2
9
54483
Тема персональных данных с каждым годом приобретает все большую популярность. Благодаря развитию науки, техники, и конечно же, в связи с потребностями рынка (ведь товары и услуги нужно как-то продвигать), благодаря развитию сети Интернет, появлению новых автоматизированных решений, позволяющих систематизировать огромные массивы наших с вами личных данных – сложно найти человека, персональные данные про которого, никогда не хранились и не обрабатывались третьими лицами.
Последствие такого развития, мы с вами ощущаем каждый день, начиная от контекстной рекламы – заканчивая неожиданными звонками от колл-центров.
Декларированная Всеобщей декларацией прав человека (1948), Конвенцией о защите прав человека и основных свобод (1950), да и многими другими актами -неприкосновенность частной жизни каждого человека, включает в себя право на защиту персональных данных каждого из нас, право контролировать информацию о себе, запрет на сбор, хранение, использование и распространения информации о частной жизни лица без его согласия.
Содержание:
Конституция Украины, в части 2 статьи 32 предписывает, что не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
Так где же рамки допустимого использования персональных данных, какие правила предписывает «статья» о разглашении персональных данных и есть ли ответственность за незаконное распространение личных данных – попробуем разобраться.
Пользуйтесь консультацией: Открытые данные: что это?
Вопросы возникают уже на этапе понимания объема и содержания персональных данных. Не смотря на наличие аж в двух законах Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее так же – «Закон №2297»), и «Об информации» от 02.10.1992 г. № 2657-XII (далее также – «Закон №2657») – дефиниции этого понятия, споры насчет наличия у некоторой информации статуса «персональных данных» все равно продолжают возникать.
Итак, персональные данные (согласно дефиниции из Закона №2297, как и Закона №2657) это – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Законодательство Украины не устанавливает исчерпывающего перечня персональных данных, и это логично – ведь сведения, которые идентифицируют лицо, или могут идентифицировать - настолько разнообразные, насколько может быть разнообразна сама частная жизнь каждого конкретного лица.
Например, согласно Закону №2657 (статья 11) – к конфиденциальной информации о физическом лице относятся, в частности, данные о его национальности, образовании, семейном положении, религиозных убеждениях, состоянии здоровья, а также адрес, дата и место рождения.
Пользуйтесь консультацией: Открытые данные: что это?
Определенную ясность внес Конституционный Суд Украины, в своем решении 20.01.2012 г. № 2-рп/2012 (с учетом пункта 1 резолютивной части Решения от 30.10.1997 г. № 5-зп), где он сделал заключение, что, информация о личной и семейной жизни лица (персональные данные о нем) - это любые сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, а именно:
Такая информация о физическом лице и членах его семьи является конфиденциальной и может быть распространена только с их согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
Исключением, согласно этому решению - являются данные по выполнению полномочий лицом, занимающим должность, связанную с осуществлением функций государства или органов местного самоуправления.
Таким образом, статус персональных данных имеют все данные, которые так или иначе идентифицируют, или могут идентифицировать конкретного человека. Объем этих данных зависит от ситуации и не содержит их исключительного перечня, но так или иначе конфиденциальность данных о национальности, образовании, семейном положении, религиозных убеждениях, состоянии здоровья, адресе, дате и месте рождения, материальном положении, а также, данных о личных имущественных и неимущественных отношениях, о событиях и явлениях, происходивших или происходящих в сферах жизни лица - гарантируется.
Закон № 2279, помимо прочего, еще различает персональные данные, представляющие особый риск для прав и свобод субъектов. Согласно Приказу Уполномоченного ВРУ по правам человека «Об утверждении документов в сфере защиты персональных данных» от 08.01.2014 г. № 1/02-14 - это:
Такие персональные данные собираются и обрабатываются по особым правилам. К примеру, владельцы осуществляющие сбор или другую обработку таких данных физических лиц, обязаны уведомлять на протяжении 30 дней Уполномоченного по правам человека про их сбор, обработку, изменение, прекращение обработки; иметь структурное подразделение или ответственное (за такую обработку) лицо; уведомлять о создании такого подразделения, о назначении соответствующего лица – все в установленном порядке. Порядок выполнения всех этих обязательств содержится в том же Приказе Уполномоченного ВРУ по правам человека от 08.01.2014 № 1/02-14. Информация о таких владельцах, публикуется на официальном сайте Уполномоченного по правам человека.
В сфере правоотношений между конкретным лицом, собирающим и обрабатывающем данные (так называемый «владелец персональных данных») и физлицами, чьи персональные данные обрабатываются (именуемое «субъектом персональных данных») есть свои правила*.
*Эти правила не распространяются на приватный сбор данных одного физлица про другого (для личных или бытовых целей), и, в некоторой мере, не касаются журналистики и творчества (при условии соблюдения баланса между приватностью частной жизни и свободой выражения взглядов).
В первую очередь, обработка (то есть сбор, хранение, использование, адаптация, изменение и любые другие действия с персональными данными) должна происходить открыто и прозрачно (то есть о такой должны знать физлица, чьи данные обрабатываются), и способами, которые отвечают целям такой обработки.
В свою очередь, цели обработки данных всегда должны быть четкими, обозначенными и понятными для субъекта персональных данных. Если данные обрабатываются владельцем персональных данных (то есть предприятием, учреждением, организацией, любой формы собственности, государственным органом или органом местного самоуправления, ФЛП, которые собирают, хранят и обрабатывают такие данные) – то такие цели должны быть обозначены в законах, других нормативно-правовых актах, положениях, учредительных или иных документах, регулирующих деятельность владельца персональных данных.
Более того, такие цели должны соответствовать, или разрешению физлица, данные которого обрабатываются, или предписанию законодательства.
Пользуйтесь консультацией: Видеонаблюдение, просмотр почты, сбор личных данных и прочий контроль работодателя - что законно, а что нет
Основания для совершения такой обработки четко и исключительно прописаны в статье 11 Закона №2279, и помимо:
А вот обработка тех персональных данных о физическом лице, которые являются конфиденциальной информацией, без его согласия – не допускается. Исключение составляют случаи определенные законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Этот же Закон, о распространении личной информации гласит, тоже самое.
Учитывая все это - владельцы, распорядители персональных данных, как и третьи лица - обязаны обеспечить защиту персональных данных от случайной потери или уничтожения, от незаконной обработки, в том числе незаконного уничтожения или доступа (разглашения).
При всем этом, владелец, который приступает к обработке (или обрабатывает) данных физлица, обязан предоставлять ему информацию о целях, объеме, источниках, месте сбора и хранения данных, механизме автоматической обработки таких, о своем адресе – и конечно, уведомить о правах субъекта персональных данных, согласно статье 8 Закона №2279.
Нарушая правила обработки персональных данных – владельцы, распорядители, как собственно и третьи лица, несут гражданско-правовую, административную и уголовную ответственность. Ответственные работники, должностные лица, также могут нести дисциплинарную ответственность.
Уголовная ответственность за распространение персональных данных
Определена в статье 182 Уголовного кодекса Украины.
Так, за незаконное собирание, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации – установлена ответственность в виде штрафа от 8500 до 17 000 гривен или исправительные работы на срок до 2 лет, или арест на срок до 6 месяцев, или ограничение свободы на срок до 3 лет.
Причем, стоит заметить, что такое преступление (определенное в части первой статьи) по своей конструкции является формальным, и считается завершенным независимо от наступления общественно опасных последствий, или же наличия вреда - в отличии от части второй статьи – согласно которой:
Если такое нарушение произошло повторно, или если такие действия причинили существенный вред охраняемым законом правам, свободам и интересам лица, - такие наказываются арестом на срок от 3 до 6 месяцев или ограничением свободы на срок от 3 до 5 лет, или лишением свободы на тот же срок.
Такой квалифицирующий признак, как существенный вред охраняемым законом правам, свободам и интересам лица – подразумевает вред, который заключается в причинении материального ущерба, и который в сто и более раз превышает необлагаемый минимум доходов граждан (то есть не меньше 113500 гривен, а с 1 июля, не меньше 118950 гривен).
Как видим, наказание, как и штраф за распространение персональных данных, достаточно суровое, чтобы законным образом выполнять предписания нормативно-правовых актов и легальные требования субъектов персональных данных.
Наказание за разглашение персональных данных предписывает статья 18839 Кодекса Украины про административные правонарушения, а именно части 4 и 5.
Согласно таким: несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных, - влечет наложение штрафа на граждан от 1700 до 8500 гривен, а на должностных лиц, граждан - субъектов предпринимательской деятельности - от 5100 до 17 000 гривен.
Повторное же (на протяжении года) совершение такого нарушения, за которое лицо уже подвергалось административному взысканию, - влечет наложение штрафа от 17 000 до 34 000 гривен.
Контроль за соблюдением законодательства о защите персональных данных совершают Уполномоченный Верховной Рады Украины по правам человека и суды.
Соответственно, если произошло незаконное распространение персональных данных, субъект персональных данных, или иное лицо – имеет право обратиться к Уполномоченному с обоснованным обращением (заявлением) про это.
Обращения подают в порядке предусмотренном Законом Украины «Про обращения граждан», на протяжении года после обнаружения нарушения прав и свобод. Этот срок может быть продолжен Уполномоченным до двух лет. Все обращения направляются в Секретариат Уполномоченного Верховной Рады по правам человека по адресу: 01008, г.Киев-08, ул. Институтская, 21/8, или Региональным представителям Уполномоченного.
Такие обоснованные обращения физических и юридических лиц о нарушениях законодательства о защите персональных данных, являются основанием, для проведения внеплановых проверок владельцев персональных данных (предприятия, учреждения, организации, любой формы собственности, государственного органа или органа местного самоуправления, ФЛП).
После рассмотрения обращений о фактах незаконного распространения личных данных, Уполномоченный по правам человека имеет право:
1. проводить проверки, по факту проведения которых составляются акты;
2. выдавать обязательные предписания о предотвращении или устранении нарушений законодательства о защите персональных данных (в том числе, обязывающие к изменению, удалению или уничтожению таких данных, обеспечению доступа к ним, предоставлению или запрета их предоставлению третьему лицу, к приостановлении или прекращении обработки персональных данных).
На основании этого предписания – нарушитель совершает требуемые действия (дается не менее чем 30 дней), и уведомляет Уполномоченного письменно о результатах.
3. составлять протокол об административном правонарушении по форме и в порядке, предусмотренном законодательством и «Порядком оформления материалов об административных правонарушениях» утвержденного Приказом Уполномоченного от 16.02.2015 р. № 3/02-15, а после составления дела направлять его на рассмотрение в районный, районный в городе (городской, горрайонный) суд по месту совершения административного правонарушения.
4. или же, при наличии признаков уголовного преступления, Уполномоченный направляет необходимые материалы в правоохранительные органы.
Также, субъектам персональных данных предоставлено право направлять обращения самим же владельцам персональных данных. Учитывая вышеизложенные санкции каждой статьи за разглашение персональных данных, обычно, на практике, владельцы охотно идут на встречу субъектам персональных данных, и исправляют допущенные нарушения. Поэтому, рекомендуется в первую очередь, обратиться прямо к нарушителю. Всегда есть вероятность ошибок или недочетов, а мирное решение возникшего вопроса выйдет экономичнее и быстрее.
В заключении, нужно заметить, что в Верховной Раде Украины зарегистрирован законопроект № 5628 от 07.06.2021 г., которым предлагается принять новый закон о персональных данных. Основными целями принятия являются улучшение и увеличение эффективности защиты персональных данных в Украине. На данный момент законопроект обрабатывается комитетами, впрочем, учитывая установленные там огромные штрафы (видимо предписанные с целью приблизить наше законодательство к европейскому Общему регламенту о защите данных (GDPR)), все эти нововведения должны быть проверены на предмет готовности нашего государства и бизнеса к таким рискам.
Если Вам нужна услуга профессионала, воспользуйтесь сервисом "Тендер на юридическую услугу" от юридического ресурса Протокол.
Автор консультации: Адвокат Трофименко Ирина
Источник: юридический ресурс Протокол
Просмотров
Коментарии
Просмотров
Коментарии
Получите быстрый ответ на юридический вопрос в нашем мессенджере , который поможет Вам сориентироваться в дальнейших действиях
Вы видите своего юриста и консультируетесь с ним через экран, чтобы получить услугу, Вам не нужно идти к юристу в офис
На выполнение юридической услуги и получите самое выгодное предложение
Поиск исполнителя для решения Вашей проблемы по фильтрам, показателям и рейтингу
Просмотров:
464
Коментарии:
1
Просмотров:
509
Коментарии:
1
Просмотров:
456
Коментарии:
0
Просмотров:
10280
Коментарии:
0
Просмотров:
732
Коментарии:
0
Просмотров:
1418
Коментарии:
3
Protocol.ua обладает авторскими правами на информацию, размещенную на веб - страницах данного ресурса, если не указано иное. Под информацией понимаются тексты, комментарии, статьи, фотоизображения, рисунки, ящик-шота, сканы, видео, аудио, другие материалы. При использовании материалов, размещенных на веб - страницах «Протокол» наличие гиперссылки открытого для индексации поисковыми системами на protocol.ua обязательна. Под использованием понимается копирования, адаптация, рерайтинг, модификация и тому подобное.
Полный текстCopyright © 2014-2024 «Протокол». Все права защищены.
page
youtube
Отправляю на почте кому-нибудь письмо. ФИО получателя, адрес, телефон. Это разглашение чужих персональных данных? Оператору почты, например?
Является нарушением ситуация, при которой председатель осбб, по просьбе соц.сотрудника получила доступ к персональным данным совладельца многоквартирного дома? А именно: соц.работнику было лень идти в центр административных услуг за получением справки о составе семьи своего подопечного. Соц.работник обратилась к председателю ОСББ и та выдала документ, который совладелец должен был подписать, давая согласие на обработку персональных данных. Таким образом председатель ОСББ получив доступ к персональным данным, выдала справку соц.работнику о составе семьи. Совладельцу же (очень пожилого возраста) соц.работник сказала, что без подписи документа(право на доступ) она не сможет получить справку о составе семьи. И как следствие, означает ли это, что теперь председатель ОСББ, на основании подписанного разрешения на доступ к персональным данным, будет иметь постоянную возможность к доступу персональных данных данного совладельца? Если да, куда обращаться чтобы закрыть доступ?
С какой целью отвправляете? Бытовой/предпринимательской? Вы представляете компанию (ФЛП, юрлицо, субъект властных полномочий) или отправляете от своего имени, как физлицо? Какие основания Ваших правоотношений с физлицом-получателем? В каждой конкретной ситуации нужно разбираться отдельно. Изучив все исходные, можно будет понять нарушение это или нет. А то вдруг, Вы письмом защищаете жизненно важные права человека;)
Татьяна, все зависит от того, что написано в тексте согласия, как это написано, что определено целями такого "разрешения на обработку ПД", есть ли в тексте право передавать третьим лицам - и много факторов. Если считаете, что данные собраны незаконно - для прекращени доступа необходимо обращатся к тому владельцу персональных данных, которому, согласно документу (разрешению) совладелец их предоставила. То есть тому, кто написан в тексте согласия. Закон не запрещает обращаться к любому юр.лицу/ФЛП/субъекту властных полномочий, если человек считает, что такое лицо обрабатывает его ПД незаконно. В обоих случаях нужно привести аргументы, почему такая обработка незаконна. Прекращение обработки ПД (если собранны законно) возможно в случаях предусмотренных п.2 ст.15 Закона о ПД (https://zakon.rada.gov.ua/laws/show/2297-17#Text).
Ирина Виталиевна, являются ли персональными данными задолженность по коммунальным платежам, задолженность перед обществами и объединениями граждан по членским взносам, целевым взносам, задолженность перед финансовыми организациями, которая публикуется в социальных сетях и других источниках?
Добрый день, один из интернет-провайдеров требует у меня в чате или по телефону сообщить ему мой пароль, чтобы идентифицировать меня в мой личный кабинет, в который по старому паролю я не могу зайти. Это значит, что они хранят пароли клиентов в открытом виде и, например, работник поддержки может видеть все пароли. На западе такая практика является нелегальной, так как какой-нибудь работник может от имени клиента совершить правонарушения в Интернете, смошенничать или же, если мой пароль совпадет еще в каком-то банке - то вообще украсть мои деньги... Считается ли в Украине такая практика правонарушением и что можно в этом случае сделать? Спасибо
Игорь Олександрович, опять же, в каждой конкретной ситуации разбираемся отдельно. Если речь идёт о задолженностях по коммунальным платежам, перед финучреждениями - значит между физлицом, и учреждением заключён договор - в большинстве известных мне случаях. Смотрим что есть в нем (какие цели и каким образом физлицо разрешило обрабатывать ПД). Если в договоре нет ничего про ПД - одним из оснований обработки есть п.3 ч.1 ст.11 Закона о ПД (укладення правочину). В таких не детализированных в договоре случаях, определяем цели обработки ПД. Публикация на сайте, если цель - исполнения договора (то есть «укладеного правочину»), то на мой (опять же - субъективный взгляд) - такая обработка вполне оправдана. При наличии более конкретизированных данных (а вдруг финучреждение ничего не предпринимает, кроме как таких публикаций, или могло отправить претензию - но не отправляет), стоит ещё анализировать, а действительно ли цели оправдывают средства - и глядеть судебную практику. Если речь идёт о целевых взносах/ членских взносах, нужно смотреть как правовое регулирование, так и учредительные документы данных организаций. Допустим некоторые ОСББ практиковали получение от собственников отдельных разрешений на обработку ПД, некоторые организации могут ссылаться на п.5 той же 11 статьи ЗУ про ПД - где основанием для обработки является «необходимость исполнения законных обязательств таким учреждением».
Добрый день, Сергей. К сожалению, на уровне общего регулирования по ПД у нас нет детализации по таким данным, как пароли физ.лиц. Есть лишь отсылка в п.3 ч.10 ЗУ о ПД - что якобы « Використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків, крім випадків, передбачених законом», и отсылка в ст.24 что владельцы должны обеспечивать защиту ПД от утечек и несанкционированного доступа. Естественно на уровне требований к работе некоторых учреждений (допустим, финок, банков, тех кто использует колоссальные массивы данных или же различные системы) - есть определенные требования. Допустим Постановление НБУ 2017 года № 95 - по информационной защите в банковской системе, требования платежных систем итд., итп. Если я не ошибаюсь там есть требования «шифровать пароли». Касательно интернет-провайдеров, хостингов и прочих аналогичных организаций - нужно смотреть требования насчет шифрования паролей в законодательстве про телекоммуникации. Насколько я знаю, такие данные согласно закону 80/94 должны обрабатываться с использованием комплексной системы защиты информации. Если смотреть с позиции защиты ПД - то нарушение провайдером требований систем защиты информации - может вполне считается нарушением прав субъектов ПД, так как обработка таких должна преследовать законные цели и обеспечивать безопасность таких данных.
https://e-data.com.ua/fop/list/%D0%90/ является ли нарушением закона о защите, распространении и обработке персональных данных подобные сайты? там полная копия реестров ФОП с телефонами и адресами фамилиями и емелам? на самом сайте написано что все данных общедоступные то есть он имеют право тоже их публиковать в открытом доступе? или все же запрещено им публиковать в соответствие с решением конституционного суда? ( Конституционный Суд Украины, в своем решении 20.01.2012 г. № 2-рп/2012 (с учетом пункта 1 резолютивной части Решения от 30.10.1997 г. № 5-зп))