Чому бізнесу важливо захищати персональні дані клієнтів

Юлія Рябець

юрист практики супроводу бізнесу Juscutum

Більшість бізнесів вже мають свої програмні продукти/сайти, якщо навіть це не є їх профільною діяльністю. Адже програмні продукти полегшують життя користувачів, роблять «послуги» простішими. Але є один нюанс – при використанні програмних продуктів/сайтів здійснюється збір та зберігання великої кількості інформації про користувачів, що і є персональними даними.

Цілі для збору персональних даних можуть бути різними. Наприклад, не менш важливим є дослідження своїх клієнтів для покращення послуг, це дає можливість бізнесу краще розуміти потреби користувача.

Проте зростаюча правова культура людей та загалом цінність персональних даних у сучасному світі вимагає належного їх захисту і використання. Втім, на жаль, не всі усвідомлюють наслідки у разі нехтування цими питаннями, і це не лише про штрафи, це насамперед про репутацію, рівень вашого бізнесу. Тому сьогодні ми проведемо короткий екскурс по основних аспектах «персональних даних».

Що таке ці ваші персональні дані?

Це відомості про фізичну особу (наприклад, ось про вас), яка ідентифікована або може бути конкретно ідентифікована.

Якщо ж говорити більш предметно, то такими даними можуть бути:

Персональні дані — це відомості про фізичну особу, яка ідентифікована або може бути ідентифікована.

ПІБ
Електронна адреса
Номер телефону (так-так, те що вам надсилають рекламу невідомі вам магазини – означає, що десь було порушення)
Місце проживання, роботи
Дата народження або вік
Фотографії, відео або аудіозаписи особи
Національність
Освіта
Сімейний стан
Релігійні та світоглядні переконання
Стан здоров’я
Матеріальний стан
Інша інформація, що дозволяє однозначно ідентифікувати фізичну особу

Почнемо з простого: чому це може бути цікаво бізнесу?

Наразі захист персональних даних при веденні бізнесу – це великий показник для потенційний клієнтів/споживачів, тобто це про довіру до вашого бізнесу.
В умовах зростаючої кількості кібератак та порушень безпеки даних бізнес зобов’язаний забезпечити найвищий рівень захисту персональних даних, щоб бути конкурентоспроможними.
Забезпечивши це зараз, вашому бізнесу буде простіше масштабуватися згодом, перейти на міжнародний ринок, де законодавство у сфері персональних даних ще ширше.
Це може бути принциповою умовою для співпраці з міжнародними компаніями.

Хто контролює дотримання законодавства?

Уповноважений Верховної Ради України з прав людини у сфері захисту персональних даних та суди вже за наявності конкретного судового кейсу.

Коли можна обробляти персональні дані?

Якщо дуже вузько та просто: тоді, коли ви отримали згоду власника цих персональних даних.

Проте, розглянемо більш широко підстави для обробки персональних даних:

дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
укладення та виконання правочину, стороною якого є суб’єкт персональних даних, або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
захист життєво важливих інтересів суб’єкта персональних даних;
необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Також пам’ятайте, що є винятки, поширення персональних даних можливо без згоди суб’єкта персональних даних лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту, прав людини та для проведення Всеукраїнського перепису населення.

Чи потрібно повідомляти Уповноваженого Верховної Ради з прав людини у сфері захисту персональних даних?

Власник персональних даних повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж тридцяти робочих днів з дня початку обробки таких даних.

Для прикладу, що це може бути: медична інформація, відомості про притягнення до кримінальної відповідальності.

Проте, якщо ви обробляєте якусь частину медичної інформації (наприклад) особи, як свого працівника – це буде виняток для реалізації трудових відносин, тому попереджати не потрібно.

Які штрафи за незаконне використання персональних даних?

Якщо персональні дані були зібрані, використані незаконно і власник таких даних виявив це порушення – він може заявити вимогу про видалення та заборону (припинення) обробки особистих даних.

Які ж наслідки порушень можливі (відповідальність):

Неповідомлення (несвоєчасне повідомлення) Уповноваженого про обробку персональних даних або про зміну відомостей – на громадян від 1700 грн до 3400 грн і на посадових осіб, громадян – суб'єктів підприємницької діяльності від 3400 грн до 6800 грн.
Неповідомлення (несвоєчасне повідомлення) Уповноваженого про обробку персональних даних або про зміну відомостей – на громадян від 3400 грн до 5100 грн і на посадових осіб, громадян – суб'єктів підприємницької діяльності від 3400 грн до 17 000.
Повторне вчинення порушень, які зазначені вище (протягом року) на громадян від 5100 грн до 8500 грн і на посадових осіб, громадян – суб'єктів підприємницької діяльності від 8500 грн до 34 000 грн.
Недодержання встановленого порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, – на громадян від 1700 до 8500 грн і на посадових осіб, громадян – суб'єктів підприємницької діяльності від 5100 грн. до 17 000 грн.
Повторне протягом року вчинення порушення, що зазначено вище – від 17 000 грн до 34 000 грн.
А також передбачена кримінальна відповідальність за порушення недоторканності приватного життя.

Як бізнесу захистити персональні дані клієнтів?

Перш за все це вести чесну гру, тобто мають бути політики захисту персональний даних на сайті (наприклад), ознайомившись з якими, ваш клієнт розуміє, під чим підписується. У тому числі буде чітко зрозуміло, які саме персональні дані ви збираєте.

Про що також варто подумати:

внутрішні порядки щодо персональних даних в компанії;
використовуйте хмарні сервери;
електронний документообіг (замість обміну документами через Укрпошту);
регулярні аудити щодо безпеки персональних даних.

Як захистити свої персональні дані користувачу?

Тут важливо аналізувати навіть у побуті доцільність поширення своїх даних. Наведемо декілька прикладів, як на це можна повипливати:

двофакторна аутентифікація;
періодично оновлювати свої паролі;
налаштування «політики доступу до особистих даних»;
оформлюєте картки в магазинах – зайвий раз не вказуйте в анкеті свій емейл (наприклад);
просять номер для накопичення балів? Задумайтесь наскільки це раціонально;
блокування збирання cookie-файлів (часто відображається на сайтах).

Чи потрібно вашому бізнесу орієнтуватись на DGPR (General Data Protection Regulation)?

DGPR (General Data Protection Regulation) – загальний регламент про захист даних, що набув чинності у 2018 році.

Цей документ приклад для всіх країн, відповідно українському бізнесу не нашкодить відповідність цьому регламенту.

Загалом він розповсюджується на територію 27 країн Європейського Союзу та 3 країни Європейської Економічної зони. Проте українські компанії (не дивлячись на країну заснування компанії/ведення основної діяльності) можуть також підпадати під дію DGPR.

Але якщо казати саме про те, коли ваш бізнес зобов’язаний підпорядковуватись, то це залежить від наступних показників (перекладаємо зрозумілою мовою на прикладах):

Ваша компанія орієнтується на ринок ЄС (цільова аудиторія – люди, які проживають в ЄС).
Дуже оманлива думка, що якщо бізнес збирає персональні дані у громадян України, які проживають на території ЄС – то їх не стосується DGPR. Насправді ж правила DGPR не підв’язані під громадянство. Але не плутати це з тим випадком, коли ваші «клієнти» тимчасово перебувають у відпустці і використовують ваш сервіс за кордоном.
Наявність офісу/представництва (наприклад) на території ЄС, ЄЕС.
Іноземний домен.
Ціни на сайті в іноземній валюті.
Ви продаєте товар і пропонуєте його доставку в ЄС.

Регулярність проведення невеликого «аудиту» щодо відповідності всім вимогам до персональних даних (DGPR) – як превентивні заходи для уникнення порушень/спорів/штрафів/компенсацій.

Особливо важливо звертати увагу на це тому бізнесу, який має свій сайт. Адже, як правило, саме такий «контакт» з клієнтом збирає максимально багато даних. Пригадуєте ці анкети під час реєстрації? Ось це яскравий приклад збору даних.

Високий рівень захисту персональних даних є однією з вимог для вступу в ЄС, тому бути у відповідності з цими зобов’язаннями вже зараз – наш обов’язок.

Дбайте про клієнтів, не шкодьте собі.