Правовая защита персональных данных: Что такое персональные данные и почему их нужно "защищать"?

Сегодня принято считать, что беспокоиться вопросами защиты персональных данных стоит только в том случае, если на лицо прямо распространяется действие Регламента GDPR. Но на практике, даже национальное законодательство многих стран, в том числе и Украины, предусматривает ответственность за нарушение режима защиты таких данных. Как правило, в виде штрафа, размер которого зависит от вида нарушения и законодательства, которое применяется к обработке ПД. 

Чтобы избежать негативных последствий как для самого предприятия, так и для лиц, данные которых обрабатываются, необходимо правильно определять, ЧТО обрабатывать и КАК это делать правильно.

Стоимость услуг по защите персональных данных

Что имеется в виду под понятиями “обработка” и “персональные данные”?

Обработкой ПД считается практически любое действие, совершаемое предприятием (как владельцем или распорядителем ПД) над такими данными, в частности: сбор, хранение, обезличивание, сортировка, передача третьим лицам, удаление и т.д.

Какая же информация может считаться персональными данными?

Как международные акты (тот же GDPR), так и Закон Украины "О защите персональных данных", не дают четкого перечня данных, которые можно отнести к персональным. Они обходятся абстрактным определением, говорящим, что персональными данными может быть информация или ее совокупность:

  • которая прямо идентифицирует конкретное физическое лицо;
  • которая прямо не идентифицирует лицо, но содержит такие данные, из которых косвенно можно установить, о ком идет речь.

К примеру, приказ предприятия о премировании сотрудника Иванова И.И. можно считать таким, который содержит персональные данные такого сотрудника – информацию, которая прямо идентифицирует это лицо, а именно: фамилию, имя отчество, наличие у него трудовых отношений с предприятием, должность, размер вознаграждения и т.д.

Если же такой приказ не содержит информации о конкретных лицах, а предполагает премирование, например, по названиям должностей, считается, что он не содержит персональных данных.

Однако, если такие должности на предприятии "единичные" (например, должность директора) и из самого названия должности понятно, о ком идет речь, можно утверждать, что информация, которая содержится в таком приказе, позволяет косвенно идентифицировать такое лицо, а значит является его ПД. Ведь директор на предприятии всего один, и информация о том, кто занимает эту должность - в публичном доступе.

Важно! Любая информация может считаться ПД при условии, что она касается конкретного лица.

В свое время Конституционный Суд Украины, опираясь на практику ЕСПЧ, установил, что ПД может быть информация о национальности, образовании, семейном положении, дате и месте рождения, проживания и местонахождения, материальном положении, отношениях с другими физическими и юридическими лицами и пр.

Из практики Суда ЕС можно так же добавить, что ПД лица можно считать фото и видеоизображения, образцы голоса, файлы cookie, логин и пароль и т.д.

Интересно: Когда применение GDPR обязательно?

Что такое "чувствительные данные" (sensitive data)?

Выделяют особую подгруппу персональных данных – "специальная категория персональных данных" (т.н. "чувствительные данные" или sensitive data), к которым относится, в частности, информация о: 

  • расовой принадлежности; 
  • этнической принадлежности; 
  • половой принадлежности; 
  • политических и религиозных взглядах; 
  • ориентации; 
  • членстве в политических партиях, профсоюзах и иных организациях; 
  • данные о привлечении к ответственности; 
  • данные о состоянии здоровья; 
  • биометрические данные (отпечатки пальцев, группа/резус крови и пр.).

Чувствительные данные могут обрабатываться только в случае, прямо предусмотренном законодательством, и при условии соблюдения ряда ограничений, которые должны способствовать их защите.

Важно! Данные, которые могут обрабатываться на предприятии, должны быть обусловлены конкретной целью деятельности предприятия, а объем таких данных должен быть минимально необходимым для выполнения такой цели.

Например, если предприятие занимается продажей мебели, оно не может собирать данные о состоянии здоровья клиентов, но в то же время, может обрабатывать данные об их месте жительства, например, для осуществления доставки товара.

Нарушение порядка обработки персональных данных может быть основанием для привлечения предприятия к ответственности, а также обоснованных претензий со стороны субъектов ПД. 

Поэтому так важно на старте Вашей деятельности выполнить следующий алгоритм действий:

  1. изначально определить набор данных, который необходим предприятию для осуществления отдельных целей в его деятельности; 
  2. установить правильный порядок обработки и защиты ПД, и тем самым обезопасить себя от возможных претензий.

Юристы нашей компании помогут Вам с введением защиты персональных данных на Вашем предприятии, и помогут избежать любых проблем в будущем. Обращайтесь!

Не нашли ответ на свой вопрос?

Больше о защите персональных данных компании тут

Дата публикации: 25/08/2020

Мы готовы Вам помочь!

Свяжитесь с нами по почте [email protected], по номеру телефона +38 044 499 47 99 или заполнив форму: