Сьогодні збір персональних даних став повсякденним явищем. Його можна побачити в Google-формах, соціальних опитуваннях та дослідженнях. Але що таке персональні дані і як збирати їх законно? Чи потрібно українським ГО дотримуватися суворих норм їх захисту, які існують в Європі? На ці питання нам відповіла Інга Дробінова — практикуюча адвокатка ГО «Адвокація міста» та менторка Лабораторії стійкості. Цей матеріал створений на основі майстерні Інги Дробінової в межах Лабораторії стійкості.
Поняття «персональні дані» часто викликає плутанину. З одного боку, існує надмірна настороженість і страх перед витоками інформації, з іншого — занадто легковажне ставлення до її захисту. Оптимальний підхід полягає у зваженому розумінні того, що саме належить до персональних даних і як з ними працювати.
Що таке персональні дані?
До персональних даних належить будь-яка інформація, за якою можна ідентифікувати конкретну особу, або її діяльність. Це можуть бути паспортні дані, ідентифікаційний код, дата народження, місце проживання, номер телефону тощо. Проте на практиці є нюанси: наприклад, одні й ті самі дані в різних контекстах можуть мати різний статус. Якщо ви працюєте з людиною за офіційним контрактом — використання її даних може бути правомірним; у випадку інших форм співпраці — потрібна додаткова згода або інші підстави для обробки даних.
Також важливо враховувати контекст збору інформації. Наприклад, в Україні не вимагається паспорт при купівлі SIM-карти, тому номер телефону не завжди напряму прив’язаний до конкретної особи. Водночас, у більшості випадків дані, які дозволяють визначити людину — прямо або опосередковано, — вважаються персональними.
Громадські організації найчастіше працюють з персональними даними під час проведення різноманітних опитувань. Під час проведення опитувань, досліджень чи збору інформації необхідно перевіряти, чи можуть зібрані дані ідентифікувати особу. У переважній більшості випадків (приблизно 99%) такі дані підпадають під визначення персональних, і це слід враховувати при їх обробці та зберіганні.
Згода на надання і обробку персональних даних
Громадські організації, що діють в Україні, повинні дотримуватися українського законодавства щодо персональних даних. Наведемо декілька основних положень, яких варто дотримуватися українським ГО. Особа або організація, яка збирає персональні дані, повинна розуміти мету їх збору та повідомляти про неї осіб, чиї дані збираються.
Найпростіший спосіб отримати таку згоду — це позначка в анкеті або Google-формі, яка підтверджує, що людина ознайомлена з метою збору даних і добровільно надає згоду на їх обробку. Це не формальність, а важливий елемент дотримання законодавства та захисту прав осіб.
При цьому варто враховувати, що згода потрібна лише тоді, коли запитувані дані дозволяють ідентифікувати конкретну особу. Якщо анкета містить лише загальні питання (наприклад, «Як ви ставитеся до корупції в Україні?») або такі параметри, як вік чи професія, які не дають змоги визначити особу, окрема згода не потрібна.
Серед поширених міфів — вимога обов’язкової письмової заяви про згоду. Це не є необхідним: достатньо електронної (цифрової) форми згоди, яка має ту саму юридичну силу. Головне — щоб було чітко зафіксовано факт надання згоди на обробку даних у зрозумілій і доступній формі.
Які дані і з якою метою ГО можуть збирати
Існують обмеження щодо збору певних типів інформації. Зокрема, не дозволяється збирати дані, що стосуються релігійних переконань, сексуальної орієнтації, стану здоров’я чи інших чутливих тем — за винятком випадків, коли діяльність організації безпосередньо пов’язана з цими темами. Наприклад, якщо ГО працює з ЛГБТ-спільнотою чи людьми, що мають хронічні захворювання, то вона має право збирати дані про орієнтацію чи стан здоров’я осіб. При цьому збір таких даних є допустимим, якщо це відповідає статутним цілям організації та особи надають інформовану згоду.
Важливим етапом після збору персональних даних є визначення, як саме ці дані будуть використовуватися. Наприклад, громадська організація проводить літній табір для дітей, постраждалих від війни. Для цього потрібно співпрацювати з іншим фондом, що працює з такою ж категорією населення. Тоді може виникнути потреба передати цим партнерам зібрані дані. Однак передача персональної інформації без згоди осіб, яких вона стосується (у цьому випадку дітей або їхніх законних представників), є порушенням законодавства.
Проблеми можуть також виникнути, якщо під час первинного збору даних не було чітко зазначено, з якою саме метою вони будуть використовуватися. Якщо дані спочатку збиралися для однієї мети, і особа надавала згоду на використання даних саме з цією метою, а потім використовуються для іншої, це також вважається порушенням. Щоб уникнути таких ситуацій, у формулюванні мети збору даних варто зазначати, що вони збираються для всіх напрямків статутної діяльності організації. Це дозволить у межах законодавства використовувати їх у різних проєктах, що відповідають цілям організації.
Яка ситуація з захистом персональних даних в Україні?
В Україні питання захисту персональних даних досі залишається недостатньо врегульованим і часто сприймається як щось другорядне. Навіть на рівні державних органів нерідко допускаються помилки, переважно через поспіх або відсутність системного підходу. Саме тому громадським організаціям варто заздалегідь подбати про розробку внутрішніх політик із захисту персональних даних. Хоча зараз законодавство не вимагає цього обов’язково, у майбутньому такі політики, можливо, стануть стандартною вимогою.
Сьогодні в Україні відповідальність за порушення вимог щодо персональних даних застосовується рідко, однак європейські стандарти, зокрема GDPR, встановлюють значно суворіші правила. Українське законодавство наразі простіше, проте його дотримання є обов’язковим. Організаціям доцільно визначити, які саме дані вони вважають персональними, а також ухвалити внутрішні документи, що регулюють порядок їх збору, зберігання та використання.
Захист даних в Україні та європейські стандарти
Варто пам’ятати, що на українському ринку існує практика незаконної торгівлі персональними даними, однак це не є прийнятним, особливо для організацій, які співпрацюють із міжнародними партнерами. Іноземні донори та партнери звертають увагу на дотримання стандартів конфіденційності, тому наявність політики захисту даних може стати показником зрілості та надійності вашої організації. Однак вони далеко не завжди вимагатимуть від вас створення політики з захисту персональних даних.
Якщо ваша діяльність передбачає регулярну роботу з персональними даними, варто розробити окрему політику захисту. Якщо ж дані збираються епізодично, достатньо дотримуватися базового принципу: якщо за наданою інформацією можна ідентифікувати особу, необхідно діяти обережно та отримувати згоду на обробку таких даних.
Щодо застосування Загального регламенту ЄС про захист даних (GDPR), то більшість українських громадських організацій не підпадають під його дію. Для цього необхідна системна діяльність на європейському ринку або регулярний збір персональних даних громадян ЄС для конкретних цілей. Наявність англомовного сайту чи поодиноке заповнення анкети користувачем з Європи не створює юридичних ризиків. Таким чином, основну увагу варто приділяти дотриманню українського законодавства, яке є більш гнучким і простим у застосуванні.
Як законно передати зібрані персональні дані своїм партнерам
Після збору персональних даних важливо використовувати їх виключно для тих цілей, для яких вони були отримані. Якщо виникає потреба передати ці дані іншим організаціям або партнерам,Це можна реалізувати у спосіб — наприклад, через укладення двостороннього меморандуму про співпрацю, де чітко прописати мету партнерства та зазначити, що передбачається залучення клієнтів із вашої контактної бази. Таку передачу даних можна розглядати як внесок у спільний проєкт.
Для забезпечення законності таких дій важливо, щоб під час збору та використання даних особа надала згоду на їх використання не лише у межах поточного проєкту, а й у партнерських ініціативах, які відповідають статутній діяльності організації. Це дозволить легально обмінюватися інформацією, наприклад, якщо дані внутрішньо переміщених осіб потрібні іншій організації для надання цільової допомоги.
Отже, дотримання вимог законодавства у сфері захисту персональних даних є не лише юридичним обов’язком, а й показником зрілості та відповідальності громадської організації. Збір даних має бути обгрунтованим, прозорим і цілеспрямованим, із обов’язковим інформуванням осіб про мету їх використання. Використання отриманої інформації виключно в межах визначених цілей, отримання згоди на її передачу партнерам, а також впровадження внутрішніх політик захисту даних допоможуть організації працювати законно, етично та зміцнити довіру як бенефіціарів, так і міжнародних партнерів.
