Що таке персональні дані та з чим їх їдять?
Чи розуміє сучасний бізнес, що таке персональні дані, як їх можна використовувати та які обмеження існують щодо них у сучасному правовому полі? Як показує практика, то не зовсім.
Адже, персональні дані – це незвідана царина для багатьох українських підприємців, котрі в першу чергу займаються налагодженням бізнес-процесів, реалізацією стратегій розвитку, впровадженням етапів маркетингового плану, масштабуванням бізнесу, і не звертають належної уваги на систему контролю за збором та використанням персональних даних своїх реальних або ж потенційних клієнтів.
І цю прогалину я намагатимусь закрити серією тематичних статей, що стосуються питання «personal data» та яка буде розглянута з усіх можливих сторін.
Сучасний світ, особливо цифровий, оперує величезним масивом даних, котрі накопичуються як у паперовому, так і у цифровому вигляді. Саме частка останніх суттєво зростає майже щодня.
Аби не навантажувати читача розлогими визначеннями поняття «персональні дані» я зроблю узагальнення з великого масиву дефініцій і зазначу, що персональні дані – це інформація або ж сукупність різних видів інформації про фізичну особу, яка, шляхом її використання, дає можливість ідентифікувати таку фізичну особу в будь-який спосіб.
Отже, одним з основних критеріїв визначення даних як персональних, в контексті положень як чинного законодавства України, так і законодавства ЄС чи США, є можливість за допомогою таких даних ідентифікувати/визначити конкретну людину.
Перелік персональних даних є дуже широким і включає в себе майже будь-яку інформацію, котра стосується фізичної особи. Вік, стать, сімейний стан, професія, освіта тощо. Навіть те, що Ви постійно купуєте у своєму супермаркеті біля Вашого дому та які товари придбаваєте на різних маркетплейсах (онлайн-магазинах), перетворюється в дані, по яким Вас можна розпізнати, якщо мати доступ до інших джерел інформації про Вас – наприклад, до інформації, котру Ви залишаєте у формі під час реєстрації на сайті того ж таки онлайн-магазину чи під час простого отримання пластикової картки для накопичення «бонусів» чи «знижок» в продуктовому маркеті.
Отже, якщо взяти до уваги зазначений вище приклад, то сама по собі інформація про Ваші споживчі звички не є персональними даними. Але, у сукупності з іншими даними, це може дати змогу зацікавленим суб’єктам визначити Вас, що автоматично переводить таку інформацію у розряд персональної.
На початку нашої подорожі у світ «data» поставимо собі питання: для чого розуміти специфіку та особливості використання персональних даних? В першу чергу, із-за відповідальності, котра може настати у зв’язку з порушенням правил збору, зберігання, використання та передачі таких персональних даних.
Що стосується світової практики притягнення до відповідальності за порушення законодавства про захист персональних даних, то тут кількість прецедентів є настільки великою та розлогою, що по деяким з них потрібно писати окремі статті. Для прикладу, чого тільки вартує штраф, котрий був накладений на компанію British Airways у зв’язку з витоком персональних та фінансових даних більш ніж 400 тисяч її клієнтів у 2018 році – 183 млн. фунтів стерлінгів, котрі, для об’єктивності, були знижені регулятором - Information Commissioner's Office - до 20 млн. фунтів стерлінгів. І це лише тому, що були прийняті до уваги наслідки пандемії коронавірусу, котрий зачепив увесь світ, а особливо – галузь авіаційних перевезень.
Про ситуацію з Facebook та Cambridge Analytica наразі писати не буду, бо це широко висвітлена тема, але й тут (незважаючи на відверто політичний контекст) фігурували суми штрафів у розмірі 5 мільярдів доларів США, а реально сплаченими за порушення захисту персональних даних у Великобританії, зі сторони Facebook, є 644 мільйони доларів!
Від Facebook не відстає й WhatsApp (котрий, до слова, був поглинутий корпорацією Facebook у 2014 році), який у 2021 році був оштрафований регуляторним органом Ірландії на суму в 225 мільйонів євро.
В Україні серйозних кейсів по захисту персональних даних ще не помічено (хоча випадки витоку персональних даних, котрі набрали розголосу, вже наявні – наприклад, великий витік персональних даних клієнтів та працівників однієї з медичних клінік міста Дніпро, який стався восени 2020 року), але це є виключно наслідком того, що дана сфера в Україні лише зароджується, а світова практика з цього напрямку лише зараз активно імплементується в чинні українські нормативно-правові акти. Для прикладу можна згадати законопроект № 5628 від 07.06.2021, котрий вже пройшов профільний комітет і направлений до Верховний Ради, і яким пропонується, наприклад, обмежити збір певних «чутливих» персональних даних (політичні, релігійні світогляд, расова ідентифікація тощо), або ж встановити максимальну межу штрафів за неправомірне оброблення біометричних даних юридичними особами на рівні 150 мільйонів гривень.
Усе вищезазначене змушує замислитись над тим, наскільки український бізнес відповідально ставиться до такого чутливого питання як захист персональних даних і що конкретно робить для того, аби не бути оштрафованим на «кругленьку суму». Особливо, це стосується тих компаній, які планують виходити на світові ринки чи вже продають свої товари/послуги на ринках США чи ЄС, де політика використання персональних даних виведена на найвищий рівень регулювання.
В Україні питання захисту персональних даних та можливі межі їх використання регулюються Законом України «Про захист персональних даних», а також, частково, Законом України «Про доступ до публічної інформації». Органом, що відповідає за сферу захисту таких даних виступає Уповноважений Верховної Ради України з прав людини, регіональні представники якого діють в кожній області України.
Щодо відповідальності в Україні, то тут варто зазначити як про адміністративну (Стаття 188-39 Кодексу України про адміністративні правопорушення – Порушення у сфері законодавства у сфері захисту персональних даних), так і кримінальну відповідальність (стаття 182 Кримінального кодексу України – Порушення недоторканості приватного життя).
У світі ж сфера захисту персональних даних вже давно набрала значних обертів (що можна зрозуміти по штрафам для бізнесу незалежно від країни реєстрації), а найбільш значними нормативно-правовими актами, котрі б регулювали дане питання у ЄС є GDPR - Загальний регламент із захисту персональних даних №2016/679 (про який чули майже всі, але в його специфіці розбираються – одиниці), а в США – CCPA (американський закон про захист персональних даних користувачів зі штату Каліфорнія, який є одним з найбільш регламентованих нормативних актів у сфері захисту персональних даних на всій території США).
Все вищезазначене – це лише загальні відомості про те, що собою являють персональні дані, та як сфера їх захисту може впливати на кожного з нас, незалежно від того є Ви власником невеличкого інтернет-магазину з продажу взуття, чи генеральним директором міжнародної телекомунікаційної корпорації. Для всіх нас правила поводження з персональними даними – єдині, і я спробую «розкласти по поличкам» усі сторони їх захисту, можливі грані їхнього використання та способи їх застосування у сучасному швидкоплинному та цифровому світі.
- Нові мита Трампа: що чекає на Україну та Ізраїль у новій торговій реальності Олег Вишняков 18:27
- Корупція у Президента чи безвідповідальність вартістю 2 млрд грн? Артур Парушевскі 14:23
- Регулювання RWA-токенів у 2025 році: як успішно запустити проєкт Іван Невзоров 13:50
- Непотрібний президент Валерій Карпунцов 13:38
- Стягнення додаткових витрат на навчання дитини за кордоном: на що необхідно звернути увагу Арсен Маринушкін 13:21
- Оформлення права власності на частку у спільному майні колишнього подружжя Альона Прасол 10:29
- В Україні з’явився "привид" стагфляції, що пішло не так? Любов Шпак 10:27
- Юридичне регулювання sweepstakes: основні аспекти та огляд за юрисдикціями Роман Барановський вчора о 16:19
- Нелегальний ринок тютюну: як зупинити мільярдні втрати для бюджету України? Андрій Доронін вчора о 15:05
- Перевірка компаній перед M&A: аудит, юридичні аспекти та роль менеджера Артем Ковбель вчора о 02:12
- Адвокатура в Україні потребує невідкладного реформування Лариса Криворучко вчора о 01:14
- Ретинол і літо: якими ретиноїдами можна користуватися влітку Вікторія Жоль 01.04.2025 09:44
- К вопросу о гегелевских законах диалектики. Дискуссия автора с ИИ в чате ChatGPT Вільям Задорський 01.04.2025 06:23
- Рекордні 8549 заяв на суддівські посади: що стоїть за ключовою цифрою пʼятого добору? Тетяна Огнев'юк 31.03.2025 21:11
- Med-Arb: ефективна альтернатива традиційному врегулюванню спорів Наталія Ковалко 31.03.2025 17:54
- Рекордні 8549 заяв на суддівські посади: що стоїть за ключовою цифрою пʼятого добору? 3798
- Шукайте жінку! Білоруський варіант 368
- Med-Arb: ефективна альтернатива традиційному врегулюванню спорів 259
- НАБУ: невиправдані надії 229
- Аудит українських надр. Відзив "сплячих" ліцензій. Передача надр іноземцям 158
-
"Супутник Притули" змінив правила гри: як Україна вплинула на фінський космічний бізнес
23130
-
Ексголова Харківської ОДА Кучер очолив наглядову раду держкомпанії "Ліси України"
Бізнес 17395
-
Сотні контрактів. Про що говорить масова закупівля Європою сучасних танків та БМП
17024
-
Треба багато, але окупності нема. Чому в Україні так довго будуються скляні заводи
Бізнес 13633
-
Податкова почала отримувати дані про людей, які систематично продають товари через інтернет
Фінанси 11691