Бази персональних даних – «Ахіллесова п’ята» бізнесу

Доволі часто від працівників приватних підприємств можна почути про те, що не потрібно повідомляти Уповноваженого з прав людини про бази персональних даних, не потрібно брати згоди та надавати повідомлення про обробку останніх.

Накладені штрафи за невиконання вимог Закону «Про захист персональних даних» стають неприємною несподіванкою для власників та директорів бізнесу, а «радники», які чекали, «коли гром вдарить», як правило, залишаються осторонь. Проте, незнання Закону не позбавляє від відповідальності, і про це варто пам’ятати, адже попереджений – вже озброєний. Яким чином уникнути штрафів та відповідальності? З цим допоможе розібратися лише ретельний аналіз нормативно-правових актів.

Нормативно-правове регулювання

Захист персональних даних є частиною права на повагу до приватного життя, закріпленого статтею 8 Конвенції про захист прав людини і основоположних свобод (далі – Конвенція).

Механізм правового захисту персональних даних людини й громадянина міститься у ст. 3, 28, 30, 31, 32, 34, 35, 41, 54, 55, 64 Конституції України та нормативно-правових актах Європейського Союзу(далі – ЄС). Відсутність у тексті Конституції України спеціально визначеного права на захист персональних даних не є перешкодою для визнання цього права предметом конституційного захисту, оскільки такий захист передбачений комплексом положень конституційних норм розд. 2 Основного закону, норми якого є нормами прямої дії.

Право на забезпечення конфіденційності персональних даних складають Конституція України, Закони України «Про захист персональних даних», «Про інформацію», рішення Конституційного Суду України (далі – КСУ), кодифікаційні акти тощо.

Зокрема, відповідно до правової позиції КСУ у справі Устименка К.Г., «...забороняється не лише збирання, але й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини» (Рішення КСУ №5-зп від 30.10.1997 р. у справі щодо офіційного тлумачення ст. 3, 23, 31, 47, 48 Закону України «Про інформацію» та Рішення КСУ від 20.01.2012 р. за конституційним поданням Жашківської районної ради щодо тлумачення ст. 23 Конституції України). Цими ж рішеннями КСУ визначено, що до конфіденційної інформації про особу належать такі свідчення про особу як освіта, сімейний стан, релігійність, стан здоров’я, дата і місце народження, майновий стан, інші персональні дані.

Ст. 31 Конституції України гарантує особі захист від втручання в її особисте і сімейне життя, таємницю листування, телефонних розмов, телеграфної та іншої кореспонденції. Для іноземців та осіб без громадянства в Україні встановлено національний режим захисту цих прав.

Законом України від 6 липня 2010 року Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додатковий протокол до неї. Цим самим Україна взяла на себе зобов’язання забезпечити дотримання прав і свобод людини, зокрема, права на недоторканність приватного життя, передбаченого статтею 8 Конвенції про захист прав людини і основоположних свобод та гарантованого статтею 32 Конституції України.

Для запровадження реальних механізмів реалізації взятого на себе зобов’язання Верховною Радою України ухвалено Закон України № 2297-VI «Про захист персональних даних», який набув чинності 1 січня 2011 року і став основоположним актом національного законодавства у сфері захисту персональних даних.

Враховуючи досвід функціонування системи захисту персональних даних в Україні, 3 липня 2013 року Верховна Рада України прийняла Закон України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних», який набув чинності 1 січня 2014 року.

Цим Законом з метою забезпечення незалежності уповноваженого органу з питань захисту персональних даних, як того вимагає Конвенція Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних, повноваження щодо контролю за додержанням законодавства про захист персональних даних покладено на Уповноваженого Верховної Ради України з прав людини (далі – Уповноважений).

Що ж це за «звір» такий?

Для того, щоб розібратися, що таке «персональні дані» та що з ними робити, необхідно орієнтуватися в основних термінах. Статтею 2 Закону України «Про захист персональних даних» (далі - Закон № 2297-VI) https://zakon.rada.gov.ua/laws/show/2297-17#Text визначено основні терміни вказаного Закону. Наведемо деякі з них:

- база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

- володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

- згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставляння відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставляння відмітки;

- картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;

- обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;

- одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

- персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

- розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

- суб’єкт персональних даних - фізична особа, персональні дані якої обробляються;

- третя особа - будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, уповноваженою на виконання функцій держави або місцевого самоврядування, посадових або службових повноважень.

Персональні дані, зазначені у декларації особи, уповноваженої на виконання функцій держави або місцевого самоврядування, оформленій за формою, визначеною відповідно до Закону України «Про запобігання корупції», не належать до інформації з обмеженим доступом, крім відомостей, визначених Законом України «Про запобігання корупції» (ч. ч. 2,3 ст. 5 Закону № 2297-VI).

Загальний регламент захисту даних (далі в тексті — GDPR/Регламент), прийнятий у травні 2018 року, визначає «персональні дані» як будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»), що відповідно поділяється на певні змістовні блоки:

1) «Будь-яка інформація». Персональними даними можуть вважатися будь-які відомості про людину, що відображають її фізичну, фізіологічну, генетичну, економічну, соціальну або культурну ідентичність. Вони діляться на дві категорії: загальні та особливі (чутливі).

Персональні дані можуть бути виражені у формі цифр, відео, звуку, голосу.

2) «Що стосується фізичної особи». Будь-яка інформація повинна мати прямий або непрямий зв’язок із конкретною фізичною особою. Наприклад, зображення людини може дати змогу прямо її ідентифікувати. Проте отримання про неї додаткової інформації через зареєстрований номерний знак автомобіля — це вже буде непряма ідентифікація.

Відповідно ж до положень Директив ЄС, персональні дані – це будь-яка інформація, пов’язана з ідентифікованою особою (суб’єктом даних), що зафіксована на будь-якому носії. До цієї категорії потрапляють: імена, поштові адреси, конфіденційна інформація, що зафіксована електронними та будь-якими іншими носіями. Введено поняття «контролери даних». Це фізичні особи або організації, які визначають мету і способи обробки персональних даних.

Під обробкою персональних даних Директива ЄС розуміє будь-які операції з персональними даними або їх сукупність, включаючи збір, запис, систематизацію, зберігання, зміну, передачу та розкриття.

Принципом, на основі якого повинні діяти контролери персональних даних, визнана об’єктивна та неупереджена обробка персональних даних, завдяки якій суб’єкт даних має отримати інформацію про те, хто саме є контролером даних, мету їх обробки та використання, а також надати згоду на використання персональних даних.

Що заборонено, те не дозволено

Стаття 7 Закону № 2297-VI диктує заборони та обмеження стосовно обробки персональних даних. В цьому випадку варто уважно вдуматися в ключові моменти чинного законодавства.

Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.

На сайті Верховної ради міститься Роз’яснення основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних з прав людини від 08 січня 2014 року (далі – Роз’яснення), відповідно до якого:

- світоглядні переконання особи - сукупність поглядів, оцінок та життєвих принципів особи, що визначають загальне розуміння та сприйняття світу та місце кожного у ньому. Мова у даному пункті йдеться саме про загальноприйнятої світоглядні переконання. Наприклад: пацифізм, фемінізм, вегетаріанство тощо;

- стан здоров'я особи - тобто медична інформація про особу, що містить не лише свідчення про стан здоров'я, а й про історію її хвороби, про запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку захворювання, в тому числі і про наявність ризику для життя і здоров'я (виняток становлять медичні довідки, листи працездатності і т. д., які обробляються володільцем при реалізації трудових відносин);

- статеве життя - будь-яка інформація про особу, що стосується її вибору та поведінки у статевих відносинах (включається інформація про сексуальну орієнтацію особи);

- біометричні дані - сукупність даних про особу, зібраних на основі фіксації її характеристик, що мають достатню стабільність та істотно відрізняються від аналогічних параметрів інших осіб (наприклад відцифрований підпис особи, відцифрований образ обличчя особи, відцифровані відбитки пальців рук, відцифрований малюнок сітківки ока тощо);

- генетичні дані - інформація, що стосується всіх даних стосовно спадкових властивостей особи або стосовно способу успадкування характеристик в межах відповідної групи людей, також це стосується всіх даних про утримання будь-якої генетичної інформації (генів), що відноситься до будь-яких аспектів здоров'я або захворювання;

- вчинення щодо особи тих чи інших видів насильства - інформація про те, що особа піддавалась різноманітним видам насилля, катувань, мордування, нелюдського чи такого, що принижує гідність поводження. Наприклад, інформація вказаного характеру з матеріалів кримінального провадження з матеріалів кримінального провадження;

- місце перебування та або шляхи пересування особи - це інформація, що дає можливість визначити місце перебування конкретної особи у певному часовому просторі. Наприклад: зняття готівкових коштів в банкоматах, використання платіжної чи будь-якої іншої іменної картки при розрахунках за товари та послуги, білінгові системи мобільних операторів, геолокаційні послуги мобільних операторів, використання іменних квитків. В дану категорію не потрапляє інформація про місце проживання, місце реєстрації, службові та інші відрядження та поїздки.

Положення частини першої статті 7 Закону № 2297-VI не застосовується, якщо обробка персональних даних:

1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;

3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;

4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;

5) необхідна для обґрунтування, задоволення або захисту правової вимоги;

6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг, функціонування електронної системи охорони здоров’я за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я чи фізичною особою - підприємцем, яка одержала ліцензію на провадження господарської діяльності з медичної практики, та її працівниками, на яких покладено обов’язки щодо забезпечення захисту персональних даних та на яких поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення, на яких покладено обов’язки щодо забезпечення захисту персональних даних;

6-1) необхідна в цілях забезпечення ведення військового обліку призовників, військовозобов’язаних та резервістів (в обсягах даних, зазначених у статті 7 Закону України «Про Єдиний державний реєстр призовників, військовозобов’язаних та резервістів»);

7) стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом;

8) стосується даних, які були явно оприлюднені суб'єктом персональних даних.

А тепер варто розібратися: що дозволено, а що – ні, за що настає відповідальність, а за що – не настає.

Відповідальність настає в тому випадку, якщо Ваше підприємство або Ви як ФОП не повідомили Уповноваженого з прав людини про обробку баз персональних даних, не повідомили відповідних осіб про обробку та мету обробки їх персональних даних та не отримали згоди на зазначене, при цьому:

1) маєте встановлені системи відеоспостереження, на які потрапляють працівники, клієнти й відвідувачі. Тобто, при застосуванні таких систем відбувається ні що інше, як відцифровування образу обличчя особи. А це є незаконною обробкою біометричних даних, як мінімум, у чотирьох базах: працівників, співшукачів (тих, хто приходить на співбесіду) відвідувачів та клієнтів. Звертаю увагу на те, що обробка таких даних (у випадку з підприємствами та ФОПами) не передбачена жодним профільним Законом, в тому числі – трудовим законодавством України та Кодексом законів про працю.

Вказані системи дозволяють не тільки спостерігати за подіями у певному місці, а й накопичувати та зберігати певний час відео зображення осіб, які потрапили у об’єктив камер.

ВІДЕОЗАПИС Є ЗАВЖДИ НОСІЄМ ПЕРСОНАЛЬНИХ ДАНИХ У ТОМУ ВИПАДКУ, ЯКЩО НА НЬОМУ ПРЯМО, АБО ОПОСЕРЕДКОВАНО МОЖНА ІДЕНТИФІКУВАТИ ОСОБУ.

Водночас, законодавство України гарантує людині дотримання права на невтручання в її особисте життя окрім випадків. Які чітко визначені в Законі. Стаття 32 Конституції України забороняє «збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди крім випадків, визначеним законом». Закон № 2297-VI зобов’язує володільців і розпорядників персональних даних забезпечити їх надійний захист від незаконного доступу, страти та знищення.

За даними сайту Уповноваженого з прав людини, в 2020 році Працівниками Секретаріату Уповноваженого ВРУ з прав людини проведено низку перевірок дотримання вимог законодавства про захист персональних даних під час здійснення відеоспостереження.

У результаті перевірок представниками Омбудсмана знайдено типові порушення законодавства про захист персональних даних, зокрема: документи, якими визначаються процедури обробки та захисту персональних даних відсутні або потребують доопрацювання; факти неповідомлення суб’єкта персональних даних про його права, тощо.

У відповідності до Резолюції №1604 Парламентської асамблеї Ради Європи (далі – ПАРЄ) кожен, хто живе, або проходить крізь зону відеоспостереження, має право знати про те, що на цій території відбувається відеоспостереження та за необхідності може мати доступ до всіх записів зі своїм зображенням. Країни-члени Ради Європи мусять захищати це право законом. Україна входить до ПАРЄ з 1995 року.

Відтак, відеоспостереження повинно здійснюватися відкрито, відповідно до законної мети, та не може використовуватися на шкоду правам та свободам людини. Оскільки, згідно з Конституцією, не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди. Крім випадків, визначених законом, і лише в інтересах захисту національної безпеки, економічного добробуту та прав людини;

2) проводячи співбесіду збираєте персональні дані осіб (які не є працівниками), і з якими відсутні трудові правовідносини. Тобто, незаконно збираєте, наприклад, цифрове фото особи, цифровий скан паспорту і РНОКПП, данні про освіту, тощо;

3) оприлюднюєте у чатах Viber, фесбук та інших групах соціальних мереж підприємства: особисті заяви (звернення до підприємства), рахунки, тощо, в яких зазначено: адресу місця знаходження осіб, номеру мобільного телефону, освіту, адресу електронної пошти та інших даних, внаслідок чого до персональних даних цієї особи відбувається доступ невизначеного кола осіб, є прямим порушенням права такої особи на захист персональних даних від незаконної обробки. Судова практика з цього питання по справам №761/23532/20, №361/1579/20, яка безапеляційно підтримує сторону скаржника зазначена нижче.

Норми ж GDPR можуть бути застосовані не тільки до суб’єктів, що перебувають на території ЄС, як це було раніше, відповідно до вимог Директиви 95/46/ЄС, але й до тих суб’єктів, що перебувають в інших країнах світу (стаття 3 Регламенту). На території ЄС автоматично кожен має право на захист своїх даних по GDPR незалежно від громадянства.

Якщо підприємство (володілець даних):

- зареєстрована на території ЄС і в межах своєї діяльності здійснює обробку персональних даних;

- зареєстрована в Україні, але товари/послуги пропонує громадянам, що мешкають у ЄС;

- в організації працюють громадяни ЄС;

- організація проводить маркетингові та інші дослідження стосовно громадян із ЄС.

Якщо хоча б один із перелічених критеріїв підходить до діяльності, тоді володілець даних у межах міжнародного права зобов’язаний діяти відповідно до норм Регламенту.

Перелік зазначених випадків не є вичерпним.

Контроль. Відповідальність. Ціна питання і судова практика

Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, покладається на Уповноваженого з Законом України від 03 липня 2013 року N 383-VII «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» (далі - Закон N 383-VII).

Статтєю 28 Закону № 2297-VI занормовано, що Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.

Такі норми знаходимо у ст. 188-39 Кодексу про адміністративні правопорушення (далі – КУпАП) Порушення законодавства у сфері захисту персональних даних, а саме: Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей -

тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних -

тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, -

тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від п’ятисот до двох тисяч неоподатковуваних мінімумів доходів громадян.

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, - тягне за собою накладення штрафу на громадян від ста до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення, передбаченого частиною четвертою цієї статті, за яке особу вже було піддано адміністративному стягненню, - тягне за собою накладення штрафу від однієї тисячі до двох тисяч неоподатковуваних мінімумів доходів громадян. Сьогодні це: 17х2000=34000 гривень.

В судовому порядку притягнення володільця або розпорядника персональних даних до адміністративної відповідальності можливе за ст. 188-39 Кодексу України про адміністративні правопорушення (далі — КУпАП). Як приклад: 300 неоподаткованих мінімумів доходів громадян: 17х300=5100 за кожного.

До того ж, за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації (крім випадків, передбачених іншими статтями Кримінального кодексу України) особу може бути притягнуто до кримінальної відповідальності за ст. 182 Кримінального кодексу України: караються штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян (17 грн. х 500 = 8500; 17 грн.х1000=17000) або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

Застосування адміністративної відповідальності не перешкоджає застосуванню кримінальної відповідальності

Яскравим прикладом застосування відповідальності за порушення Закону № 2297-VI може слугувати судова практика, з якою можна ознайомитись в Реєстрі судових рішень. Ось, наприклад: притягнення осіб до відповідальності у сфері захисту персональних даних - постанова Броварського міськрайонного суду Київської області від 09 квітня 2020 року у справі №361/1579/20, яка залишена в силі постановою Київського апеляційного суду від 18 серпня 2020 року, а ухвалою Верховного Суду у складі колегії суддів Касаційного адміністративного суду від 28 вересня 2020 року відмовлено у відкритті касаційного провадження.

07 грудня 2019 року голова правління, діючи всупереч вимогам законодавства про захист персональних даних, за адресою місцезнаходження юридичної особи не забезпечила належний рівень захисту персональних даних особи й поширила її персональні дані у чаті месенджера Viber, розмістивши копію звернення заявниці (особи) від 24.12.2019 р. до юридичної особи, в якому, крім прізвища, імені та по батькові заявниці, оприлюднено адресу її місця реєстрації, номер мобільного телефону, адресу електронної пошти, внаслідок чого до персональних даних цієї особи відбувся доступ невизначеного кола осіб, в результаті чого було порушено право заявниці на захист персональних даних від незаконної обробки. Отже, голова правління порушила вимоги ч. 3 ст. 10 та ч. 1 ст. 24 Закону та вчинила адміністративне правопорушення, передбачене ч. 4 ст. 188-39 КУпАП.

За результатами розгляду справи суд постановив: голову правління визнати винною у вчиненні правопорушення, передбаченого ч. 4 ст. 188-39 КУпАП, і накласти на неї адміністративне стягнення у вигляді штрафу в розмірі 300 неоподатковуваних мінімумів доходів громадян, що становить 5 100 грн.

Так само, в аналогічній справі №761/23532/20 Шевченківського районного суду міста Києва від 15 вересня 2020 року особу визнано винною у вчиненні адміністративного правопорушення, передбаченого ч. 4 ст. 188-39 КУпАП. Цю постанову залишено без змін постановою Київського апеляційного суду від 18 грудня 2020 року.

В практиці ЄСПЛ теж існує низка відповідних рішень. Наприклад, рішення про порушення роботодавцем права на захист персональних даних «Суріков проти України», 2017 року.

Роботодавець заявника довільно збирав, зберігав та використовував дані стосовно його психічного здоров’я у зв’язку із заявою останнього про підвищення, а також відкрив ці дані колегам заявника та суду в ході відкритого розгляду справи.

Законодавство дозволяло зберігання даних стосовно здоров’я заявника протягом тривалого часу та дозволяло її оприлюднення та використання для цілей, які не відповідали початковій меті їх збору. ЄСПЛ вказав, що це непропорційне втручання в право заявника, що не було необхідним у демократичному суспільстві, тому є порушення.

Вимушена необхідність

Всім відоме прислів’я «береженого Бог береже» дуже влучно і вичерпно. Відсутність санкцій контролюючих органів є однією з запорук успішного бізнесу.

Починаючи з 01 січня 2014 року процедури реєстрації баз персональних даних відповідно до вимог чинної редакції Закону № 2297-VI немає. При цьому вимога щодо повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, поширюється на всіх володільців, які здійснюють таку обробку персональних даних, незалежно від того, була ними зареєстрована в попередній період відповідна база персональних даних чи ні.

При цьому обробка персональних даних повинна здійснюватись з дотриманням вимог чинного законодавства у сфері захисту персональних даних.

З 01 січня 2014 року відповідно до вимог чинної редакції Закону процедура реєстрації баз персональних даних замінена обов'язком володільців персональних даних повідомляти Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних. У зв'язку з цим володільцям персональних даних необхідно провести аналіз процесів обробки цих даних на предмет їх віднесення до таких, що становлять особливий ризик для прав і свобод суб'єктів персональних даних, та за його результатом прийняти відповідне рішення про повідомлення Уповноваженого і, в разі необхідності, подати відповідну заяву за формою, встановленою у додатку 1 до Порядку повідомлення.

Виключення поняття «згода на обробку персональних даних» із Закону № 2297-VI не позбавляє шансу застосовувати інші механізми щодо забезпечення його виконання. Так, відповідно до пунктів 4 та 6 частини першої статті 23 Закону № 2297-VI Уповноважений у сфері захисту персональних даних затверджує нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом, та надає рекомендації щодо практичного застосування законодавства про захист персональних даних, роз'яснює права і обов'язки відповідних осіб за зверненням суб'єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб.

Разом з тим, у Роз'ясненнях до Типового порядку обробки персональних даних надано визначення поняття «згода на обробку персональних даних» та розтлумачено порядок її надання (отримання).

Так, згода суб'єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій чи електронній Формі.

Отже, володільцям та розпорядникам персональних даних отримувати згоду на обробку таких даних вимушені, зокрема, у тих випадках, коли існує потреба для обробки цих даних, а інші передбачені статтею 11 Закону підстави для обробки таких даних не поширюються на цей випадок обробки даних.

Відтак, працюючи з будь-якою інформацією завжди треба враховувати її категорію. Якщо здійснюється обробка особливої категорії даних (у відповідності до Закону № 2297-VI), про це необхідно повідомити Уповноваженого з прав людини за відповідною формою, розробити згоди та повідомлення, всю необхідну документацію та діяти виключно в рамках Закону № 2297-VI. Це може зробити як відповідальна особа на підприємстві, так і будь-який юрист, який компетентний в даному питанні.

Автор статті: Стрельнікова Людмила Вікторівна