у сфері захисту персональних даних або розгляду судових справ.
На практиці, наявність політики конфіденційності, положень про захист персональних даних та журналів доступу до персональної інформації дає змогу компаніям уникнути штрафів та мінімізувати юридичні ризики. Крім того, ці документи слугують основою для навчання персоналу та внутрішнього контролю в межах системи комплаєнсу.
Відповідальність за порушення
Порушення законодавства про захист персональних даних, зокрема під час їх передачі третім особам, може мати серйозні юридичні наслідки. Так, передбачено цивільну, адміністративну і навіть кримінальну відповідальність за незаконну передачу персональних даних фізичних осіб.
- Цивільна відповідальність передбачає право особи звернутися до суду з позовом про відшкодування матеріальної шкоди або компенсацію моральної шкоди, завданої внаслідок незаконної передачі її персональних даних третім особам.
- Адміністративна відповідальність встановлена, зокрема, статтею 188-39 Кодексу України про адміністративні правопорушення. Так, недотримання встановленого порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, тягне за собою адміністративну відповідальність;
– для громадян — від 100 до 500 неоподатковуваних мінімумів доходів громадян;
– для посадових осіб і фізичних осіб — підприємців — від 300 до 1000 неоподатковуваних мінімумів доходів громадян. - Також стаття 182 Кримінального кодексу України передбачає кримінальну відповідальність за порушення недоторканності приватного життя, зокрема за незаконне збирання, зберігання, використання, знищення, поширення або зміну конфіденційної інформації про особу без її згоди. Санкції передбачають:
– штраф від 500 до 1 000 неоподатковуваних мінімумів доходів громадян;
– виправні роботи до 2 років;
– арешт до 6 місяців;
– обмеження волі до 3 років.
Якщо у Вас виникли питання щодо обробки або передачі персональних даних, звертайтеся до АО “ІНФЕРНО ДЛК” за професійною консультацією. Наша команда допоможе Вам розібратись у складних питаннях законності передачі персональних даних, захисту конфіденційної інформації та відповідальності за її неправомірне використання. Ми захистимо Ваші права та сприятимемо справедливому врегулюванню ситуацій, пов’язаних з порушенням законодавства у сфері персональних даних.
Автор статті
Любомир Зеленчук
Молодший юрист
Буде корисно
Рекомендуємо також прочитати
Реєстрація торговельної марки в США: вимоги, вартість та процес
Гіг-контракт: що це та навіщо він потрібен
Як ІТ-компанії захистити свою інтелектуальну власність: реєстрація авторства на IT розробки