Захист персональних даних: практичні рекомендації для бізнесу

В умовах цифрової трансформації, посилення кіберзагроз та євроінтеграції захист персональних даних як з технічної, так і з правової сторони стає все більш важливим елементом успішної бізнес-стратегії. 

20 листопада 2024 року було прийнято за основу законопроєкт № 8153 «Про захист персональних даних», який гармонізує українське законодавство з європейськими стандартами. Тому назріває потреба у перегляді та вдосконаленні підходів до управління персональними даними.

Пропоную розглянути основні вразливі аспекти, на які варто звернути увагу при проведенні внутрішнього аудиту відповідності діяльності законодавству про захист персональних даних та способи їх виправлення.

Отримання згоди на обробку даних

Будь-яка дія з персональними даними повинна мати передбачену законодавством підставу. Незалежно від того, чи це згода тієї людини, дані якої обробляються (далі – суб’єкта даних), виконання договору, або захист законних інтересів, наявність такої підстави є обов’язковою умовою для можливості правомірної обробки даних.

Розглянемо детальніше надання згоди. Для цього потрібно повідомити особу, персональні дані якої оброблятимуться, про:

1. володільця персональних даних (того, хто визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки);
2. склад та зміст зібраних персональних даних;
3. свої права, визначені Законом України «Про захист персональних даних»;
4. мету збору персональних даних;
5. осіб, яким передаються його персональні дані.

Бізнесу потрібно забезпечити, щоб перед наданням згоди людина була проінформована щодо кожного з цих п’яти пунктів. Тому розробіть політику, яка розкриє їх та врахує ваші бізнес-процеси. Її потрібно опублікувати на офіційному сайті, щоб у кожного була можливість ознайомлення з нею перед наданням згоди на обробку персональних даних.

Враховуючи те, що наразі бізнес все більше використовує штучний інтелект для оптимізації процесів, у внутрішніх політиках не зайвим буде врегулювання і цього аспекту, зокрема визначення принципів використання штучного інтелекту та дотримання етичних стандартів при його впровадженні.

При цьому отримання згоди має бути у письмовій формі або у формі, що дає змогу зробити висновок про її надання. Законодавчо передбачено, що у сфері електронної комерції суб’єкт персональних даних може надати згоду на їх обробку під час реєстрації в інформаційній системі шляхом встановлення відповідної відмітки. Це можливо лише за умови, що система не починає обробку даних до моменту надання такої згоди відповідно до визначеної мети.

Якщо згода неможлива чи недоцільна, то перед обробкою даних потрібно переконатися, що є інша законна підстава (наприклад, укладення та виконання правочину (тобто юридичної угоди чи дії, спрямованої на встановлення, зміну або припинення прав і обов’язків) або законодавче зобов’язання здійснення обробки).

Захист інформаційних систем

Останні кібератаки показують, що вони стають все масштабнішими та складнішими. Недостатнє інвестування у засоби захисту та покладання на базові системи безпеки приводить до витоків даних.

Щоб мінімізувати цей ризик потрібно вживати заходів, які забезпечують надійний рівень захисту. Використання шифрування даних, багаторівневої автентифікації та сучасних технологій стане важливим кроком у зміцненні системи, а регулярне оновлення програмного забезпечення та проведення аудитів безпеки персональних даних допоможуть своєчасно виявляти й усувати потенційні загрози. Важливо також організувати резервне копіювання даних, забезпечивши доступ до них лише для уповноважених осіб.

Готовність до витоків даних

Навіть за умови постійного покращення систем безпеки, витоки даних відбуваються. Тому потрібно приділяти достатньо уваги до управління інцидентами порушення безпеки даних.

Для мінімізації ризиків потрібно мати чіткий план дій на такий випадок. Перевірка готовності до кібератак може допомогти оцінити слабкі місця та вдосконалити систему захисту. Також варто заздалегідь визначити, хто саме буде відповідати за інформування постраждалих осіб і відповідних контролюючих органів. Це забезпечить оперативність і ефективність дій у критичній ситуації.

Забезпечення правомірності передання даних третім сторонам

Існують випадки, коли підприємства передають дані підрядникам без належного оформлення договорів, що регулюють захист персональної інформації, або ж попередньо не інформують суб’єктів даних про те, що таким особам будуть передані їх дані. Це створює ризики витоку та неналежного використання персональних даних.

Тому потрібно контролювати, щоб у договорах були чітко зазначені положення про захист персональних даних при їх обробці, а люди були повідомлені про передання їх даних. Окрім цього, за можливості, необхідно стежити за дотриманням партнерами ваших стандартів захисту даних.

Навчання співробітників

Працівники можуть бути слабкою ланкою в системі захисту даних, оскільки не кожен добре розуміє правила інформаційної безпеки. До прикладу, вони можуть відкрити фішинговий лист або використовувати ненадійні паролі, що може призвести до витоку персональних даних. 

Щоб цього уникнути, важливо регулярно проводити навчання кібербезпеці, впроваджувати чіткі правила зберігання та обробки даних та пояснювати, які дані збираються, з якою метою та як вони використовуються. Також слід розробити та впровадити політику інформаційної безпеки в компанії та контролювати її виконання. Не менш важливо періодично переглядати та оновлювати ці правила, враховуючи зміни.

Обробка даних громадян ЄС

Якщо ваш бізнес обробляє дані громадян Європейського Союзу (будь то користувачі сайту, клієнти чи ваші співробітники), навіть якщо компанія зареєстрована в Україні, необхідно дотримуватися вимог Загального регламенту про захист даних (GDPR). З початком масштабної релокації та розширення українських підприємств на зону Європейського Союзу, це набуло особливої актуальності.

Якщо ви на етапі розробки плану масштабування вашої діяльності – це також потрібно врахувати.

Серед основних аспектів, які мають бути впровадженими:

• отримання чіткої, однозначної згоди на обробку даних згідно з європейськими стандартами;
• забезпечення права суб’єктів на виправлення, видалення, перенесення даних;
• виконання вимог щодо повідомлення про витоки даних упродовж 72 годин;
• належна перевірка підрядників, які обробляють дані громадян ЄС;
• створення відповідних вимогам GDPR документів (як внутрішніх, так і для сайту, застосунку).

Порушення цих вимог може викликати фінансові санкції: штраф до 20 мільйонів євро або 4% від річного обороту компанії. 

Якщо прийнятий за основу законопроєкт № 8153 «Про захист персональних даних» буде остаточно прийнятий, то він суттєво посилить встановлені вимоги. Разом з гармонізацією українського законодавства з вимогами GDPR, він також створить і нові виклики для бізнесу. 

Серед основних вразливих аспектів:

1. Недостатня готовність до нових вимог

Багато компаній ще не адаптували свої процеси до чинного законодавства, а нові вимоги лише значно посилять обов’язки. Зокрема, бізнесу доведеться розробити або оновити політики конфіденційності, забезпечити дотримання принципу мінімізації обробки даних, запровадити дієві процеси для забезпечення прав суб’єктів даних.

2. Потенційна необхідність внесення змін до існуючих процедур отримання згоди на обробку персональних даних

Норми законопроєкту № 8153 деталізують вимоги до надання згоди на обробку персональних даних, що зумовить більшу визначеність у її належному форматі надання. Зокрема, передбачається, що згода не буде вважатися вільною (що є її обов’язковою умовою), якщо у суб’єкта персональних даних відсутні інші шляхи доступу до певних товарів, послуг, тощо, без надання ним згоди на обробку своїх персональних даних, або ж якщо він знаходиться у залежному чи підпорядкованому становищі відносно того, кому надається згода.

3. Можлива необхідність призначення відповідальної особи з питань захисту персональних даних

Європейські стандарти передбачають призначення відповідальної особи з питань захисту персональних даних, яка контролюватиме дотримання вимог, що й відображено в прийнятому за основу законопроєкті №  8153. Це вимагатиме додаткових ресурсів і часу, особливо для малого та середнього бізнесу.

4. Ризики при передачі даних за кордон

Якщо бізнес передає дані за межі України, особливо до країн без належного рівня захисту, буде необхідно забезпечити відповідні юридичні механізми для забезпечення безпеки даних. Недотримання цих вимог може призвести до значних штрафів.

 5. Штрафи за порушення

Наразі у прийнятому за онову законопроєкті № 8153 передбачено штрафи у розмірі до 150 млн грн або 8% загального річного обороту за недотримання вимог. Це може створити суттєві виклики для компаній, які недостатньо інвестуватимуть у захист даних.

Безумовно, ці зміни підвищать вимоги до бізнесу. Та водночас вони створять більш прозорі правила гри, які зміцнять довіру між підприємствами та клієнтами. 

Тому основна рекомендація для бізнесу — не чекати остаточного ухвалення закону з більш жорсткими вимогами, а вже зараз починати підготовку до ведення діяльності відповідно до вимог захисту персональних даних, почавши з приведення діяльності у відповідність до чинного наразі регулювання, яке закладе базу. Розпочати можна з проведення аудиту процесів обробки персональних даних. Це дозволить уникнути зайвих витрат і ризиків у майбутньому, які можуть бути у випадку виявлення порушень на державному рівні.

Висновок

Захист персональних даних стає все більш актуальним для українського бізнесу. Потенційне прийняття оновлених законодавчих вимог, які наближені до європейських стандартів – це не просто черговий виклик, а реальна можливість підвищити довіру клієнтів та зміцнити конкурентоспроможність та репутацію компанії.

Щоб перетворити вразливі місця на сильні, бізнесу необхідно привести свою діяльність у відповідність до вимог. Це не лише убезпечить від потенційних ризиків, але й демонструватиме професійність компанії.

Головне – не сприймати вимоги лише як формальність, а усвідомлено впроваджувати комплексний підхід до захисту персональних даних.

‍

Джерело: Liga.net

‍

Юлія Літвінчук,

юристка практики Супроводу бізнесу в Juscutum