Бази персональних даних – «Ахіллесова п’ята» бізнесу

Доволі часто від працівників приватних підприємств можна почути про те, що не потрібно повідомляти Уповноваженого з прав людини про бази персональних даних, не потрібно брати згоди та надавати повідомлення про обробку останніх.

Накладені штрафи за невиконання вимог Закону «Про захист персональних даних» стають неприємною несподіванкою для власників та директорів бізнесу, а «радники», які чекали, «коли гром вдарить», як правило, залишаються осторонь. Проте, незнання Закону не позбавляє від відповідальності, і про це варто пам’ятати, адже попереджений – вже озброєний. Яким чином уникнути штрафів та відповідальності? З цим допоможе розібратися лише ретельний аналіз нормативно-правових актів.

Нормативно-правове регулювання

Захист персональних даних є частиною права на повагу до приватного життя, закріпленого статтею 8 Конвенції про захист прав людини і основоположних свобод (далі – Конвенція).

Механізм правового захисту персональних даних людини й громадянина міститься у ст. 3, 28, 30, 31, 32, 34, 35, 41, 54, 55, 64 Конституції України та нормативно-правових актах Європейського Союзу(далі – ЄС). Відсутність у тексті Конституції України спеціально визначеного права на захист персональних даних не є перешкодою для визнання цього права предметом конституційного захисту, оскільки такий захист передбачений комплексом положень конституційних норм розд. 2 Основного закону, норми якого є нормами прямої дії.

Право на забезпечення конфіденційності персональних даних складають Конституція України, Закони України «Про захист персональних даних», «Про інформацію», рішення Конституційного Суду України (далі – КСУ), кодифікаційні акти тощо.

Зокрема, відповідно до правової позиції КСУ у справі Устименка К.Г., «...забороняється не лише збирання, але й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини» (Рішення КСУ №5-зп від 30.10.1997 р. у справі щодо офіційного тлумачення ст. 3, 23, 31, 47, 48 Закону України «Про інформацію» та Рішення КСУ від 20.01.2012 р. за конституційним поданням Жашківської районної ради щодо тлумачення ст. 23 Конституції України). Цими ж рішеннями КСУ визначено, що до конфіденційної інформації про особу належать такі свідчення про особу як освіта, сімейний стан, релігійність, стан здоров’я, дата і місце народження, майновий стан, інші персональні дані.

Ст. 31 Конституції України гарантує особі захист від втручання в її особисте і сімейне життя, таємницю листування, телефонних розмов, телеграфної та іншої кореспонденції. Для іноземців та осіб без громадянства в Україні встановлено національний режим захисту цих прав.

Законом України від 6 липня 2010 року Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додатковий протокол до неї. Цим самим Україна взяла на себе зобов’язання забезпечити дотримання прав і свобод людини, зокрема, права на недоторканність приватного життя, передбаченого статтею 8 Конвенції про захист прав людини і основоположних свобод та гарантованого статтею 32 Конституції України.

Для запровадження реальних механізмів реалізації взятого на себе зобов’язання Верховною Радою України ухвалено Закон України № 2297-VI «Про захист персональних даних», який набув чинності 1 січня 2011 року і став основоположним актом національного законодавства у сфері захисту персональних даних.

Враховуючи досвід функціонування системи захисту персональних даних в Україні, 3 липня 2013 року Верховна Рада України прийняла Закон України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних», який набув чинності 1 січня 2014 року.