Нюанси обробки персональних даних, які збирає юридична особа, розкрив Станіслав Коваленко

Блок «Загрози у кіберпросторі» LHS триває. Тему персональних даних, які збирає і обробляє юридична особа, та нюанси їх захисту розкрив Станіслав Коваленко, офіцер із захисту даних авіакомпанії МАУ та голова комітету із захисту даних Міжнародної асоціації радників. У ході лекції пан Коваленко відповідав на питання: «Коли варто обмежитися меншими, проте дійсно необхідними даними про клієнтів?».

В Україні сфера захисту персональних даних регулюється профільним Законом України «Про захист персональних даних», який є основним, але не єдиним нормативним актом. В Україні створений і активно працює спеціальний орган, який займається питаннями захисту персональних даних — Уповноважений Верховної Ради з прав людини. За порушення у сфері захисту та обробки персональних даних передбачена відповідальність, вона закріплена у Кодексі України про адміністративні правопорушення (стаття 188 прим. 39, стаття 188 прим. 40) та у Кримінальному кодексі України (стаття 182).

У своїй доповіді лектор згадав також GDPR (General Data Protection Regulation, Загальний регламент ЄС із захисту даних), який має екстериторіальний принцип дії і також може застосовуватися в Україні при певних обставинах, зокрема, при обробці даних осіб, які знаходяться на території ЄС.

Персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Закон України окремо виділяє спеціальні (чутливі) персональні дані, які повинні бути захищені додатковими засобами і не повинні збиратися без явної згоди суб’єкта даних або поважної причини, або декількох інших винятків (стаття 7 Закону). Крім того, Закон окремо ще згадує про «конфіденційну інформацію» в контексті персональних даних. Зокрема, не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (стаття 6 Закону).

Станіслав Коваленко підкреслив необхідність дотримання бізнесом загальних і спеціальних вимог до обробки персональних даних. Зокрема, склад і зміст персональних даних мають бути відповідними, адекватними і не надмірними щодо певної мети їх обробки. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних або у випадках, передбачених законами України, у порядку, встановленому законодавством. Володілець і розпорядник персональних даних мають забезпечити їх захист, дотримуватися законодавства щодо інформаційної безпеки. І, що дуже важливо, не можна збирати та обробляти зайву інформацію більше, ніж необхідно для досягнення певної конкретної заявленої цілі.

Якщо проаналізувати зазначені вимоги до обробки даних, можна дійти висновку про важливість мінімізації даних: якщо у вас є мета обробки персональних даних, вам потрібні конкретні дані, які служать цій меті, і ви не можете вийти за межі обробки даних, які строго необхідні і актуальні для встановленої мети. Також рекомендується обмежити кількість людей, які мають доступ до персональних даних на основі принципу службової необхідності.

МЕНЮ

LegalHighSchool – Вища школа для юристів та адвокатів

Кошик