старший юрист Eterna Law,
заступник голови COMPLIANCE & AI комітету Української комплаєнс асоціації
“Даю згоду на обробку персональних даних” – цю фразу український бізнес чує, напевно, щодня. Її можна побачити в договорах, анкетах, реєстраційних формах, на сайтах тощо. Водночас далеко не кожна така “згода” є дійсною з юридичного погляду. Неправильний підхід до отримання згоди дорівнює перевіркам контролюючих органів, суттєвим штрафам та репутаційним ризикам. Варто зазначити, що українське законодавство у сфері захисту персональних даних подекуди є суперечливим і застарілим. Водночас дотримання декількох базових правил щодо отримання згоди дасть змогу значно мінімізувати ризик негативних наслідків для вашого бізнесу.
Що вважається персональними даними
Розпочати варто з розуміння найважливішої категорії – “персональні дані”. Що саме українське законодавство вкладає у визначення цього терміну? Закон України “Про захист персональних даних” (далі – Закон) визначає персональні дані як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Чимало компаній досі вважають, що персональні дані – це лише такі очевидні речі, як П. І. Б., РНОКПП тощо. Насправді це поняття значно ширше. Зокрема, відомості, що дають змогу опосередковано, проте безпомилково, ідентифікувати людину, також підпадають під цю категорію. Зазвичай їх розглядають у своїй сукупності. Скажімо, наприклад, якщо з певної інформації, оприлюдненої в мережі Інтернет, ви дізналися адресу багатоквартирного будинку, ім’я людини, а також що в цьому будинку проживає лише одна людина з таким іменем, то в сукупності такі відомості можна вважати її персональними даними. Саме про аналогічні ситуації йдеться в Законі, коли використовується вираз “може бути конкретно ідентифікована”.
На які дії потрібна згода
Кожен розуміє, що згода дається на обробку персональних даних, проте не кожен знає, що саме вважається такою обробкою. Згідно із Законом це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Ключове, що потрібно пам’ятати з цього визначення:
– тут наводяться лише приклади дій, які можуть становити обробку персональних даних, однак фактично це можуть бути будь-які дії, у тому числі прямо не вказані в Законі;
– навіть просте збирання персональних даних, без будь-яких подальших дій щодо них, вважається їх обробкою, що потребує наявності відповідної правової підстави.
Чи завжди потрібна згода
Найпоширеніша помилка бізнесу – вважати, що згода потрібна завжди. Насправді – ні.
Українське законодавство передбачає низку підстав для обробки персональних даних, і згода є лише однією з них. Наприклад, згода людини на обробку її персональних даних не потрібна, коли йдеться про відомості, що необхідні для укладення та виконання договору з нею. Водночас варто зазначити, що згода є найпоширенішою підставою, а її отримання навіть у тих випадках, коли ви впевнені, що ваш кейс підпадає під винятки, буде додатковою гарантією відсутності майбутніх претензій до здійсненої обробки персональних даних. Саме тому далі розглянемо ключові вимоги до згоди, що висуває українське законодавство.
Форма згоди
Закон не передбачає конкретної обов’язкової форми згоди на обробку персональних даних, зазначаючи лише, що вона має давати змогу зробити висновок про надання згоди. Водночас рекомендуємо отримувати згоду в письмовій або електронній формі, оскільки саме такі способи є найбільш надійними з позиції доказової сили. Зверніть увагу: коли згода отримується в електронній формі (підписання електронним підписом, прийняття умов вебсайту під час реєстрації тощо), потрібно дотримуватися вимог спеціального законодавства у відповідних сферах.
Наприклад, у сфері електронної комерції доцільно застосовувати не тільки проставлення користувачем позначок у відповідних полях електронної форми, а й уведення ним так званого “одноразового ідентифікатора” (алфавітно-цифрової послідовності, яка надсилається користувачу на його номер телефону або e-mail), що прирівнюється до підпису користувача відповідно до статті 12 Закону України “Про електронну комерцію”.
Зміст згоди
Ключових помилок припускаються під час складання тексту згоди. Зокрема, згода на обробку персональних даних має бути поінформованою. Це означає, що людині треба повідомити: дані того, хто збирає її персональні дані; склад та зміст її персональних даних, що оброблятимуться; її права, визначені Законом; мету збору її персональних даних; як її персональні дані оброблятимуться (простими словами – що ви плануєте з ними робити); дані осіб, яким передаватимуться її персональні дані.
Першочергово варто зосередитися на меті обробки персональних даних. По-перше, вона має бути законною. По-друге, мета не може полягати в самій обробці. Приміром, ви знімаєте фільм, у титрах до якого наводиться перелік акторів. Неналежним формулюванням мети обробки їхніх персональних даних буде, наприклад: “З метою поширення П. І. Б. шляхом відображення в титрах під час показів фільму”, оскільки поширення таких відомостей – це один із видів їх обробки. По-третє, мету має бути максимально деталізовано з урахуванням ваших цілей. Формулювання “з будь-якою метою” є протиправним.
Зверніть увагу, що в разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних вам потрібно отримати нову згоду або мати іншу законну підставу, яка не потребує згоди.
Склад і зміст персональних даних, що оброблятимуться, мають бути ненадмірними та мінімально достатніми для досягнення сформульованої мети їх обробки. Наприклад, якщо для бронювання столика в ресторані ви запитуєте в людини адресу реєстрації її місця проживання – це вважатиметься порушенням.
Щодо строків обробки персональних даних варто пам’ятати, що вони не можуть перевищувати час, необхідний для досягнення визначеної мети. Тому запит безстрокової та/або безвідкличної згоди є неправомірним.
Усю вищезазначену інформацію потрібно відобразити в тексті згоди з урахуванням наведених рекомендацій.
Що варто зробити вже зараз
Навіть без проведення складних аудитів бізнес може значно знизити ризики в цій сфері, виконавши декілька простих кроків:
1) перегляньте форми згоди, які ви застосовуєте у своїй діяльності;
2) перевірте, де згода справді потрібна, а де ви можете обробляти персональні дані на інших законних підставах;
3) чітко визначте мету обробки персональних даних виходячи з вашої сфери діяльності та повсякденних потреб;
4) переконайтеся, що ваші працівники розуміють базові правила отримання згоди, які ми розглянули в цій статті.
Застереження
Зверніть увагу, що в деяких випадках згода потрібна не тільки для обробки персональних даних, а й з метою дотримання правил у суміжних сферах. Наприклад, для проведення фото-, кіно-, теле- чи відеозйомки особи та поширення отриманих матеріалів (статті 307 – 308 Цивільного кодексу України). Для цього рекомендуємо мати окремо підготовлену форму, доповнену відповідними формулюваннями, оскільки загальної згоди на обробку персональних даних може бути недостатньо в таких випадках.
Джерело: LIGA360
