Онлайн-форми сьогодні є одним із найбільш розповсюджених інструментів для проведення опитувань та реєстрації на події, співбесіди, конкурси тощо. Серед іншого, з їхньою допомогою можуть збирати і персональні дані. Однак, часто під час складання таких онлайн-форм згода на обробку персональних даних або взагалі не отримується, або отримується в формі лише одного запитання «Чи надаєте Ви згоду на обробку персональних даних?» з єдиним варіантом відповіді «Так». Такий підхід є порушенням законодавства про захист персональних даних та може тягнути за собою небажані наслідки.
Що таке персональні дані та для чого потрібно отримувати згоду на їхню обробку?
Персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Це може бути будь-яка інформація, за якою особу можна виокремити серед інших осіб. Наприклад, це може бути ПІБ, вік, гендерна приналежність, номери документів, адреса електронної пошти, номери телефонів та навіть IP адреса.
Персональні дані захищені законом та не можуть оброблятися безпідставно. Однією з підстав обробки персональних даних є згода особи, чиї персональні дані обробляються (суб’єкта персональних даних) та ця підстава є найчастіше застосованою при заповненні онлайн-форм.
Як повинна виглядати згода на обробку персональних даних?
Згода – це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
Позначка «Так» поряд з питанням «Чи надаєте Ви згоду на обробку персональних даних?» дійсно може бути добровільним волевиявленням фізичної особи на обробку її персональних даних у формі, що дає змогу зробити висновок про надання згоди. Однак, такий спосіб сам по собі не забезпечує поінформованість особи та сформульованість мети обробки персональних даних.
Чекліст питань, на які особа повинна мати відповіді до надання згоди, щоб вона могла вважатися такою, що надана за умови поінформованості особи та відповідно до сформульованої мети обробки:
- Хто оброблятиме персональні дані? (Ім’я/назва володільця (контролера) персональних даних, його адреса, контактні телефони тощо)
- З якою метою оброблятимуться персональні дані? (Мета має бути сформульована чітко та зрозуміло)
- Які персональні дані будуть оброблятися? (Конкретний вичерпний перелік персональних даних особи, який планується обробляти)
- Які дії з персональними даними передбачатиме їх обробка? (Збір, зберігання, передача, оприлюднення, знеособлення тощо)
- Хто є розпорядником (оператором) персональних даних? Які права і повноваження розпорядника (оператора) щодо обробки персональних даних?
- Кому можуть бути передані персональні дані? З якою метою? На яких підставах?
- Скільки часу персональні дані будуть зберігатися у володільця (контролера)?
- На яких умовах особа може відкликати згоду на обробку персональних даних та які наслідки такої дії?
Задля інформування особи про мету та умови обробки її персональних даних найкращим рішенням буде створити окремий документ «Політика конфіденційності» (або аналогічний), який буде доступний за гіперпосиланням поряд з питанням про надання згоди на обробку персональних даних.
Крім того, необхідно забезпечувати можливість особи вносити застереження стосовно обробки персональних даних під час надання згоди створивши текстове поле після питання про надання згоди на обробку персональних даних.
Звертаємо увагу, що в разі обробки персональних даних дітей згоду необхідно отримувати в їхніх батьків (опікунів/піклувальників).
Які можуть бути додаткові вимоги до обробки персональних даних?
Обробка особливо чутливих персональних даних вимагає додаткового захисту. До таких персональних даних відносяться дані про: расове, етнічне та національне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях, профспілках, релігійних чи громадських організаціях світоглядної спрямованості, стан здоров’я, статеве життя (в тому числі про сексуальну орієнтацію), біометричні дані (включаючи фото та відео з людиною), генетичні дані, притягнення до адміністративної чи кримінальної відповідальності, застосування щодо особи заходів в рамках досудового розслідування, вжиття щодо особи гласних і негласних пошукових та контррозвідувальних заходів, вчинення щодо особи тих чи інших видів насильства, місцеперебування та/або шляхи пересування особи.
В разі здійснення обробки вищезгаданих даних, необхідно повідомити про це Уповноваженого Верховної Ради України з прав людини («Уповноважений») упродовж 30 робочих днів з дня початку такої обробки, а також повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж 10 робочих днів з дня настання такої зміни. Виключеннями є обробка, необхідна для реалізації прав та виконання обов’язків володільця (контролера) персональних даних у сфері трудових правовідносин; обробка яка здійснюється громадськими об’єднаннями, політичними партіями, профспілками, об’єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується виключно персональних даних членів цих об’єднань та не передається без їх згоди; та обробка єдиною метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому.
Крім повідомлення Уповноваженого, у разі обробки даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних (включаючи фото та відео з людиною) або генетичних даних, необхідно отримувати однозначну згоду на обробку таких даних, тобто у згоді має бути окремо чітко зазначено, які саме дані з вищенаведеного переліку будуть оброблятися та яким чином.
Порушення законодавства про захист персональних даних карається штрафом. В більшості випадків, в разі виявлення порушення, Уповноважений складає припис про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки, невиконання яких в свою чергу тягне за собою накладення штрафу на громадян від 3400 до 5100 гривень і на посадових осіб та ФОП – від 5100 до 17000 гривень. Виключенням є неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку персональних даних або про зміну відомостей, перелік яких наведено вище, в такому випадку штраф накладається одразу з виявленням правопорушення і становить від 1700 до 3400 гривень для громадян і від 3400 до 6800 гривень на посадових осіб та ФОП, а також штраф накладається без попереджень у випадку порушення законодавства про захист персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, штраф в такому випадку становить для громадян від 1700 до 8500 гривень, а для посадових осіб та ФОП - від 5100 до 17000 гривень.
Однак, в майбутньому, в рамках євроінтеграційних процесів, планується посилити покарання за порушення законодавства в сфері захисту персональних даних. Проектом Закону про захист персональних даних № 8153 від 25.10.2022 передбачаються штрафи в розмірі від 10000 до 500000 гривень для фізичних осіб та від 0,05% до 5% від загального річного обороту для юридичних осіб, в залежності.
Автор: Владислав Іванов