Що та­ке Personal Data і на­ві­що їх за­хи­ща­ти

Yurydychna Gazeta - - АНАЛІТИКА ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ - Іри­на І ЧІПАК, ЧІПАК юрист Пра­во­вої гру­пи «Побе­ре­жнюк і пар­тне­ри»

Стрім­кий те­хно­ло­гі­чний роз­ви­ток та гло­ба­лі­за­ція змі­ни­ли не ли­ше на­ше жи­т­тя, але й сві­то­ву еко­но­мі­ку. Мас­шта­би оброб­ки та зби­ра­н­ня пер­со­наль­них да­них зна­чно зро­сли, а їх роль на­бу­ла не­аби­якої зна­чу­що­сті. Ча­сто ми на­віть не звер­та­є­мо ува­гу, як на­да­є­мо ві­до­мо­сті про се­бе, ре­є­стру­ю­чись у со­ці­аль­ній ме­ре­жі, ку­пу­ю­чи то­ва­ри он­лайн, вла­што­ву­ю­чись на ро­бо­ту чи за­пи­су­ю­чись до пе­ру­ка­ря. Однак ні­хто не мо­же бу­ти впев­не­ний, що ті, в чи­їх ру­ках опи­ня­ться на­ші пер­со­наль­ні да­ні, ді­я­ти­муть до­бро­че­сно, а го­лов­не – за­кон­но, до­три­му­ю­чись прав суб’єктів да­них. От­же, в су­ча­сних умо­вах пи­та­н­ня за­хи­сту пер­со­наль­них да­них на­бу­ває все біль­шої акту­аль­но­сті як для Укра­ї­ни, так і за­га­лом для сві­то­вої спіль­но­ти.

25.05.2018 р. на­був чин­но­сті За­галь­ний ре­гла­мент із за­хи­сту пер­со­наль­них да­них (General Data Protection Regulation) (да­лі – Ре­гла­мент

або GDPR), який зна­чно під­ви­щує стан­дар­ти у сфе­рі за­хи­сту пер­со­наль­них да­них, зокре­ма, роз­ши­рив­ши ко­ло да­них, які є пер­со­наль­ни­ми та по­тре­бу­ють за­хи­сту, ре­гла­мен­ту­вав­ши низ­ку прав суб’єктів да­них, вста­но­вив­ши без­пре­це­ден­тні сан­кції для по­ру­шни­ків по­ло­жень Ре­гла­мен­ту.

Ро­з­гля­не­мо де­таль­ні­ше, які ві­до­мо­сті про фі­зи­чну осо­бу на­ле­жать до пер­со­наль­них да­них, які основ­ні за­са­ди їх оброб­ки, зби­ра­н­ня та за­хи­сту. Від­по­від­но до по­ло­жень ст. 4 Ре­гла­мен­ту, Personal Data – це бу­дья­ка ін­фор­ма­ція, за до­по­мо­гою якої пря­мо чи опо­се­ред­ко­ва­но мо­жна іден­ти­фі­ку­ва­ти пев­ну фі­зи­чну осо­бу за та­ки­ми іден­ти­фі­ка­то­ра­ми як ім’я, іден­ти­фі­ка­цій­ний но­мер, да­ні про мі­сце­зна­хо­дже­н­ня, он­лайн-іден­ти­фі­ка­тор або за одним чи кіль­ко­ма чин­ни­ка­ми, що є ви­зна­чаль­ни­ми для фі­зи­чної, фі­зіо­ло­гі­чної, ге­не­ти­чної, ро­зу­мо­вої, еко­но­мі­чної, куль­тур­ної чи со­ці­аль­ної су­тно­сті та­кої фі­зи­чної осо­би. Вар­то за­зна­чи­ти, що це по­ня­т­тя тлу­ма­чи­ться до­ста­тньо де­та­лі­зо­ва­но та роз­гор­ну­то, а та­кож вра­хо­вує еле­ктрон­ні іден­ти­фі­ка­цій­ні да­ні, що ціл­ком від­по­від­ає ви­мо­гам сьо­го­де­н­ня.

Окре­мо слід зу­пи­ни­ти­ся на так зва­них «чу­тли­вих да­них», які GDPR ви­ді­ляє в осо­бли­ву ка­те­го­рію. До них на­ле­жать, зокре­ма, да­ні про ра­со­ву чи етні­чну при­на­ле­жність, по­лі­ти­чні пе­ре­ко­на­н­ня, ре­лі­гій­ні, фі­ло­соф­ські ві­ру­ва­н­ня, а та­кож біо­ме­три­чні, ге­не­ти­чні да­ні, да­ні про стан здо­ров’я, ста­те­ве жи­т­тя чи се­ксу­аль­ну орі­єн­та­цію осо­би. За за­галь­ним пра­ви­лом, оброб­ка ці­єї ка­те­го­рії да­них є за­бо­ро­не­ною і до­зво­ле­на ли­ше у чі­тко ре­гла­мен­то­ва­них ви­пад­ках та у ви­зна­че­но­му Ре­гла­мен­том по­ряд­ку.

Від­по­від­но до ви­мог GDPR, пер­со­наль­ні да­ні по­вин­ні обро­бля­ти­ся за­кон­но – ли­ше за умо­ви на­яв­но­сті під­став для їх оброб­ки (зго­да суб’єкта да­них, до­го­вір то­що), спра­ве­дли­во та про­зо­ро. Ре­гла­мент впро­ва­джує прин­цип обме­же­н­ня ці­лей оброб­ки пер­со­наль­них да­них – да­ні обро­бля­ю­ться ли­ше з чі­тки­ми, кон­кре­тни­ми, за­кон­ни­ми ці­ля­ми. Об­сяг да­них по­ви­нен обме­жу­ва­ти­ся ли­ше не­об­хі­дною їх кіль­кі­стю, у зв’яз­ку з ви­зна­че­ною ме­тою оброб­ки. Та­кож GDPR ре­гла­мен­тує прин­цип обме­же­н­ня збе­рі­га­н­ня, від­по­від­но до яко­го збе­рі­га­н­ня да­них по­вин­но бу­ти не дов­ше, ніж це не­об­хі­дно для ме­ти, у зв’яз­ку з якою во­ни обро­бля­ю­ться.

Слід за­зна­чи­ти, що осо­бли­ву ува­гу Ре­гла­мент при­ді­ляє за­хи­сту пер­со­наль­них да­них. Зокре­ма, від­по­від­но до ви­мог GDPR, оброб­ка да­них має здій­сню­ва­ти­ся та­ким чи­ном, щоб за­без­пе­чу­ва­ти на­ле­жну без­пе­ку да­них (за­хист від не­сан­кціо­но­ва­ної або не­за­кон­ної оброб­ки, ви­пад­ко­вої втра­ти, зни­ще­н­ня, по­шко­дже­н­ня), ви­ко- ри­сто­ву­ю­чи від­по­від­ні те­хні­чні та/ або ор­га­ні­за­цій­ні за­хо­ди.

Те­хно­ло­гі­чний роз­ви­ток при­зво­дить до ви­ни­кне­н­ня но­вих тру­дно­щів для за­хи­сту пер­со­наль­них да­них. Зва­жа­ю­чи на скан­дал нав­ко­ло Cambridge Analytics та Facebook що­до не­пра­во­мір­ної пе­ре­да­чі пер­со­наль­них да­них міль­йо­нів ко­ри­сту­ва­чів со­ці­аль­ної ме­ре­жі, як ні­ко­ли го­стро по­стає пи­та­н­ня не­об­хі­дно­сті за­хи­сту та­ких да­них на ви­со­ко­му рів­ні. Не­до­бро­со­ві­сні во­ло­діль­ці пер­со­наль­них да­них та їх роз­по­ря­дни­ки мо­жуть не­по­га­но за­ро­би­ти. Та­ким чи­ном, за до­по­мо­гою те­хно­ло­гі­чно­го про­гре­су пер­со­наль- ні да­ні пе­ре­тво­рю­ю­ться на то­вар чи за­сіб впли­ву. На­при­клад, за до­по­мо­гою не­до­бро­со­ві­сно­го ви­ко­ри­ста­н­ня пер­со­наль­них да­них мо­жна впли­ну­ти на ви­бор­чу ком­па­нію шля­хом мо­де­лю­ва­н­ня впо­до­бань суб’єктів да­них та де­мон­стра­ції їм від­по­від­ної по­лі­ти­чної ре­кла­ми.

Що сто­су­є­ться без­пе­ки пер­со­наль­них да­них в Укра­ї­ні, то пи­та­н­ня під­ви­ще­н­ня рів­ня яко­сті за­хи­сту та­ких да­них на­ра­зі є одним з най­акту­аль­ні­ших. Ко­жен з нас хо­ча б раз отри­му­вав SMS з нав’язли­вою ре­кла­мою то­ва­рів, по­слуг чи за­кла­дів, про які ми впер­ше чу­є­мо. Зви­чай­но, ми не да­ва­ли зго­ди на та­ку роз­сил­ку. Сьо­го­дні, зро­бив­ши не­скла­дний по­шу­ко­вий за­пит у ме­ре­жі, мо­жна зна­йти ці­лу низ­ку ого­ло­шень про про­даж клі­єнт­ських баз да­них з іме­на­ми, адре­са­ми, но­ме­ра­ми те­ле­фо­нів, еле­ктрон­ни­ми адре­са­ми гро­ма­дян, які на­вряд чи хо­ті­ли, щоб ін­фор­ма­цію про них міг отри­ма­ти хто зав­го­дно. Та­кож вар­то зга­да­ти не­що­дав­ній скан­дал, який про­сто зі­рвав укра­їн­ські ме­діа но­ви­ною про про­даж пер­со­наль­них да­них клі­єн­тів одні­єї з про­від­них по­што­вих ком­па­ній, однак офі­цій­но факт ви­став­ле­н­ня на про­даж ба­зи да­них не був ви­зна­ний. Зва­жа­ю­чи на на­яв­ність та­ких ого­ло­шень, ймо­вір­но, є по­пит на не­пра­во­мір­ну ку­пів­лю ві­до­мо­стей про гро­ма­дян, а мо­жли­вість при­дба­ти пер­со­наль­ні да­ні свід­чить про не­об­хі­дність під­ви­ще­н­ня ви­мог у сфе­рі за­без­пе­че­н­ня без­пе­ки та­ких да­них в Укра­ї­ні.

Зва­жа­ю­чи на опи­са­ну си­ту­а­цію, вва­жа­є­мо за не­об­хі­дне за­зна­чи­ти про стан­дар­ти за­хи­сту пер­со­наль­них да­них в Укра­ї­ні та по­рів­ня­ти їх з по­ло­же­н­ня­ми GDPR. Згі­дно з по­ло­же­н­ня­ми За­ко­ну Укра­ї­ни «Про за­хист пер­со­наль­них да­них», пер­со­наль­ні да­ні – це ві­до­мо­сті чи су­ку­пність ві­до­мо­стей про фі­зи­чну осо­бу, яка іден­ти­фі­ко­ва­на або мо­же бу­ти іден­ти­фі­ко­ва­на. У рі­шен­ні Кон­сти­ту­цій­но­го су­ду Укра­ї­ни від 20.01.2012 р. №2-рп/2012 де­та­лі­зо­ва­но, які са­ме да­ні про фі­зи­чну осо­бу є пер­со­наль­ни­ми: да­ні про на­ціо­наль­ність, осві­ту, сі­мей­ний стан, ре­лі­гій­ні пе­ре­ко­на­н­ня, стан здо­ров’я, адре­са, да­та і мі­сце на­ро­дже­н­ня, ві­до­мо­сті про май­но­вий стан, да­ні про май­но­ві та не­май­но­ві від­но­си­ни фі­зи­чної осо­би з ін­ши­ми осо­ба­ми, ін­фор­ма­ція про по­дії та яви­ща, які від­бу­ва­ли­ся або від­бу­ва­ю­ться у по­бу­то­вій, ін­тим­ній, то­ва­ри­ській, про­фе­сій­ній, ді­ло­вій та ін­ших сфе­рах жи­т­тя.

Як ба­чи­мо, укра­їн­ське за­ко­но­дав­ство ви­зна­чає пер­со­наль­ні да­ні зна­чно вуж­че, ніж GDPR, а та­кож за­ли­шає по­за ува­гою еле­ктрон­ні іден­ти­фі­ка­цій­ні да­ні (IP-адре­са, фай­ли cookies то­що), еле­ктрон­ні да­ні що­до пе­ре­мі­ще­н­ня та мі­сце­зна­хо­дже­н­ня, а от­же, та­кий під­хід не від­по­від­ає ви­мо­гам су­ча­сно­сті та є де­що за­ста­рі­лим.

До то­го ж, не­зва­жа­ю­чи на на­яв­ність за­ко­но­дав­чо­го ви­зна­че­н­ня по­ня­т­тя пер­со­наль­них да­них, у пра­во­за­сто­сов­ній пра­кти­ці мо­же­мо зу­стрі­ти ви­пад­ки не­о­дно­зна­чно­го ви­зна­че­н­ня до­ста­тньо­го об­ся­гу ін­фор­ма­ції про осо­бу, не­об­хі­дно­го для її іден­ти­фі­ка­ції. Зокре­ма, Ви­щий спе­ці­а­лі­зо­ва­ний суд Укра­ї­ни з роз­гля­ду ци­віль­них і кри­мі­наль­них справ в ухва­лі у спра­ві №6-25354ск14 ді­йшов та­ко­го ви­снов­ку: «Ви­клю­чно прі­зви­ще та ім’я осо­би не є пер­со­наль­ни­ми да­ни­ми, оскіль­ки за ци­ми да­ни­ми не мо­жли­во кон­кре­тно іден­ти­фі­ку­ва­ти осо­бу, для іден­ти­фі­ка­ції кон­кре­тної осо­би за прі­зви­щем та ім’ям не­об­хі­дні до­да­тко­ві да­ні про та­ку осо­бу». Все ж та­ки важ­ко по­го­ди­ти­ся із за­зна­че­ним під­хо­дом, оскіль­ки мо­жли­ві уні­каль­ні ком­бі­на­ції прі­звищ та імен, що до­зво­лять іден­ти­фі­ку­ва­ти пев­ну фі­зи­чну осо­бу.

Не­зва­жа­ю­чи на про­бле­ми у ві­тчи­зня­но­му пра­во­во­му ре­гу­лю­ван­ні у сфе­рі за­хи­сту пер­со­наль­них да­них, на те­ри­то­рії Укра­ї­ни актив­но впро­ва­джу­ю­ться стан­дар­ти GDPR. При­мі­ром, ком­па­ні­я­ми, на які че­рез осо­бли­во­сті їхньої ді­яль­но­сті по­ши­рю­ю­ться ви­мо­ги Ре­гла­мен­ту, а та­кож ком­па­ні­я­ми, які під­три­му­ють по­лі­ти­ку, що ба­зу­є­ться на ети­чних прин­ци­пах, а та­кож ба­жа­ють від­по­від­а­ти ви­со­ким стан­дар­там без­пе­ки пер­со­наль­них да­них, що є по­зи­тив­ним до­сві­дом для Укра­ї­ни.

Під­су­мо­ву­ю­чи, слід за­зна­чи­ти, що з роз­ви­тком те­хно­ло­гій змі­ни­ла­ся роль та зна­че­н­ня пер­со­наль­них да­них. Зва­жа­ю­чи на збіль­ше­н­ня мас­шта­бів обмі­ну ві­до­мо­стя­ми про фі­зи­чних осіб, та­кі да­ні по­тре­бу­ють пиль­но­го за­хи­сту, а ме­ха­ні­зми за­без­пе­че­н­ня без­пе­ки їх обі­гу по­вин­ні по­стій­но вдо­ско­на­лю­ва­ти­ся. Роз­ши­ре­не ви­зна­че­н­ня пер­со­наль­них да­них, вра­хо­ву­ю­чи еле­ктрон­ні іден­ти­фі­ка­цій­ні да­ні (IP-адре­са, фай­ли cookies то­що) та еле­ктрон­ні да­ні що­до пе­ре­мі­ще­н­ня та мі­сце­зна­хо­дже­н­ня, від­по­від­ає ви­мо­гам ча­су та до­зво­ляє за­без­пе­чи­ти ви­со­кий рі­вень за­хи­сту та­ких да­них, а та­кож прав та ін­те­ре­сів суб’єктів да­них. Що сто­су­є­ться Укра­ї­ни, то рі­вень стан­дар­тів у сфе­рі за­хи­сту пер­со­наль­них да­них є низь­ким та не від­по­від­ає ви­мо­гам су­ча­сно­сті. Однак, зва­жа­ю­чи на єв­ро­ін­те­гра­цій­ний курс Укра­ї­ни, спо­ді­ва­є­мо­ся на по­яву укра­їн­сько­го ана­ло­га GDPR у не­да­ле­ко­му май­бу­тньо­му.

Пи­та­н­ня без­пе­ки пер­со­наль­них да­них в Укра­ї­ні на­ра­зі є одним з най­акту­аль­ні­ших

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.