You can read the article below in the language of the original.
Захист персональних даних: деякі практичні аспекти
Закон України «Про захист персональних даних» (далі – Закон), що був прийнятий у 2010 році та набув чинності з початку 2011 року, запровадив прогресивні норми, які покликані охороняти конфіденційні дані та приватну інформацію громадян під час їх обробки та зберігання у різноманітних базах даних.
При цьому Закон все ж є базовим документом, на основі якого почалася та триває активна робота із розробки цілої низки підзаконних актів, що деталізуватимуть норми Закону на стадії їх практичного застосування.
Законодавець та регулятор як під час довготривалої історії підготовки та прийняття Закону, так і зараз, розробляючи відповідні правозастосовні документи, використовують різноманітну практику та досвід європейських держав і норми європейського законодавства з метою конкретизації та деталізації базових положень Закону. Сподіваємося, що створення таких документів допоможе скористатися різноманітною практикою та досвідом європейських держав та врахувати норми європейського законодавства, врегулювати спірні питання захисту персональних даних, що, в свою чергу, дасть можливість більш ефективно застосовувати на практиці норми Закону у повсякденному житті.
Нижче ми наводимо короткий огляд деяких аспектів законодавства про захист персональних даних, розуміння яких може стати у пригоді особі, відповідальній за організацію обробки та захисту персональних даних, а також їх баз на підприємстві.
Персональні дані та їх види
Як відомо, Закон містить дуже загальне визначення персональних даних, розуміючи їх як «відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Аналізуючи проект Типового порядку обробки персональних даних у базах персональних даних, а також деякі інші проекти документів Державної служби з питань захисту персональних даних, що є головним органом у системі центральних органів виконавчої влади з формування та забезпечення реалізації державної правової політики у сфері захисту персональних даних, можна побачити, які категорії відомостей та підходи до їх класифікації будуть скоріш за все використовуватися регулятором:
– за природою – об'єктивні (біометричні дані, стан банківського рахунку тощо) та суб'єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо);
– за джерелами – відомості, що отримані з первинних (загальнодоступні джерела, від самої особи і т. п.) або вторинних джерел (наприклад, з іншої бази персональних даних);
– за способами обробки – текстові (цифрово-буквені), графічні відомості, відомості у фото-, кіно-, аудіо-, голо- та відеоформаті;
– за носіями – на папері (картотеки, підшивки, каталоги, довідники, і т. д.) або в електронній формі (на магнітних, оптичних, гібридних, твердих або інших цифрових носіях);
– за «правовим режимом» – відомості, до яких застосовуються загальні (більшість форм персональних даних) або особливі (відомості про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також відомості, що стосуються здоров'я чи статевого життя, тощо);
– за ступенем зв'язку з особою – дані, що стосуються її безпосередньо (особова справа працівника, запис у базі даних медичного закладу, банківський рахунок фізичної особи тощо) або опосередковано (реєстраційний запис про право власності на об'єкт нерухомого майна, записи відеоспостереження у громадських місцях, записи про технічне обслуговування автомобіля, тощо);
– за терміном обробки (зберігання) – короткострокові (до 3 років), середньострокові (до 10 років), довгострокові (70 років або більше) та безстрокові (довічно);
– за змістом – ідентифікаційні дані (ім'я, адреса, телефон тощо), паспортні дані; особисті відомості (вік, стать, сімейний стан тощо), склад сім'ї, освіта, професія, біометричні дані (зріст, вага, особливі прикмети тощо), психологічні дані (особистість, характер тощо), житлові умови, спосіб життя, життєві інтереси та захоплення, споживчі звички, фінансова інформація, електронні ідентифікаційні дані (трафік, IP-адреса тощо), електронні дані про локалізацію (GSM, GPS тощо), запис зображень (фото, відео), звукозапис, інші;
– за суб'єктним складом – відомості громадян, найманих працівників, посадових осіб, платників податків та зборів, клієнтів, покупців, споживачів, абонентів, пацієнтів, пасажирів, батьків, суб'єктів відносин у сфері страхування, суб'єктів фінансових відносин, суб'єктів відносин у сфері реклами (рекламодавців, рекламо-виробників, розповсюджувачів, споживачів), членів політичних партій/громадських/релігійних організацій, вихованців закладів освіти (учнів, студентів, абітурієнтів, курсантів, слухачів, стажистів, аспірантів, докторантів, випускників) та інших осіб.
Останні дві класифікації є особливо цікавими і показовими, адже вони розкривають загальні підходи регулятора до обсягу множин даних, що можуть його цікавити, а також їх власників (суб'єктів). Зокрема, аналіз цих категорій дає змогу казати про те, що і оператори мобільного зв'язку, і маркетингові/дослідницькі та кадрові агентства, так само як і різноманітні навчальні заклади після сплину певного часу потенційно можуть зазнавати візитів посадовців регулятора з метою перевірки дотримання вимог законодавства про захист персональних даних, а також ведення та реєстрації баз персональних даних.
Згода суб'єкта персональних даних на їх обробку
Ті, хто цікавляться тематикою правового регулювання питань захисту персональних даних в Україні, знають, що й досі тривають дискусії, що саме мав на увазі законодавець, визначаючи згоду суб'єкта персональних даних як «будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки». Найбільш цікавим є тлумачення поняття «документована», особливо в розрізі електронного обігу документів, різноманітних інтернет-анкет, веб-форм і т. ін.
Вивчення проектів документів регулятора може допомогти зрозуміти, яких форм може набувати документована згода особи на обробку її персональних даних. Наразі, можна розрізняти наступні форми надання згоди:
а) шляхом оформлення відповідного документа на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу, такий документ повинен бути підписаний особою на засвідчення добровільності його волевиявлення та підтвердження дійсності такого документа;
б) шляхом створення електронного документа, який матиме обов'язкові реквізити
документа, що дають змогу ідентифікувати цей документ та фізичну особу. Документ засвідчується електронним підписом особи (який ще слід окремо отримати та зареєструвати у встановленому порядку);
в) шляхом оформлення документа на іншому носії, що містить всі ознаки документованої згоди особи на обробку її персональних даних;
г) шляхом проставляння відмітки/позначки на відповідній електронній сторінці документа чи у електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:
• не дозволяють обробку персональних даних до того часу, поки суб'єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди (тобто практично унеможливлюють подальші дії за відсутності такої позначки); та
• забезпечують реєстрацію (фіксацію) добровільних дій особи та цілісність протоколів реєстрації таких дій.
Знову ж таки останні два способи документування є найбільш цікавими. Оперування «документами на інших, ніж паперові та електронні носії», з одного боку, може дозволити запроваджувати нові або альтернативні форми документування згоди власника персональних даних, які прямо не будуть адресовані у порядку або інших положеннях регулятора (звичайно, якщо така форма там залишиться). З іншого боку, знов не зрозуміло, яку ще форму може мати документ, окрім паперової та електронної, та ще й так, щоб ця форма дозволяла цей документ зберігати, а також засвідчувала добровільність волевиявлення особи. До того ж питання строку зберігання таких згод (незалежно від форми) поки що залишається неврегульованим.
Захист персональних даних
Наостанок декілька слів про засоби захисту персональних даних, а також вимоги до них з боку регулятора. Закон у статті 24 встановлює загальне правило, за яким «суб'єкти відносин, пов'язаних із персональними даними, зобов'язані забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них» не конкретизуючи, якого роду та характеру заходи можуть або повинні застосовуватися.
Проекти підзаконних документів та інструкцій дозволяють стверджувати, що регулятор провів певну роботу із вивчення потенційних загроз та класифікації основних заходів безпеки, спрямованих на захист персональних даних, а також можливих джерел, що встановлюють спеціальні вимоги до таких захисних заходів. Зокрема, розуміється, що заходи захисту персональних даних можуть бути встановлені відповідно до:
– нормативних документів системи технічного захисту інформації;
– державних стандартів України;
– стандартів Національного банку України;
– міжнародних та європейських стандартів; або
– інших документів.
Щодо можливого характеру загрози для збереження цілісності та конфіденційності персональних даних, що зберігаються у відповідних базах даних та відповідних заходів безпеки, то їх можна умовно поділити на наступні види:
– неавторизований доступ до персональних даних (усувається шляхом встановлення режимів управління доступом та заборони гостьового (неавторизованого) входу до бази даних);
– незаконне ознайомлення з персональними даними (унеможливлюється шляхом запровадження належного режиму конфіденційності інформації, що міститься у базі даних);
– модифікація або знищення персональних даних (усувається шляхом організації обмежених прав доступу (перегляд/зміна/редагування/видалення) даних для різних категорій користувачів);
– відмова у послугах чи у використанні даних відповідно до визначених цілей (запобігається шляхом забезпечення належного рівня доступності для осіб, що мають на це право);
– доступ до даних від імені підставної персони (спуфінг) / відмова від авторства доступу до персональних даних (унеможливлюється шляхом усунення можливості спростування та перевірки авторства під час внесення даних до бази);
– неавторизоване управління базою персональних даних (усувається шляхом організації розподілу прав адміністрування базою персональних даних для відповідних категорій користувачів).
Слід відмітити, що наразі регулятор за ступенем небезпеки розрізняє 4 умовні рівні загроз персональним даним та рівні реалізації послуг (класи ризику):
Клас ризику 0: ризик відсутній. Персональні дані, що обробляються, вже знаходяться у вільному доступі, і вважається, що використання персональних даних з визначеними цілями не містить ризиків для суб'єктів персональних даних та не потрібні жодні спеціальні заходи безпеки;
Клас ризику 1: незначний рівень ризику. В цьому класі у випадку втрати або несанкціонованого чи неналежного доступу до персональних даних особи наслідки для неї є такими, що для їх запобігання буде достатньо використовувати звичайні (стандартні) заходи захисту інформації. До цієї групи скоріш за все відносяться бази даних бухгалтерії та відділу кадрів невеликих підприємств, бібліотек, комунальних організацій, а також клієнтські бази торгівельних та сервісних організацій (із певними виключеннями);
Клас ризику 2: середній рівень ризику. У цьому класі у випадку втрати або неавторизованого чи неналежного використання персональних даних суб'єкта можуть
наставати додаткові негативні наслідки. До баз персональних даних цього класу можна віднести бази, що містять дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також бази невеликого обсягу, що містять дані про здоров'я чи статеве життя, бази персональних даних, що містять або можуть містити опосередковану інформацію про світоглядне переконання, статеве життя чи здоров'я (наприклад, бази абонентів телекомунікаційних компаній, інтернет-сервіс провайдерів тощо.). Для таких баз даних може бути необхідним проведення незалежної оцінки застосовуваних заходів щодо захисту персональних даних.
Клас ризику 3: високий рівень ризику. У випадку, якщо несанкціоновані дії із персональними даними можуть мати серйозні наслідки для суб'єкта персональних даних, для їх захисту повинні вживатися суттєві заходи та використовуватися належні засоби захисту, а також обов'язково проводитися незалежна оцінка таких заходів.
Цей клас ризику умовно поділяється на 2 підкласи:
Підклас ризику 3.1: високий ризик цілісності персональних даних (наприклад, публічні державні та інші реєстри, бази сертифікатів відкритих ключів центрів сертифікації ключів тощо); та
Підклас ризику 3.2: високий ризик конфіденційності та цілісності персональних даних (наприклад, бази персональних даних закладів охорони здоров'я та ін.)
Українське законодавство з питань захисту персональних даних, незважаючи на свій досить короткий час існування, іноді зазнає критики за певні вади та неточності, викликані новизною сфери регулювання Закону. Розробка підзаконних актів є нормальним робочим процесом становлення правового режиму на шляху до конкретизації базових понять і явищ в галузі захисту персональних даних.
ВИСНОВОК:
Слід відзначити позитивні тенденції в роботі регулятора щодо підготовки відповідних підзаконних актів, положень та інструкцій з питань захисту персональних даних. Можна висловити сподівання, що ті недоліки, які виявляються під час застосування Закону, будуть поступово усунені шляхом прийняття таких правозастосовних документів, які дадуть змогу на практиці максимально дотримуватися вимог Закону та ліквідують можливі ускладнення під час їх виконання.
