Досягнути ідеального способу захисту персональних даних під час введення ІТ-бізнесу важливо та складно одночасно. Для досягнення своєї цілі кожен суб’єкт господарювання повинен врахувати багато показників, як, наприклад, здійснити аналіз потоку даних, визначити роль підприємства у обробці персональних даних. Також необхідно визначити документи, які забезпечують компанію щодо дотримання вимог захисту персональних даних та визначають способи та засоби їх реалізації.
Незважаючи на той факт, що захист персональних даних передбачений Законом України «Про захист персональних даних», у якому встановлено про вимоги до осіб, які збирають персональні дані, Законом України«Про електронну комерцію», нормами Конвенції про захист осіб у зв’язку з автоматизованою обробкоюперсональних даних, Інтернет-простір наповнений користувачами, які з легкістю порушують закон.
Слід пам’ятати, що GDPR має дві основні вимоги. По-перше, він був створений для того, щоб забезпечити захист персональних даних осіб на високому рівні, в принципі, мета і вимога GDPR звучить однаково. Другою вимогою є наявність спеціально навченої відповідальної особи, яка відповідає за законність передачі та обробки персональних даних. Така особа має співпрацювати з контролюючими органами, миттєво реагувати на порушення прав власників персональних даних та здійснювати обґрунтовану оцінку впливу на вашу компанію тих чи інших персональних даних.
Для ефективного введення ІТ-бізнесу необхідно розуміти можливі способи захисту персональних даних, передбачені українським законодавством.
Існує певна інструкція, яку необхідно виконувати у випадку, коли з невідомих причин стається витік персональних даних, по-перше, той, хто оброблює інформацію повинен повідомити про витік такої інформації контролера. Окремо слід зауважити, що при значному витоку інформації оброблювальник інформації має не пізніше, ніж через 72 години від витоку такої інформації повідомити особу, витік персональних даних якої стався.
Юристи Адвокатського об’єднання WinnerLex вже багато років спеціалізуються у ІТ-сфері, та завдяки позитивному досвіду успішно вирішують різноманітні юридичні питання, що забезпечує якісний та бажаний результат для Клієнта.
Досвід роботи: 19 років Спеціалізація: супровід складних судових спорів, податкова, митна та антимонопольна практика, агроправо, ІТ та M&A
Досвід роботи: 21 рік Спеціалізація: супровід господарських, цивільних, трудових та адміністративних спорів, енергетика
Досвід роботи: 11 років Спеціалізація: податкові та митні спори, супровід податкових перевірок, корпоративні спори, договірна діяльність
Досвід роботи: 6 років Спеціалізація: господарське та цивільне право, податкова та митна практика, корпоративне право
Досвід роботи: 11 років Спеціалізація: супровід господарських, цивільних, трудових та адміністративних спорів, перевірки
юридичне супроводження процесу обробки персональних даних;
надання консультацій щодо діючого українського законодавства, яке регулює процес захисту персональних даних;
оформлення документів, необхідних для реєстрації бази персональних даних;
складення документів, необхідних для обробки та захисту персональних даних;
складення договорів про обробку персональних даних;
розроблення внутрішніх документів підприємства щодо захисту персональних даних;
розроблення внутрішнього порядку обробки персональних даних на підприємстві, тощо.
У разі порушення законодавства про захист персональних даних виникає адміністративна відповідальність, яка передбачена статтею 188-39 Кодексу України про адміністративні порушення. Санкцією за таке порушення є штраф від ста до двох тисяч неоподаткованих мінімумів громадян.
Якщо Ви бажаєте розмістити персональні дані на хмарних сховищах, необхідно пам’ятати, що таке розміщення вважається передачею таких даних третім особам. Тому уважно обирайте сховища, на яких розміщуєте дані, адже вони бувають різних ступенів захисту, обирати бажано, звісно ж, ті сховища, ступінь захисту яких найвищий. Разом з тим, сховищами з низьким рівнем захисту краще не користуватися зовсім, тим більше, не потрібно розміщувати чи зберігати на них персональні дані.
Для обробки персональних даних обов’язково необхідна згода особи на обробку таких даних. Крім того, у разі обробки даних неповнолітніх, малолітніх або недієздатних осіб дозвіл на обробку даних вище перелічених осіб необхідно отримувати у тих осіб, які відповідальними за них – це батьки, або ж опікуни, тощо.
Необхідно пам’ятати, що у разі, коли стався витік персональних даних або ж персональні дані оброблювалися незаконно, тобто без згоди особи, якій вони належать, то процесор у такому випадку обов’язково має повідомити контролера про дану ситуацію, і не пізніше ніж через 72 години після того, як стався витік про таку ситуацію має бути повідомлений власник персональних даних. Лише у випадку, якщо контролер зробив усе, щоб права власника персональних даних не було порушено, він може не повідомляти власнику про витік. Проте, якщо витік даних або незаконна обробка даних сталася і контролер не вчинив усіх дій, щоб забезпечити особі повний захист її прав, і не повідомив про ситуацію ні власника даних ні контролюючий орган, такий контролер буде притягнутий до адміністративної відповідальності – сплата штрафу у розмірі до десяти тисяч євро (стаття 83 Регламенту про захист даних (GDPR).
Так, як Україна на даний момент не входить до ЄС, тому GDPR буде стосуватися нашої країни лише у випадку повного її вступу до ЄС. Також, GDPR буде діяти тоді, коли Ви оброблюєте персональні дані користувачів ЄС. Також необхідно взяти до уваги, якщо товари або послуги Вашої компанії можуть бути придбані за кордоном, використовуватися у країнах ЄС, користувачами з Європи, тоді Ваша компанія має повністю відповідати вимогам GDPR.
Персональними є дані, які відносяться до конкретної особи, персони. Такими даними може бути: прізвище, ім’я та по-батькові особи, її адреса проживання, номер телефону, паспортні дані, інформація про освіту, релігійні погляди та переконання, національність, погляд на світ, місце та дата народження, матеріальний стан, стан здоров’я особи.
