І. Основные положения национального законодательства
Для введения реальных механизмов реализации взятого на себя обязательства по защите персональных данных Верховной Радой Украины был принят Закон Украины "О защите персональных данных", вступивший в силу 1 января 2011 г. и ставший основополагающим актом национального законодательства в сфере защиты персональных данных (далее – Закон о защите ПД).
Кто в обязательном порядке должен выполнять требования Закона о защите ПД?
Все баз исключения, кто владеет соответствующими персональными данными, то есть как физические, так и юридические лица Украины.
Так, определение понятия ПД приводится в статье 2 Закона, согласно которой персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Данное определение весьма обширное, следовательно в качестве персональных данных может выступать почти любая информация: дата рождения, адрес проживания, телефон, ФИО, IP-адрес, электронная почта и прочая информация.
Становится понятно, что в соответствии с нормами Закона фиксировать, регистрировать личные системы обязаны именно владельцы практически всех веб-ресурсов, которые имеют зарегистрированных пользователей, в частности интернет-магазины со своими клиентскими базами. Однако самое важное, что персональными данными в том числе принято считать данные о сотрудниках. А потому выполнять регистрацию своей базы рабочего персонала должно каждое украинское предприятие, оформляя при этом ряд соглашений о согласии на обработку персональных данных.
Каким образом интернет-магазины обязаны обеспечить выполнение Закона о защите ПД?
В первую очередь необходимо получить разрешение/согласие не только у каждого клиента, но и сотрудника предприятия на использование и обработку его ПД.
При этом необходимо:
С целью реализации вышеуказанных положений следует подготовить и разместить на сайте интернет- магазина для ознакомления пользовательское соглашение об использовании ПД. В него необходимо включить сведения о правах пользователя, потому следует предоставить ссылку на статью 8 Закона о защите ПД, указать свои цели обработки информации, а также в обязательном порядке добавить такой пункт, как: "Я предоставляю разрешение администрации сайта проводить сбор и обработку моих персональных данных. Ознакомлен(а) с правами, которые появляются по причине обработки моих ПД, а также с целями обработки, применения моих ПД".
ІІ. Основные нововведения международного законодательства – Общего регламента по защите персональных данных (GDPR)
25 мая 2018 г. в Европе вступил в силу Общий регламент по защите персональных данных, GDPR – General Data Protection Regulation (далее – Регламент, GDPR), который вызвал существенный резонанс в обществе. Данным Регламентом предусмотрена колоссальная ответственность за нарушение правил обработки персональных данных с наложением штрафов в 20 млн евро или 4% годового дохода компании. Документ предоставляет резидентам ЕС полный контроль над своими персональными данными.
Положения GDPR применяются ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, поэтому имеют экстерриториальное действие.
В соответствии с GDPR персональными данными может быть любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных), по которой прямо или косвенно можно его определить. К такой информации относятся, в частности, имя, данные о местоположении, онлайн-идентификатор либо один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица (п. 1 ст. 4).
Какие ключевые требования GDPR?
1. Соблюдение прав субъекта данных.
Это означает, что GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления.
GDPR также предусмотрено право на забвение (right to erasure, right to be forgotten), которое позволяет удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
2. Право переносить данные (right to data portability).
Суть требования состоит в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.
3. Получение согласия на обработку ПД.
Само согласие лица на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя. Если пользователь дал согласие на обработку своих персональных данных, соответственно должна быть предусмотрена возможность демонстрации и подтверждения согласия.
Какие основные составляющие механизма защиты ПД?
В каждой стране ЕС после вступления в силу Регламента учреждены Data Protect Authorities (DPA) – организации, которые следят за соблюдением GDPR на территории ЕС. У каждого пользователя сети Интернет появилась возможность обратиться к ним с жалобой, и DPA в таком случае обязаны проверить, исполняются ли правила GDPR в вашей компании.
Чтобы соответствовать Регламенту, необходимо соблюсти следующие условия:
