Правовий захист персональних даних: Що таке персональні дані і чому їх потрібно "захищати"?

Сьогодні прийнято вважати, що опікуватися питаннями захисту персональних даних (далі - ПД) варто тільки в тому випадку, якщо на особу прямо поширюється дія Регламенту GDPR. Але на практиці навіть національне законодавство багатьох країн, в тому числі і України, передбачає відповідальність за порушення режиму захисту таких даних. Як правило, у вигляді штрафу, розмір якого залежить від виду порушення і законодавства, яке застосовується до обробки ПД.

Щоб уникнути негативних наслідків як для самого підприємства, так і для осіб, дані яких обробляються, необхідно правильно визначати, ЩО обробляти і ЯК це робити правильно.

Вартість послуг із захисту персональних даних

Що мається на увазі під поняттями "обробка" і "персональні дані"?

Обробкою ПД вважається практично будь-яка дія, що здійснюється підприємством (як власником або розпорядником ПД) над такими даними. Зокрема: збирання, зберігання, знеособлення, сортування, передача третім особам, видалення, тощо.

Яка ж інформація може вважатися персональними даними?

Як міжнародні акти (той же GDPR), так і Закон України "Про захист персональних даних" не дають чіткого переліку даних, які можна віднести до персональних. Вони обходяться абстрактним визначенням, що персональними даними може бути інформація або її сукупність:

• яка прямо ідентифікує конкретну фізичну особу;
• яка прямо не ідентифікує особу, але містить такі дані, з яких побічно можна встановити, про кого йде мова.

Наприклад, наказ підприємства про преміювання співробітника Іванова І.І. можна вважати таким, що містить персональні дані такого співробітника - інформацію, яка прямо ідентифікує цю особу, а саме: прізвище, ім'я по батькові, наявність у нього трудових відносин з підприємством, посаду, розмір винагороди, тощо.

Якщо ж такий наказ не містить інформації про конкретних осіб, а передбачає преміювання, наприклад, за назвами посад, вважається, що він не містить персональних даних.

Однак, якщо такі посади на підприємстві "одиничні" (наприклад, посада директора) і з самої назви посади зрозуміло, про кого йде мова, можна стверджувати, що інформація, яка міститься в такому наказі, дозволяє побічно ідентифікувати таку особу, а отже є його ПД. Адже директор на підприємстві всього один, а інформація про те, хто займає цю посаду - в публічному доступі.

Важливо! Будь-яка інформація може вважатися ПД за умови, що вона стосується конкретної особи.

Свого часу Конституційний Суд України, спираючись на практику ЄСПЛ, встановив, що ПД може бути інформація про національність, освіту, сімейний стан, дату і місце народження, проживання та місцезнаходження, матеріальне становище, відносини з іншими фізичними та юридичними особами тощо.

З практики Суду ЄС можна так само додати, що ПД особи можна вважати фото і відео, зразки голосу, файли cookie, логін і пароль, тощо.

Цікаво: Коли застосування GDPR обов'язково?

Що таке "чутливі дані" (sensitive data)?

Виділяють особливу підгрупу персональних даних - "спеціальна категорія персональних даних" (т.зв. "чутливі дані" або sensitive data), до яких відноситься, зокрема, інформація про:

• расову приналежність;
• етнічну приналежність; 
• статеву приналежність;
• політичні і релігійні погляди;
• орієнтацію;
• членство в політичних партіях, профспілках та інших організаціях;
• дані про притягнення до відповідальності;
• дані про стан здоров'я;
• біометричні дані (відбитки пальців, група / резус крові та ін.).

Чутливі дані можуть оброблятися тільки в разі, прямо передбаченому законодавством, і за умови дотримання ряду обмежень, які повинні сприяти їх захисту.

Важливо! Дані, які можуть оброблятися на підприємстві, повинні бути обумовлені конкретною метою діяльності підприємства, а обсяг таких даних повинен бути мінімально необхідним для виконання такої мети.

Наприклад, якщо підприємство займається продажем меблів, воно не може збирати дані про стан здоров'я клієнтів, але в той же час може обробляти дані про їх місце проживання, наприклад, для здійснення доставки товару.

Порушення порядку обробки персональних даних може бути підставою для притягнення підприємства до відповідальності, а також обгрунтованих претензій з боку суб'єктів ПД.

Тому так важливо на старті Вашої діяльності виконати наступний алгоритм дій:

1. спочатку визначити набір даних, який необхідний підприємству для здійснення окремих цілей в його діяльності;
2. встановити правильний порядок обробки та захисту ПД, і тим самим убезпечити себе від можливих претензій.

Юристи нашої компанії допоможуть Вам з введенням захисту персональних даних на Вашому підприємстві, і допоможуть уникнути будь-яких проблем в майбутньому. Звертайтеся!

Не знайшли відповідь на своє питання?

Більше про захист персональних даних компанії тут