Фундаментальні принципи європейського законодавства щодо захисту персональних даних

27 Січня 2020

Європейські законодавці розпочали звертати увагу на необхідність виокремлення та закріплення окремого права людини на захист їхніх персональних даних ще в 50-х роках двадцятого століття. Протягом всього періоду, починаючи з дати набрання чинності Європейської Конвенції з прав людини і аж до теперішнього часу, принципи щодо захисту персональних даних трансформувалися. Вони еволюціонували та врешті-решт вдосконалилися до вигляду, в якому ми можемо їх ідентифікувати наразі.

Якими документами регламентуються основні принципи?

Основними документами, які визначають основні принципи та вимоги щодо захисту персональних даних в Європі є General Data Protection Regulation (GDPR) від 2016 року, Convention on the protection of individuals with regard the automated protection of personal data ( Convention 108) від 1981 року, доповнена протоколом від 2001 року. Окрім цього, фундаментальне право на захист персональних даних, визначене в Charter of Fundamental Rights of the European Union від 2000 року та European Convention on Human Rights від 1950 року.

Нижче будуть розглянуті принципи, які були виокремлені європейським законодавцем в General Data Protection Regulation.

Принцип законності, чесності та прозорості

В розумінні цього принципу, будь-яка обробка або використання персональних даних фізичних осіб повинно здійснюватися таким чином, щоб в суб’єкта персональних не виникало жодних сумнівів стосовно того, що його права не порушуються, а персональні дані оброблюються законно. Разом з тим, компанія або будь-яка інша особа, яка використовує персональні дані, повинна забезпечити, щоб:

  • персональні дані оброблювалися чи іншим чином використовувалися виключно на законних підставах;
  • суб’єкт персональних даних був забезпечений інформацією, яка максимально описує всі цілі, засоби, строки обробки персональних даних, а також будь-які інші нюанси, що стосуються персональних даних та можуть вимагатися законодавством, як Європейського союзу в цілому, так і законодавством кожної окремої країни – члена ЄС;
  • використання персональних даних здійснювалося в прозорому вигляді, без будь-яких додаткових умов, що можуть встановлюватися компанією, яка оброблює персональні дані,  про які суб’єкт персональних даних не може знати. Зокрема, не можуть встановлюватися додаткові цілі використання персональних даних, якщо про такі цілі не повідомлений власник персональних даних.

Принцип обмеження цілей обробки

Як і зазначалося вище, європейське законодавство вимагає від компаній встановлення чітких цілей обробки персональних даних і повідомлення про такі цілі суб’єктів персональних даних перед початком використання даних.

Це означає, що якщо компанія, наприклад, зібрала персональні дані про свого покупця з ціллю продажу йому певного товару, така компанія, відповідно, не може використати ці дані для надсилання маркетингових повідомлень покупцю з рекламою своїм послуг по прибиранню офісів. Якщо компанія все ж наважиться на здійснення такого, такі дії можуть класифікуватися як порушення компанією вимог законодавства про захист персональних даних, зокрема GDPR.

Принцип мінімізації даних  

Не може збиратися більше персональних даних, ніж це потрібно для реалізації цілей, встановлених компанією в момент збору таких даних. Сутність цього принципу логічна, адже навіщо збирати дані, які ти не використовуєш?

Компаніям, наприклад, не варто отримувати від суб’єкта даних дані про його зріст, вагу та національність, якщо мова йде виключно про продаж такій особі програмного забезпечення для забезпечення функціонування веб-сайту.  Зазвичай, виходячи з практики, контролюючі органи досить легко виявляють компанії, які займаються подібним маніпулюванням, адже проаналізувавши, в процесі аудиту, вміст баз персональних даних та співставивши їх з цілями обробки даних, є можливість визначити, чи працює компанія законно.

Принцип належності даних

Насправді цей принцип не варто трактувати від слова «належить», адже тут мова йде про те, що персональні дані повинні бути в належному стані, тобто бути повними, актуальними та коректними.

Зазвичай не достатньо зібрати персональні дані, помістити їх в базу даних та забути про них. Необхідно завжди підтримувати персональні дані в належному стані, зокрема шляхом надання можливості суб’єкту даних внести зміни самостійно, коли він цього вимагає, або ж шляхом внесення змін самою компанією, за відповідним розпорядження чи вимогою суб’єкта даних.

Тут мова може, наприклад, йти про випадки, коли суб’єкт персональних даних змінює адресу своєї прописки або коли він змінює прізвище, ім’я, номер телефону чи адресу електронної пошти. Інколи внесення таких змін може бути не обов’язковим для компанії, для того щоб надати послуги або продати товари, однак, право суб’єкта даних  на використання його персональних даних компанією в належній формі є одним з тих прав, що своєю суттю забезпечують дотримання фундаментального принципу належності даних.

Принцип обмеження збереження даних

Принцип полягає в тому, що жодна особа не має права зберігати персональні дані довше, ніж це потрібно для реалізації поставлених цілей використання персональних даних.

Цей принцип є доволі специфічним, адже компанія в праві самостійно підібрати цілі використання персональних даних, а отже і встановити відповідний строк зберігання таких даних. Як показує практика, що це доволі складно – визначитися одразу зі всіма цілями, які б цікавили компанію, та які б надали їй можливість зберігати дані максимально довго. Тому, до забезпечення діяльності компанії в рамках  цього принципу, варто підходити досить обережно та ретельно.

Винятком залишаються випадки, коли компанія може встановити нові (додаткові) цілі використання даних та повідомити суб’єкта даних про це, або ж коли додатковий термін збереження даних вимагається законодавством ЄС або окремої країни-члена ЄС, або коли це необхідно для захисту законних інтересів компанії, зокрема для захисту, виконання чи подачі позову.

Принцип забезпечення безпеки даних

Іншими словами – це принцип інтеграції та конфіденційності. Він полягає в тому, що апріорі всі персональні дані повинні використовуватися та оброблюватися з гарантуванням максимальної безпеки.

GDPR визначає основні заходи, які повинні вживатися компаніями для забезпечення безпеки персональних даних, в тому числі в процесі збору, використання та передачі персональних даних іншим особам.

Загалом, можемо зазначити, що майже третина статей General Data Protection Regulation покриває вимоги цього принципу, а тому недотримання цього принципу може бути вирішальним в питанні  забезпечення GDPR compliance компаніями.

Принци відповідності

Самим ключовим і самим модерновим слід вважати принцип відповідності, адже саме в контексті цього принципу, компанії, які збирають, використовують, передають, або іншим чином використовують персональні дані, повинні гарантувати факт того, що вони дотримуються вимог законодавства щодо захисту даних, а також вжили всіх належних організаційних та технічних заходів, щоб гарантувати максимальний рівень безпеки обробки даних.

Цей принцип передбачається в General Data Protection Regulation та є тим принципом, що робить сучасний підхід до захисту персональних даних революційним, адже жоден нормативний акт до цього не визначав такого принципу та не змушував компанії впроваджувати одні принципи за-для реалізації інших.

«Дотримуйтеся вимог GDPR, і ваша компанія буде працювати спокійно!»