Що таке персональні дані та з чим їх їдять?

Чи розуміє сучасний бізнес, що таке персональні дані, як їх можна використовувати та які обмеження існують щодо них у сучасному правовому полі? Як показує практика, то не зовсім.

Адже, персональні дані – це незвідана царина для багатьох українських підприємців, котрі в першу чергу займаються налагодженням бізнес-процесів, реалізацією стратегій розвитку, впровадженням етапів маркетингового плану, масштабуванням бізнесу, і не звертають належної уваги на систему контролю за збором та використанням персональних даних своїх реальних або ж потенційних клієнтів.

І цю прогалину я намагатимусь закрити серією тематичних статей, що стосуються питання «personal data» та яка буде розглянута з усіх можливих сторін.

Сучасний світ, особливо цифровий, оперує величезним масивом даних, котрі накопичуються як у паперовому, так і у цифровому вигляді. Саме частка останніх суттєво зростає майже щодня.

Аби не навантажувати читача розлогими визначеннями поняття «персональні дані» я зроблю узагальнення з великого масиву дефініцій і зазначу, що персональні дані – це інформація або ж сукупність різних видів інформації про фізичну особу, яка, шляхом її використання, дає можливість ідентифікувати таку фізичну особу в будь-який спосіб.

Отже, одним з основних критеріїв визначення даних як персональних, в контексті положень як чинного законодавства України, так і законодавства ЄС чи США, є можливість за допомогою таких даних ідентифікувати/визначити конкретну людину.

Перелік персональних даних є дуже широким і включає в себе майже будь-яку інформацію, котра стосується фізичної особи. Вік, стать, сімейний стан, професія, освіта тощо. Навіть те, що Ви постійно купуєте у своєму супермаркеті біля Вашого дому та які товари придбаваєте на різних маркетплейсах (онлайн-магазинах), перетворюється в дані, по яким Вас можна розпізнати, якщо мати доступ до інших джерел інформації про Вас – наприклад, до інформації, котру Ви залишаєте у формі під час реєстрації на сайті того ж таки онлайн-магазину чи під час простого отримання пластикової картки для накопичення «бонусів» чи «знижок» в продуктовому маркеті.

Отже, якщо взяти до уваги зазначений вище приклад, то сама по собі інформація про Ваші споживчі звички не є персональними даними. Але, у сукупності з іншими даними, це може дати змогу зацікавленим суб’єктам визначити Вас, що автоматично переводить таку інформацію у розряд персональної.

На початку нашої подорожі у світ «data» поставимо собі питання: для чого розуміти специфіку та особливості використання персональних даних? В першу чергу, із-за відповідальності, котра може настати у зв’язку з порушенням правил збору, зберігання, використання та передачі таких персональних даних.

Що стосується світової практики притягнення до відповідальності за порушення законодавства про захист персональних даних, то тут кількість прецедентів є настільки великою та розлогою, що по деяким з них потрібно писати окремі статті. Для прикладу, чого тільки вартує штраф, котрий був накладений на компанію British Airways у зв’язку з витоком персональних та фінансових даних більш ніж 400 тисяч її клієнтів у 2018 році – 183 млн. фунтів стерлінгів, котрі, для об’єктивності, були знижені регулятором - Information Commissioner's Office - до 20 млн. фунтів стерлінгів. І це лише тому, що були прийняті до уваги наслідки пандемії коронавірусу, котрий зачепив увесь світ, а особливо – галузь авіаційних перевезень.

Про ситуацію з Facebook та Cambridge Analytica наразі писати не буду, бо це широко висвітлена тема, але й тут (незважаючи на відверто політичний контекст) фігурували суми штрафів у розмірі 5 мільярдів доларів США, а реально сплаченими за порушення захисту персональних даних у Великобританії, зі сторони Facebook, є 644 мільйони доларів!

Від Facebook не відстає й WhatsApp (котрий, до слова, був поглинутий корпорацією Facebook у 2014 році), який у 2021 році був оштрафований регуляторним органом Ірландії на суму в 225 мільйонів євро.

В Україні серйозних кейсів по захисту персональних даних ще не помічено (хоча випадки витоку персональних даних, котрі набрали розголосу, вже наявні – наприклад, великий витік персональних даних клієнтів та працівників однієї з медичних клінік міста Дніпро, який стався восени 2020 року), але це є виключно наслідком того, що дана сфера в Україні лише зароджується, а світова практика з цього напрямку лише зараз активно імплементується в чинні українські нормативно-правові акти. Для прикладу можна згадати законопроект № 5628 від 07.06.2021, котрий вже пройшов профільний комітет і направлений до Верховний Ради, і яким пропонується, наприклад, обмежити збір певних «чутливих» персональних даних (політичні, релігійні світогляд, расова ідентифікація тощо), або ж встановити максимальну межу штрафів за неправомірне оброблення біометричних даних юридичними особами на рівні 150 мільйонів гривень.

Усе вищезазначене змушує замислитись над тим, наскільки український бізнес відповідально ставиться до такого чутливого питання як захист персональних даних і що конкретно робить для того, аби не бути оштрафованим на «кругленьку суму». Особливо, це стосується тих компаній, які планують виходити на світові ринки чи вже продають свої товари/послуги на ринках США чи ЄС, де політика використання персональних даних виведена на найвищий рівень регулювання.

В Україні питання захисту персональних даних та можливі межі їх використання регулюються Законом України «Про захист персональних даних», а також, частково, Законом України «Про доступ до публічної інформації». Органом, що відповідає за сферу захисту таких даних виступає Уповноважений Верховної Ради України з прав людини, регіональні представники якого діють в кожній області України.

Щодо відповідальності в Україні, то тут варто зазначити як про адміністративну (Стаття 188-39 Кодексу України про адміністративні правопорушення – Порушення у сфері законодавства у сфері захисту персональних даних), так і кримінальну відповідальність (стаття 182 Кримінального кодексу України – Порушення недоторканості приватного життя).

У світі ж сфера захисту персональних даних вже давно набрала значних обертів (що можна зрозуміти по штрафам для бізнесу незалежно від країни реєстрації), а найбільш значними нормативно-правовими актами, котрі б регулювали дане питання у ЄС є GDPR - Загальний регламент із захисту персональних даних №2016/679 (про який чули майже всі, але в його специфіці розбираються – одиниці), а в США – CCPA (американський закон про захист персональних даних користувачів зі штату Каліфорнія, який є одним з найбільш регламентованих нормативних актів у сфері захисту персональних даних на всій території США).

Все вищезазначене – це лише загальні відомості про те, що собою являють персональні дані, та як сфера їх захисту може впливати на кожного з нас, незалежно від того є Ви власником невеличкого інтернет-магазину з продажу взуття, чи генеральним директором міжнародної телекомунікаційної корпорації. Для всіх нас правила поводження з персональними даними – єдині, і я спробую «розкласти по поличкам» усі сторони їх захисту, можливі грані їхнього використання та способи їх застосування у сучасному швидкоплинному та цифровому світі.