Персональні дані — це будь-які відомості, за якими можна прямо чи опосередковано встановити особу фізичної особи. Збір таких даних дозволений лише тим суб’єктам, які мають на це законні підстави та здійснюють його відповідно до вимог законодавства України про захист персональних даних, зокрема Закону України «Про захист персональних даних». Детальніше про персональні дані розповідає IT-адвокат АО “Inferno DLC”.
Персональні дані та їх види
Для початку слід зрозуміти, що саме мається на увазі під терміном “персональні дані”, згідно з українським законодавством. Дефініція цього терміну міститься у Законі України “Про захист персональних даних”, та говорить таке: персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Загалом, всі персональні дані можна поділити на дві великі групи: загальні – до них слід відносити, наприклад, відомості про ім’я, прізвище особи, вік, освіту, місце роботи, словом, усі ті відомості, які не належать до іншої групи персональних даних – так званих “чутливих” персональних даних.
В свою чергу до “чутливих” персональних даних відносяться:
- Відомості про расове або етнічне походження;
- Відомості про політичні, релігійні або світоглядні переконання;
- Відомості про членство в політичних партіях та професійних спілках;
- Відомості про засудження до кримінального покарання;
- Відомості, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.
“Чутливість” цих відомостей полягає в тому, що за загальним правилом обробка таких персональних даних забороняється, однак, може здійснюватися лише у випадках, чітко встановлених законодавством, наприклад, якщо такі відомості вже були явно оприлюднені суб’єктом персональних даних, або якщо обробка необхідна в цілях охорони здоров’я тощо.
Як використовуються персональні дані?
Під використанням персональних даних варто розуміти будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання права обробки персональних даних іншим суб’єктам відносин.
До суб’єкта, який використовує персональні дані встановлено ряд законодавчих вимог, які встановлюють умови використання таких даних. Так, використання персональних даних володільцем дозволяється лише у разі створення ним умов для захисту цих даних. Саме ж використання персональних даних працівниками суб’єктів відносин, пов’язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов’язків.
Хто має право збирати персональні дані?
В Україні до суб’єктів, які мають право здійснювати збір персональних даних відносяться володілець персональних даних, а також, розпорядник персональних даних.
Під володільцем варто розуміти фізичну або юридичну особу, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки. Наприклад, Ви захотіли здійснити покупку онлайн за допомогою маркетплейсу. Для цього вам необхідно буде вказати певні контактні дані про свою особу: ПІБ, контактний номер телефону, адресу доставки тощо. Ці відомості та будуть тими самими персональними даними, які ви передали володільцю, а саме: адміністратору (власнику) веб-сайту.
Щодо розпорядника персональних даних, то ним, в свою чергу, є фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця. Якщо ж володілець персональних даних не призначив розпорядника персональних даних, в такому випадку володілець водночас буде і розпорядником персональних даних.
Коли збір персональних даних є незаконним?
Збір та обробка персональних даних є незаконною у таких випадках:
- Якщо ці дії вчиняються без згоди суб’єкта персональних даних (крім випадків, визначених законодавством України;
- Якщо такі здійснюються із порушенням загальних вимог до обробки персональних даних (такі вимоги передбачені статтею 6 Закону України “Про захист персональних даних”;
- Якщо збір та обробка персональних даних суперечать визначеній меті, або ж перевищує необхідний обсяг для її досягнення;
- Якщо збір та обробка здійснюються з порушення вимог щодо захисту персональних даних
- Інші випадки визначені законодавством.
Як захистити свої персональні дані?
Ось основні поради, які допоможуть Вам уникнути небажаних проблем пов’язаних із витоком Ваших персональних даних.
- Ознайомлюйтеся із політиками конфіденційності/правилами збору та обробки персональних даних сайтів, застосунків тощо, котрі Ви відвідуєте або завантажуєте на свої пристрої.
- Не переходьте по незнайомих посиланнях.
- Не давайте дозвіл на обробку персональних даних веб-сайтам/застосункам, які не дозволяють відмовитися від такої, або якщо вони збирають обсяг інформації, який очевидно перевищу той обсяг, що є необхідним для досягнення мети збору персональних даних.
- Використовуйте надійні паролі та двофакторну автентифікацію — не застосовуйте однакові паролі для різних акаунтів, а також уникайте простих комбінацій на кшталт «123456» або «qwerty». Двофакторна автентифікація значно ускладнює несанкціонований доступ до ваших даних.
- Обмежуйте доступ до мікрофона, камери, геолокації та контактів — надавайте такі дозволи лише тоді, коли це дійсно необхідно для роботи застосунку, і регулярно перевіряйте в налаштуваннях пристрою, які програми мають доступ до ваших даних.
Хто та як здійснює контроль у сфері захисту персональних даних?
Наразі чинним українським законодавством визначено лише два органи, які здійснюють контроль у сфері захисту персональних даних:
- Уповноваженого Верховної Ради України з прав людини;
- Суди.
Уповноваженим, в такому випадку виступає як, свого роду, досудова інстанція, куди особа, може звернутися із пропозиціями, скаргами чи іншими зверненнями у випадку, якщо її права у сфері збору та обробки персональних даних були порушені. В рамках своїх повноважень Уповноважений має право, в тому числі:
- Проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних;
- За підсумками перевірки, розгляду звернення видавати обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у тому числі щодо зміни, видалення або знищення персональних даних;
- Складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом.
Що стосується судового врегулювання спорів пов’язаних із порушення прав осіб у сфері захисту персональних даних – то такий спосіб захисту найефективніше використовувати після того, як Ви скористаєтеся можливість досудового врегулювання: шляхом звернення до Уповноваженого Верховної Ради України. І вже в тому випадку, якщо таке звернення не призвело до бажаного Вами результату – звернення до суду із позовною заявою до суду буде доцільним.
Наші послуги
Фахівці команди “INFERNO DLC” мають багатий досвід у справах, пов’язаних із захистом прав осіб, чиї персональні дані були піддані неправомірній обробці/збору, а також, надають фаховий юридичний супровід підприємцям, які мають наміри “запустити” власний сайт чи застосунок із дотриманням вимог українського законодавства у сфері персональних даних.
Автор статті
Максим Лісков
Юрист
Буде корисно
Рекомендуємо також прочитати
Реєстрація торговельної марки в США: вимоги, вартість та процес
Гіг-контракт: що це та навіщо він потрібен
Як ІТ-компанії захистити свою інтелектуальну власність: реєстрація авторства на IT розробки