Персональные данные и ответственность за нарушение их сохранности

Приєднуйтесь до нас в соціальних мережах: telegram viber youtube
Персональные данные и ответственность за нарушение их сохранности - 85fbe199a8e6ead1e7e072ecb38fb665_60c88500d0dbd.jpg

Тема персональных данных с каждым годом приобретает все большую популярность. Благодаря развитию науки, техники, и конечно же, в связи с потребностями рынка (ведь товары и услуги нужно как-то продвигать), благодаря развитию сети Интернет, появлению новых автоматизированных решений, позволяющих систематизировать огромные массивы наших с вами личных данных – сложно найти человека, персональные данные про которого, никогда не хранились и не обрабатывались третьими лицами.

Последствие такого развития, мы с вами ощущаем каждый день, начиная от контекстной рекламы – заканчивая неожиданными звонками от колл-центров.

Декларированная Всеобщей декларацией прав человека (1948), Конвенцией о защите прав человека и основных свобод (1950), да и многими другими актами -неприкосновенность частной жизни каждого человека, включает в себя право на защиту персональных данных каждого из нас, право контролировать информацию о себе, запрет на сбор, хранение, использование и распространения информации о частной жизни лица без его согласия.

Содержание:

Конституция Украины, в части 2 статьи 32 предписывает, что не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

Так где же рамки допустимого использования персональных данных, какие правила предписывает «статья» о разглашении персональных данных и есть ли ответственность за незаконное распространение личных данных – попробуем разобраться.

Пользуйтесь консультацией: Открытые данные: что это?

Что такое персональные данные?

Вопросы возникают уже на этапе понимания объема и содержания персональных данных. Не смотря на наличие аж в двух законах Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее так же – «Закон №2297»), и «Об информации» от 02.10.1992 г. № 2657-XII (далее также – «Закон №2657») – дефиниции этого понятия, споры насчет наличия у некоторой информации статуса «персональных данных» все равно продолжают возникать.

Итак, персональные данные (согласно дефиниции из Закона №2297, как и Закона №2657) это – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Законодательство Украины не устанавливает исчерпывающего перечня персональных данных, и это логично – ведь сведения, которые идентифицируют лицо, или могут идентифицировать - настолько разнообразные, насколько может быть разнообразна сама частная жизнь каждого конкретного лица.

Например, согласно Закону №2657 (статья 11) – к конфиденциальной информации о физическом лице относятся, в частности, данные о его национальности, образовании, семейном положении, религиозных убеждениях, состоянии здоровья, а также адрес, дата и место рождения.

Пользуйтесь консультацией: Открытые данные: что это?

Определенную ясность внес Конституционный Суд Украины, в своем решении 20.01.2012 г. № 2-рп/2012 (с учетом пункта 1 резолютивной части Решения от 30.10.1997 г. № 5-зп), где он сделал заключение, что, информация о личной и семейной жизни лица (персональные данные о нем) - это любые сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, а именно:

  • национальность;
  • образование;
  • семейное положение;
  • религиозные убеждения;
  • состояние здоровья;
  • материальное положение;
  • адрес;
  • дата и место рождения;
  • место жительства, пребывания;
  • данные о личных имущественных и неимущественных отношениях этого лица с другими лицами, в том числе членами семьи;
  • сведения о событиях и явлениях, происходивших или происходящих в бытовых, интимных, товарищеских, профессиональных, деловых и других сферах жизни лица.

Такая информация о физическом лице и членах его семьи является конфиденциальной и может быть распространена только с их согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

Исключением, согласно этому решению - являются данные по выполнению полномочий лицом, занимающим должность, связанную с осуществлением функций государства или органов местного самоуправления.

Таким образом, статус персональных данных имеют все данные, которые так или иначе идентифицируют, или могут идентифицировать конкретного человека. Объем этих данных зависит от ситуации и не содержит их исключительного перечня, но так или иначе конфиденциальность данных о национальности, образовании, семейном положении, религиозных убеждениях, состоянии здоровья, адресе, дате и месте рождения, материальном положении, а также, данных о личных имущественных и неимущественных отношениях, о событиях и явлениях, происходивших или происходящих в сферах жизни лица - гарантируется.

Персональные данные специфической категории

Закон № 2279, помимо прочего, еще различает персональные данные, представляющие особый риск для прав и свобод субъектов. Согласно Приказу Уполномоченного ВРУ по правам человека «Об утверждении документов в сфере защиты персональных данных» от 08.01.2014 г. № 1/02-14 - это:

  • расовое, этническое и национальное происхождение;
  • политические, религиозные или мировоззренческие убеждения;
  • членство в политических партиях и/или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;
  • состояние здоровья;
  • половая жизнь;
  • биометрические данные;
  • генетические данные;
  • привлечение к административной или уголовной ответственности;
  • применение в отношении лица меры в рамках досудебного расследования;
  • принятие мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;
  • совершение в отношении лица тех или иных видов насилия;
  • местонахождение и / или пути передвижения.

Такие персональные данные собираются и обрабатываются по особым правилам. К примеру, владельцы осуществляющие сбор или другую обработку таких данных физических лиц, обязаны уведомлять на протяжении 30 дней Уполномоченного по правам человека про их сбор, обработку, изменение, прекращение обработки; иметь структурное подразделение или ответственное (за такую обработку) лицо; уведомлять о создании такого подразделения, о назначении соответствующего лица – все в установленном порядке. Порядок выполнения всех этих обязательств содержится в том же Приказе Уполномоченного ВРУ по правам человека от 08.01.2014 № 1/02-14. Информация о таких владельцах, публикуется на официальном сайте Уполномоченного по правам человека.

Основные правила обработки персональных данных

В сфере правоотношений между конкретным лицом, собирающим и обрабатывающем данные (так называемый «владелец персональных данных») и физлицами, чьи персональные данные обрабатываются (именуемое «субъектом персональных данных») есть свои правила*.

*Эти правила не распространяются на приватный сбор данных одного физлица про другого (для личных или бытовых целей), и, в некоторой мере, не касаются журналистики и творчества (при условии соблюдения баланса между приватностью частной жизни и свободой выражения взглядов).

В первую очередь, обработка (то есть сбор, хранение, использование, адаптация, изменение и любые другие действия с персональными данными) должна происходить открыто и прозрачно (то есть о такой должны знать физлица, чьи данные обрабатываются), и способами, которые отвечают целям такой обработки.

В свою очередь, цели обработки данных всегда должны быть четкими, обозначенными и понятными для субъекта персональных данных. Если данные обрабатываются владельцем персональных данных (то есть предприятием, учреждением, организацией, любой формы собственности, государственным органом или органом местного самоуправления, ФЛП, которые собирают, хранят и обрабатывают такие данные) – то такие цели должны быть обозначены в законах, других нормативно-правовых актах, положениях, учредительных или иных документах, регулирующих деятельность владельца персональных данных.

Более того, такие цели должны соответствовать, или разрешению физлица, данные которого обрабатываются, или предписанию законодательства.

Пользуйтесь консультацией: Видеонаблюдение, просмотр почты, сбор личных данных и прочий контроль работодателя - что законно, а что нет

Основания для совершения такой обработки четко и исключительно прописаны в статье 11 Закона №2279, и помимо:

  • согласия (разрешения) физлица, там еще:
  • заключение и исполнение сделки, для субъекта персональных данных, или предшествующие ей мероприятия (которые требуются таким субъектом);
  • защита жизненно важных интересов субъекта персональных данных;
  • необходимость исполнения законом предусмотренных обязанностей владельца персональных данных;
  • необходимость защиты законных интересов владельца персональных данных или распорядителя, кроме случаев, когда необходимость защиты прав на персональные данные физлица преобладает над такими интересами владельцев или распорядителей.

А вот обработка тех персональных данных о физическом лице, которые являются конфиденциальной информацией, без его согласия – не допускается. Исключение составляют случаи определенные законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Этот же Закон, о распространении личной информации гласит, тоже самое.

Учитывая все это - владельцы, распорядители персональных данных, как и третьи лица - обязаны обеспечить защиту персональных данных от случайной потери или уничтожения, от незаконной обработки, в том числе незаконного уничтожения или доступа (разглашения).

При всем этом, владелец, который приступает к обработке (или обрабатывает) данных физлица, обязан предоставлять ему информацию о целях, объеме, источниках, месте сбора и хранения данных, механизме автоматической обработки таких, о своем адресе – и конечно, уведомить о правах субъекта персональных данных, согласно статье 8 Закона №2279.

Ответственность за нарушение сохранности персональных данных

Нарушая правила обработки персональных данных – владельцы, распорядители, как собственно и третьи лица, несут гражданско-правовую, административную и уголовную ответственность. Ответственные работники, должностные лица, также могут нести дисциплинарную ответственность.

Уголовная ответственность за распространение персональных данных

Определена в статье 182 Уголовного кодекса Украины.

Так, за незаконное собирание, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации – установлена ответственность в виде штрафа от 8500 до 17 000 гривен или исправительные работы на срок до 2 лет, или арест на срок до 6 месяцев, или ограничение свободы на срок до 3 лет.

Причем, стоит заметить, что такое преступление (определенное в части первой статьи) по своей конструкции является формальным, и считается завершенным независимо от наступления общественно опасных последствий, или же наличия вреда - в отличии от части второй статьи – согласно которой:

Если такое нарушение произошло повторно, или если такие действия причинили существенный вред охраняемым законом правам, свободам и интересам лица, - такие наказываются арестом на срок от 3 до 6 месяцев или ограничением свободы на срок от 3 до 5 лет, или лишением свободы на тот же срок.

Такой квалифицирующий признак, как существенный вред охраняемым законом правам, свободам и интересам лица – подразумевает вред, который заключается в причинении материального ущерба, и который в сто и более раз превышает необлагаемый минимум доходов граждан (то есть не меньше 113500 гривен, а с 1 июля, не меньше 118950 гривен).

Как видим, наказание, как и штраф за распространение персональных данных, достаточно суровое, чтобы законным образом выполнять предписания нормативно-правовых актов и легальные требования субъектов персональных данных.

Административная ответственность за разглашение персональных данных

Наказание за разглашение персональных данных предписывает статья 18839 Кодекса Украины про административные правонарушения, а именно части 4 и 5.

Согласно таким: несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных, - влечет наложение штрафа на граждан от 1700 до 8500 гривен, а на должностных лиц, граждан - субъектов предпринимательской деятельности - от 5100 до 17 000 гривен.

Повторное же (на протяжении года) совершение такого нарушения, за которое лицо уже подвергалось административному взысканию, - влечет наложение штрафа от 17 000 до 34 000 гривен.

Порядок привлечения к ответственности

Контроль за соблюдением законодательства о защите персональных данных совершают Уполномоченный Верховной Рады Украины по правам человека и суды.

Соответственно, если произошло незаконное распространение персональных данных, субъект персональных данных, или иное лицо – имеет право обратиться к Уполномоченному с обоснованным обращением (заявлением) про это.

Обращения подают в порядке предусмотренном Законом Украины «Про обращения граждан», на протяжении года после обнаружения нарушения прав и свобод. Этот срок может быть продолжен Уполномоченным до двух лет. Все обращения направляются в Секретариат Уполномоченного Верховной Рады по правам человека по адресу: 01008, г.Киев-08, ул. Институтская, 21/8, или Региональным представителям Уполномоченного.

Такие обоснованные обращения физических и юридических лиц о нарушениях законодательства о защите персональных данных, являются основанием, для проведения внеплановых проверок владельцев персональных данных (предприятия, учреждения, организации, любой формы собственности, государственного органа или органа местного самоуправления, ФЛП).

После рассмотрения обращений о фактах незаконного распространения личных данных, Уполномоченный по правам человека имеет право:

1. проводить проверки, по факту проведения которых составляются акты;

2. выдавать обязательные предписания о предотвращении или устранении нарушений законодательства о защите персональных данных (в том числе, обязывающие к изменению, удалению или уничтожению таких данных, обеспечению доступа к ним, предоставлению или запрета их предоставлению третьему лицу, к приостановлении или прекращении обработки персональных данных).

На основании этого предписания – нарушитель совершает требуемые действия (дается не менее чем 30 дней), и уведомляет Уполномоченного письменно о результатах.

3. составлять протокол об административном правонарушении по форме и в порядке, предусмотренном законодательством и «Порядком оформления материалов об административных правонарушениях» утвержденного Приказом Уполномоченного от 16.02.2015 р. № 3/02-15, а после составления дела направлять его на рассмотрение в районный, районный в городе (городской, горрайонный) суд по месту совершения административного правонарушения.

4. или же, при наличии признаков уголовного преступления, Уполномоченный направляет необходимые материалы в правоохранительные органы.

Также, субъектам персональных данных предоставлено право направлять обращения самим же владельцам персональных данных. Учитывая вышеизложенные санкции каждой статьи за разглашение персональных данных, обычно, на практике, владельцы охотно идут на встречу субъектам персональных данных, и исправляют допущенные нарушения. Поэтому, рекомендуется в первую очередь, обратиться прямо к нарушителю. Всегда есть вероятность ошибок или недочетов, а мирное решение возникшего вопроса выйдет экономичнее и быстрее.

В заключении, нужно заметить, что в Верховной Раде Украины зарегистрирован законопроект № 5628 от 07.06.2021 г., которым предлагается принять новый закон о персональных данных. Основными целями принятия являются улучшение и увеличение эффективности защиты персональных данных в Украине. На данный момент законопроект обрабатывается комитетами, впрочем, учитывая установленные там огромные штрафы (видимо предписанные с целью приблизить наше законодательство к европейскому Общему регламенту о защите данных (GDPR)), все эти нововведения должны быть проверены на предмет готовности нашего государства и бизнеса к таким рискам.

Если Вам нужна услуга профессионала, воспользуйтесь сервисом "Тендер на юридическую услугу" от юридического ресурса Протокол.

Автор консультации: Адвокат Трофименко Ирина

Источник: юридический ресурс Протокол

3313
Переглядів
4
Коментарів
Оставьте Ваш комментарий:

Пожалуйста, авторизуйтесь или зарегистрируйтесь для добавления комментария.

Популярні судові рішення
Популярні події
ЕСПЧ
1