Правовая защита персональных данных: Что такое персональные данные и почему их нужно "защищать"?
Сегодня принято считать, что беспокоиться о вопросах защиты персональных данных стоит только в том случае, если на лицо прямо распространяется действие Регламента GDPR. Но на практике даже национальное законодательство многих стран, в том числе и Украины, предусматривает ответственность за нарушение режима защиты таких данных, как правило, в виде штрафа, размер которого зависит от вида нарушения и законодательства, которое применяется к обработке ПД.
Чтобы избежать негативных последствий как для самого предприятия, так и для лиц, данные которых обрабатываются, необходимо правильно определять, ЧТО обрабатывать и КАК это делать правильно.
Стоимость услуг по защите персональных данных
Что имеется в виду под понятиями “обработка” и “персональные данные”?
Обработкой ПД считается практически любое действие, совершаемое предприятием (как владельцем или распорядителем ПД) над такими данными, в частности: сбор, хранение, обезличивание, сортировка, передача третьим лицам, удаление и т.д.
Какая же информация может считаться персональными данными?
Как международные акты (тот же GDPR), так и Закон Украины "О защите персональных данных" не дают четкого перечня данных, которые можно отнести к персональным. Они обходятся абстрактным определением, говорящим, что персональными данными может быть информация или ее совокупность:
- которая прямо идентифицирует конкретное физическое лицо;
- которая прямо не идентифицирует лицо, но содержит такие данные, из которых косвенно можно установить, о ком идет речь.
К примеру, приказ предприятия о премировании сотрудника Иванова И.И. можно считать таким, который содержит персональные данные такого сотрудника – информацию, которая прямо идентифицирует это лицо, а именно: фамилию, имя отчество, наличие у него трудовых отношений с предприятием, должность, размер вознаграждения и т.д.
Если же такой приказ не содержит информации о конкретных лицах, а предполагает премирование, например, по названиям должностей, считается, что он не содержит персональных данных.
Однако, если такие должности на предприятии "единичные" (например, должность директора) и из самого названия должности понятно, о ком идет речь, можно утверждать, что информация, которая содержится в таком приказе, позволяет косвенно идентифицировать такое лицо, а значит, является его ПД. Ведь директор на предприятии всего один, а информация о том, кто занимает эту должность - в публичном доступе.
Важно! Любая информация может считаться ПД при условии, что она касается конкретного лица.
В свое время Конституционный Суд Украины, опираясь на практику ЕСПЧ, установил, что ПД может быть информация о национальности, образовании, семейном положении, дате и месте рождения, проживания и местонахождения, материальном положении, отношениях с другими физическими и юридическими лицами и пр.
Из практики Суда ЕС можно так же добавить, что ПД лица можно считать фото и видеоизображения, образцы голоса, файлы cookie, логин и пароль и т.д.
Интересно: Когда применение GDPR обязательно?
Что такое "чувствительные данные" (sensitive data)?
Выделяют особую подгруппу персональных данных – "специальная категория персональных данных" (т.н. "чувствительные данные" или sensitive data), к которым относится, в частности, информация о:
- расовой принадлежности;
- этнической принадлежности;
- половой принадлежности;
- политических и религиозных взглядах;
- ориентации;
- членстве в политических партиях, профсоюзах и иных организациях;
- данные о привлечении к ответственности;
- данные о состоянии здоровья;
- биометрические данные (отпечатки пальцев, группа/резус крови и пр.).
Чувствительные данные могут обрабатываться только в случае, прямо предусмотренном законодательством, и при условии соблюдения ряда ограничений, которые должны способствовать их защите.
Важно! Данные, которые могут обрабатываться на предприятии, должны быть обусловлены конкретной целью деятельности предприятия, а объем таких данных должен быть минимально необходимым для выполнения такой цели.
Например, если предприятие занимается продажей мебели, оно не может собирать данные о состоянии здоровья клиентов, но в то же время может обрабатывать данные об их месте жительства, например, для осуществления доставки товара.
Нарушение порядка обработки персональных данных может быть основанием для привлечения предприятия к ответственности, а также обоснованных претензий со стороны субъектов ПД.
Поэтому так важно на старте Вашей деятельности выполнить следующий алгоритм действий:
- изначально определить набор данных, который необходим предприятию для осуществления отдельных целей в его деятельности;
- установить правильный порядок обработки и защиты ПД, и тем самым обезопасить себя от возможных претензий.
Юристы нашей компании помогут Вам с введением защиты персональных данных на Вашем предприятии, и помогут избежать любых проблем в будущем. Обращайтесь!
Не нашли ответ на свой вопрос?
Мы готовы Вам помочь!
Свяжитесь с нами по почте [email protected], по номеру телефона +38 044 499 47 99 или заполнив форму: