Питання захисту персональних даних є доволі важливим у сучасному світі. Збільшення об’єму онлайн-сервісів, послуг, що надаються в інтернеті, використання хмарних сховищ для потреб бізнесу і т.п. збільшують й ризики витоку персональних даних та значно “розв’язують руки” шахраям. Відтак, надзвичайно важливо відповідально ставитись до кібер гігієни та не мінімізувати ризики втрати персональних даних.
Які персональні дані ви залишаєте в інтернеті
Персональними є дані, які дозволяють ідентифікувати особу самостійно або у сукупності з іншими даними. Значна кількість інтернет ресурсів збирає дані своїх користувачів, в тому числі ім’я, адресу, дату народження та інші. Обсяги та види інформації відрізняються в залежності від ресурсу, тож завжди слід індивідуально оцінювати яку саме інформацію ви передаєте та чи дійсно хочете це зробити.
В окремих випадках вас можуть попросити пройти процедуру Know your customer (KYC). Її мета – підтвердження особи користувача шляхом отримання підтверджуючих документів (напр., фото паспорта). Такі процедури притаманні сервісам, що пов’язані з фінансами – банки, брокери, біржі, страхові компанії, тощо. Такі дані є чи не найчутливішими, оскільки у разі їх витоку, користувачам загрожують серйозні наслідки. Тому рекомендуємо проходити KYC лише на перевірних сервісах з високим рівнем довіри.
Основні ризики при недбалому ставленні до своїх даних
Варто розуміти, що навіть при найвищому рівні обачності, бути захищеним на сто відсотків неможливо. Ми регулярно бачимо новини про масштабні інциденти кібербезпеки, пов’язані в тому числі із витоками даних, по всьому світу. Зловмисники у цій сфері зазвичай використовують чужі персональні дані для отримання фінансової вигоди – отримання фіктивних кредитів, використання даних для підробки документів, вчинення протизаконних дій від імені іншої особи і т.п. Таким чином зловмисники фактично “підставляють” особу, персональні дані якої були використані. Це створює ряд проблем постраждалій особі, що зазвичай передбачають тривале та складне вирішення.
Однак, хоч таких ризиків і неможливо уникнути повністю, їх можна мінімізувати. Для звичайних користувачів достатньо належної обачності – перевіряти ресурси перед розкриттям персональної інформації, не надавати персональну інформацію незнайомцям, тощо. Для отримувачів персональної інформації (компаній, підприємців) справи дещо складніші.
Як бізнесу захистити персональні дані клієнтів
Захист персональних даних – це цілий комплекс дій, які потрібно здійснити підприємству як до початку роботи, так і протягом всього часу роботи з клієнтами. Інакше кажучи, захист персональних даних передбачає системність та всеохопність.
Перше, що потрібно зробити – визначити які саме дані бізнес збирає від клієнтів, чи є вони персональними, резидентами яких держав можуть бути потенційні клієнти, з якою метою використовуються їх дані та чи будуть вони передаватись третім особам. Це своєрідний підготовчий етап, який допоможе визначити подальші кроки.
Наступним кроком, який потрібно здійснити якомога раніше (в ідеалі – до початку збору та обробки персональних даних) є розробка відповідної документації. Важливо – підприємство може отримувати персональні дані не лише від клієнтів а й внаслідок внутрішніх адміністративних процесів (напр., від працівників, підрядників, кандидатів на працевлаштування, тощо). Відтак рекомендуємо розробляти два види документації – зовнішню та внутрішню.
Найефективніше рішення для цього – делегувати розробку документації експертам Інферно Діджитал. Ми враховуємо усю специфіку вашого бізнесу, створюємо індивідуальні документи, що стосуються захисту персональних даних та даємо ефективні поради щодо роботи з персональними даними.
Під зовнішньою мається на увазі документація, яка використовується під час збору персональної інформації клієнтів. Якщо бізнес має власний сайт чи лендинг, з яких отримується така інформація, обов’язковими документами є:
- Політика конфіденційності;
- Політика використання файлів cookie (якщо їх використання передбачає збір чи обробку персональних даних);
- Згода на збір та обробку персональних даних користувача.
Ці документи встановлюють правила та чітке розуміння принципів роботи бізнесу з персональними даними користувачів.
Внутрішня документація орієнтована на регламентацію роботи з персональними даними для працівників, посадових осіб та підрядників підприємства. Це можуть бути документи у формі наказів, положень, тощо, якими встановлюються вимоги до інформаційної безпеки, заходи захисту персональної інформації, правила роботи з нею, особи, відповідальні за дотримання інформаційної безпеки, відповідальність за її порушення, тощо. Створення таких документів сприяє систематизації процесів збирання, обробки та зберігання персональних даних і мінімізує ризики інцидентів.
Також рекомендуємо підібрати належні технічні заходи захисту персональної інформації. Наприклад, використовувати для їх зберігання лише зашифровані хмарні сервіси або винаймати/встановлювати окремі сервери зберігання, встановлювати паролі захисту на місця зберігання чи термінали доступу до персональної інформації, тощо.
Безпосередньо під час роботи слід постійно аналізувати ефективність вибудуваної системи захисту, покращувати її, оновлювати та підтримувати в актуальному стані відповідну документацію. Ці дії матимуть профілактичний ефект на захист персональних даних. Раціональним рішенням для бізнесу, що є обов’язковим у багатьох країнах світу та набуває популярності в Україні, є призначення Data Protection Officer (DPI), тобто особи, що буде проводити постійний моніторинг стану захисту персональних даних, надавати консультації стосовно цього питання, взаємодіяти із органами державної влади та користувачами з питань захисту персональних даних.
Адвокатське об’єднання Інферно Діджитал пропонує рішення зовнішнього DPI – ми надаємо послуги особистого експерта з питань захисту персональних даних для бізнесу.
Що каже Закон України “Про захист персональних даних”
Відповідно до Закону України “Про захист персональних даних” (далі – Закон) бізнес повинен дотримуватись правил обробки персональних даних – мати чітко визначену мету, збирати дані співрозмірні для досягнення цієї мети та проводити їх обробку у відповідності до законодавства, інформувати користувача/клієнта про вказані умови та отримувати його згоду на збір та обробку персональних даних. Закон не зобов’язує бізнес розробляти згадану нами документацію, незважаючи на її критичність для організації захисту персональних даних.
Однак звертаємо увагу – якщо ви здійснюєте збір та обробку персональних даних громадян ЄС, для вас виникає обов’язок дотримання GDPR. Згідно цього законодавчого акт, розробка таких документів, як Політика конфіденційності, а також призначення DPI (за певних умов) є обов’язковими. Ми рекомендуємо із самого початку діяльності орієнтуватись на положення GDPR, оскільки:
- Українське законодавство в абсолютній більшості дублює ці положення;
- Недотримання GDPR призведе до відповідальності, а саме до штрафів, що можуть сягати кількох мільйонів євро.
Нагадаємо, що незважаючи на важливість захисту персональних даних, це питання ще не отримало достатньої уваги від величезного сегменту українського бізнесу. Рекомендуємо не легковажити із персональними даними та звернутись за консультацію до юристів Інферно Діджитал.
Show on map