Політика конфіденційності
Правова відмінність між персональними та неперсональними даними
Важливо зрозуміти, що підпадає під визначення даних, які можна поміщати у публічний простір на території ЄС.
Збір даних на території ЄС регулюється «Регламентом Європейського Парламенту та Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних – GDPR).
Стаття 4
Визначення:
(1) «персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.
Іншими словами: персональні дані – це будь-яка інформація про користувача, отримана з різних джерел: реєстрація в особистому кабінеті, форма зворотного дзвінка, форма підписки тощо. Це, наприклад, може бути: ім’я; дата народження; адреса; номер телефону; електронна пошта; профілі в соціальних мережах; переваги. Персональні дані – це будь-яка інформація, яка стосується ідентифікованої особи або такої особи, яку можливо ідентифікувати. Різна зібрана інформація може привести до ідентифікації конкретної особи, а також є персональними даними.
GDPR захищає персональні дані незалежно від технології, яка використовується для обробки цих даних – вона технологічно нейтральна і застосовується як до автоматизованої, так і до ручної обробки, за умови, що дані організовано відповідно до попередньо визначених критеріїв (наприклад, в алфавітному порядку). Також не має значення, як зберігаються дані – в ІТ-системі, через відеоспостереження чи на папері; у всіх випадках персональні дані підлягають вимогам захисту, викладеним у GDPR.
Приклади персональних даних
- ім’я та прізвище;
- домашню адресу;
- адресу електронної пошти, наприклад name.surname@company.com;
- номер ідентифікаційної картки;
- дані про місцезнаходження (наприклад, функція даних про місцезнаходження на мобільному телефоні)*;
- адреса Інтернет-протоколу (IP);
- ідентифікатор cookie*;
- рекламний ідентифікатор вашого телефону;
- дані, якими володіє лікарня або лікар, які можуть бути символом, що однозначно ідентифікує особу.
*Зверніть увагу, що в деяких випадках існує спеціальне галузеве законодавство, яке регулює, наприклад, використання даних про місцезнаходження або використання файлів cookie – Директива про ePrivacy (Директива 2002/58/ЄC Європейського Парламенту та Ради від 12 липня 2002 року ( OJ L 201, 31.7.2002 р., стор. 37) та Регламент (ЄС) № 2006/2004) Європейського парламенту та Ради від 27 жовтня 2004 р. (ОВ L 364, 9.12.2004 р., стор. 1).
Приклади даних, які не вважаються персональними даними
- реєстраційний номер компанії;
- електронна адреса, наприклад info@company.com;
- анонімні дані.
Питання, що стосуються права власності на дані та прав власників
Немає законодавства ЄС, яке б спеціально регулювало питання власності на дані. Натомість існує законодавство, яке впливає на дані або може надавати певний тип захисту певним типам даних, напр. авторське право, права на бази даних та комерційну таємницю.
Стаття 11
Опрацювання, що не вимагає ідентифікації
1. Якщо персональні дані, які опрацьовує контролер, не надають йому можливості ідентифікувати фізичну особу, контролер даних не повинен бути зобов’язаним отримувати додаткову інформацію для того, щоб ідентифікувати суб’єкта даних винятково для цілей дотримання будь-якого положення цього Регламенту.
2. Якщо, в ситуаціях, вказаних у параграфі 1 цієї статті, контролер здатний довести, що він не може ідентифікувати суб’єкта даних, контролер, відповідно, за можливості, повинен повідомити про це суб’єкта даних. У таких ситуаціях, статті 15-20 не застосовують, за винятком, якщо суб’єкт даних, з метою реалізації своїх прав за зазначеними статтями, надає додаткову інформацію, що уможливлюють його ідентифікацію.
Стаття 14
Інформація, яку необхідно надати у разі отримання персональних даних не від суб’єкта даних
1. Якщо персональні дані було отримано не від суб’єкта даних, контролер повинен надати суб’єкту даних інформацію, а саме про:
(a) особу та контактні дані контролера та, за необхідності, представника контролера;
(b) контактні дані співробітника з питань захисту даних, за необхідності;
(c) цілі опрацювання, для досягнення яких призначено персональні дані, а також законодавчу базу для опрацювання;
(d) категорії відповідних персональних даних;
(e) одержувачі чи категорії одержувачів персональних даних, за наявності;
(f) за необхідності, про те, що контролер прагне передати персональні дані до одержувача в третій країні чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідність, або, у випадку актів передавання, вказаних у статті 46 чи 47, або другому підпараграфі статті 49(1), – зазначення належних чи відповідних гарантій і засобів, за допомогою яких можна отримати копію таких даних, або джерела, звідки їх можна отримати у вільному доступі.
2. Крім інформації, зазначеної в параграфі 1, контролер повинен надати суб’єкту даних інформацію, необхідну для забезпечення правомірного та прозорого опрацювання, що стосується суб’єкта даних, а саме про:
(a) період зберігання персональних даних, або, якщо це неможливо, – критерії визначення такого періоду;
(b) якщо опрацювання здійснюють на підставі пункту (f) статті 6(1), законні інтереси контролера або третьої сторони;
(c) існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб’єкта даних і на заперечення опрацювання, а також права на мобільність даних;
(d) якщо опрацювання здійснюють на підставі пункту (a) статті 6(1) або пункту (a) статті 9(2), – існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що ґрунтувалося на згоді до її відкликання;
(e) право подавати скаргу до наглядового органу;
(f) те, з якого джерела походять персональні дані, та, за необхідності, про те, чи надійшли вони з джерел, доступних для громадськості;
(g) наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб’єкта даних.
3. Контролер повинен надати інформацію, вказану в параграфах 1 та 2:
(a) у розумний строк після отримання персональних даних, але щонайменше протягом одного місяця, враховуючи конкретні обставини, за яких опрацьовують персональні дані;
(b) якщо персональні дані необхідно використати для спілкування з суб’єктом даних, – принаймні в момент першого повідомлення такому суб’єкту даних; або,
(c) якщо передбачається розкриття іншому одержувачу, – принаймні під час першого розкриття персональних даних.
4. Якщо контролер прагне надалі опрацьовувати персональні дані для іншої цілі, ніж та, для якої персональні дані було отримано, контролер повинен надати суб’єкту даних до початку такого подальшого опрацювання інформацію про таку іншу ціль і будь-яку належну детальну інформацію, як вказано в параграфі 2.
5. Параграфи 1-4 не застосовують, якщо і оскільки:
(a) суб’єкт даних уже володіє інформацією;
(b) надання такої інформації стає неможливим чи викликало б несумісні наслідки, зокрема, для опрацювання задля досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілях, із урахуванням умов і гарантій, зазначених у статті 89(1) або доки обов’язок, вказаний у параграфі 1 цієї статті, ймовірно унеможливить або серйозно обмежить досягнення цілей такого опрацювання. У таких ситуаціях контролер повинен вжити необхідних заходів для захисту прав і свобод та законних інтересів суб’єкта даних, у тому числі, оприлюднення інформації;
(c) отримання чи розкриття прямо передбачено законодавством Союзу або держави-члена, яке поширюється на контролера та яким передбачено необхідні заходи для захисту законних інтересів суб’єкта даних; або
(d) якщо персональні дані необхідно залишати в таємниці відповідно до обов’язку збереження професійної таємниці, що регулюється законодавством Союзу або держави-члена, в тому числі, статутний обов’язок збереження таємниці.