Нюансы обработки персональных данных, которые собирает юридическое лицо, раскрыл Станислав Коваленко

Блок «Угрозы в киберпространстве» LHS продолжается. Тему персональных данных, которые собирает и обрабатывает юридическое лицо, и нюансы их защиты раскрыл Станислав Коваленко, офицер по защите данных авиакомпании МАУ и председатель комитета по защите данных Международной ассоциации советников. В ходе лекции г-н Коваленко отвечал на вопрос: «Когда стоит ограничиться меньшими, однако действительно необходимыми данными о клиентах?».

В Украине сфера защиты персональных данных регулируется профильным Законом Украины «О защите персональных данных», который является основным, но не единственным нормативным актом. В Украине создан и активно работает специальный орган, который занимается вопросами защиты персональных данных — Уполномоченный Верховной Рады по правам человека. За нарушения в сфере защиты и обработки персональных данных предусмотрена ответственность, она закреплена в Кодексе Украины об административных правонарушениях (статья 188 прим. 39, статья 188 прим. 40) и в Уголовном кодексе Украины (статья 182).

В своем докладе лектор упомянул также GDPR (General Data Protection Regulation, Общий регламент ЕС по защите данных), который имеет экстерриториальный принцип действия и также может применяться в Украине при определенных обстоятельствах, например, при обработке данных лиц, находящихся на территории ЕС.

Персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Закон Украины отдельно выделяет специальные (чувствительные) персональные данные, которые должны быть защищены дополнительными средствами и не должны собираться без явного согласия субъекта данных или уважительной причины или нескольких других исключений (статья 7 Закона). Кроме того, Закон отдельно еще вспоминает о «конфиденциальной информации» в контексте персональных данных. В частности, не допускается обработка данных о физическом лице, которые являются конфиденциальной информацией, без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека (статья 6 Закона).

Станислав Коваленко подчеркнул необходимость соблюдения бизнесом общих и специальных требований к обработке персональных данных. В частности, состав и содержание персональных данных должны быть соответствующими, адекватными и не чрезмерными по определенной цели их обработки. Обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. Владелец и распорядитель персональных данных должны обеспечить их защиту, соблюдать законодательство по информационной безопасности. И, что очень важно, нельзя собирать и обрабатывать лишнюю информацию больше, чем необходимо для достижения определенной конкретной заявленной цели.

Если проанализировать указанные требования к обработке данных, можно сделать вывод о важности минимизации данных: если у вас есть цель обработки персональных данных, вам нужны конкретные данные, которые служат этой цели, и вы не можете выйти за пределы обработки данных, строго необходимых и актуальных для установленной цели. Также рекомендуется ограничить количество людей, которые имеют доступ к персональным данным на основе принципа служебной необходимости.

МЕНЮ

LegalHighSchool — Высшая школа для юристов и адвокатов

Корзина