У наш час шаленої актуальності у всьому світі набуває питання захисту персональних даних. Не обминула ця хвиля й Україну, тому спробуємо розібратися, що означає термін «персональні дані», яка інформація може бути віднесена до них і яка відповідальність передбачена законодавством за порушення у цій сфері.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
У ст. 32 Конституції України передбачено ряд гарантій у сфері захисту персональних даних:
- ніхто не може зазнавати втручання в його особисте і сімей не життя, крім випадків, передбачених Конституцією України;
- не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини;
- кожний громадянин має право знайомитися в органах державної влади, місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею;
- кожному гарантується судовий захист права спростувати недостовірну інформацію про себе і членів своєї сім'ї та вимагати вилучення такої інформації, а також право на відшкодування матеріальної і моральної шкоди, зав даної збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.
З метою захисту права на невтручання в особисте життя у зв'язку з обробкою персональних даних та для врегулювання правових відносин, пов'язаних із захистом та обробкою таких даних, законодавець свого часу прийняв Закон України «Про захист персональних даних».
Що таке персональні дані
Для початку спробуємо визначитися з терміном «персональні дані» та тим, яка інформація може належати до них. Дефініцію цього терміну містять відразу 2 нормативно-правових акта: Закони України «Про захист персональних даних» (далі — Закон) та «Про інформацію» (далі — Закон про інформацію). Проаналізувавши їх, робимо висновок, що персональні дані (інформація про фізичну особу) — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Відповідно до ст. 5 Закону, персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Згідно ст. 11 Закону про інформацію, до конфіденційної інформації про фізичну особу належать, зокрема, дані про національність особи, її освіту, сімей ний стан, релігій ні переконання, стан здоров'я, а також адреса, дата і місце народження.
Разом з тим, Конституційний Суд України у своєму рішенні від 20.01.2012 р. №2-рп/2012 надав офіційне тлумачення ч. 1 та 2 ст. 32 Конституції України: «Інформація про особисте та сімейне життя особи (персональні дані про неї) — це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігій ні переконання, стан здоров'я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті май нові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повно важень особою, яка займає посаду, пов'язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім'ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини».
Контроль та відповідальність
Відповідно до ч. 1 ст. 24 Закону, володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у т. ч. незаконного знищення чи доступу до них. Відповідно до ст. 22 Закону, контроль за дотриманням законодавства про захист персональних даних здійснюють уповноважений Верховної Ради України з прав людини у сфері захисту персональних даних (далі — Уповноважений) та/або суди.
Згідно з роз'ясненнями до Порядку здійснення Уповноваженим контролю за дотриманням законодавства про захист персональних даних від 08.01.2014 р. (далі — роз'яснення), Уповноважений, окрім інших функцій, здійснює контроль за дотриманням законодавства про захист персональних даних. З цією метою за скаргами юридичних та фізичних осіб, а також за власною ініціативою він проводить перевірки дотримання вимог відповідних законів. Суб'єктами таких перевірок є володільці та розпорядники персональних даних, якими, відповідно до ст. 4 Закону, можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи місцевого самоврядування, фізичні особи-підприємці, які обробляють персональні дані відповідно до закону.
Відповідно до п. 5 та 10 ст. 23 Закону, Уповноважений за підсумками перевірки, розгляду звернення може видавати обов'язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у т. ч. щодо зміни, видалення або знищення таких даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних; складати протоколи про притягнення до адміністративної відповідальності та у встановлених законом випадках направляти їх до суду.
Водночас законодавцем впроваджений ще один механізм врегулювання питань, що стосуються порушення обробки персональних даних. Згідно п. 5, 6 та 11 ст. 8 Закону, суб'єкт персональних даних має право:
- пред'являти володільцю персональних даних вмотивовану вимогу з запереченням проти обробки своїх персональних даних;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
- відкликати згоду на обробку персональних даних.
А відповідно до п. 6 ст. 16 Закону, суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, за умови надання інформації, визначеної у п. 1 ч. 4 цієї статті, крім випадків, установлених законом. Абз. 3 п. 5 ст. 16 Закону передбачено, що такий запит задовольняється протягом 30 календарних днів з дня його надходження, якщо інше не передбачено законом.
Отже, перед зверненням до Уповноваженого зі скаргою або подачею позову до суду бажано звернутися з відповідним зверненням/скаргою/заявою, тобто запитом в порядку та у спосіб, передбачений Законом, безпосередньо до володільця чи розпорядника, дії або бездіяльність якого призвели, на думку суб'єкта персональних даних, до порушення його права на їх захист. Як показує практика, більшість володільців та розпорядників персональних даних охоче йдуть назустріч суб'єктам таких персональних даних та оперативно задовольняють їх звернення/запити в повному обсязі, оскільки це може запобігти майбутньому візиту до них Уповноваженого або метушні з судовими процесами.
Таким чином, дуже дієвим способом захисту порушених прав, пов'язаних із захистом персональних даних, є звернення суб'єкта персональних даних у формі письмової скарги (запиту) до володільців та розпорядників таких персональних даних.
Варто звернути увагу і на те, що згідно з чинним законодавством України, звернення до Уповноваженого не позбавляє особу права звернутися до суду, але в такому випадку слід пам'ятати, що Уповноважений зупиняє вже розпочатий розгляд звернення у випадку, якщо стає відомо, що зацікавлена особа подала позов, заяву або скаргу до суду.
У судовому порядку притягнення володільця або розпорядника персональних даних до адміністративної відповідальності можливе за ст. 188-39 Кодексу України про адміністративні правопорушення (далі — КупАП). До того ж, за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації (крім випадків, передбачених іншими статтями Кримінального кодексу України) особу може бути притягнуто до кримінальної відповідальності за ст. 182 Кримінального кодексу України.
Судова практика
Як приклад притягнення осіб до відповідальності у сфері захисту персональних даних розглянемо постанову Броварського міськрайонного суду Київської області від 09.04.2020 р. у справі №361/1579/20, яка залишена в силі постановою Київського апеляційного суду від 18.08.2020 р., а ухвалою Верховного Суду у складі колегії суддів Касаційного адміністративного суду від 28.09.2020 р. відмовлено у відкритті касаційного провадження.
Дослідивши вказану справу, що надійшла від представника уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних, про притягнення до адміністративної відповідальності особи, яка працює на посаді голови правління СТ «Заліське» (далі — голова правління) за вчинення правопорушення, передбаченого ч. 4 ст. 188-39 КУпАП, суд встановив наступне.
07.12.2019 р. голова правління, діючи всупереч вимогам законодавства про захист персональних даних, за адресою місцезнаходження юридичної особи не забезпечила належний рівень захисту персональних даних особи й поширила її персональні дані у чаті месенджера Viber, розмістивши копію звернення заявниці (особи) від 24.12.2019 р. до юридичної особи, в якому, крім прізвища, імені та по батькові заявниці, оприлюднено адресу її місця реєстрації, номер мобільного телефону, адресу електронної пошти, внаслідок чого до персональних даних цієї особи відбувся доступ невизначеного кола осіб, в результаті чого було порушено право заявниці на захист персональних даних від незаконної обробки. Отже, голова правління порушила вимоги ч. 3 ст. 10 та ч. 1 ст. 24 Закону та вчинила адміністративне правопорушення, передбачене ч. 4 ст. 188-39 КУпАП.
За результатами розгляду справи суд постановив: голову правління визнати винною у вчиненні правопорушення, передбаченого ч. 4 ст. 188-39 КУпАП, і накласти на неї адміністративне стягнення у вигляді штрафу в розмірі 300 неоподатковуваних мінімумів доходів громадян, що становить 5 100 грн.
В аналогічній справі №761/23532/20 Шевченківського районного суду Києва від 15.09.2020 р. особу визнано винною у вчиненні адміністративного правопорушення, передбаченого ч. 4 ст. 188-39 КУпАП, і цю постанову залишено без змін постановою Київського апеляційного суду від 18.12.2020 р.
Висновок
З огляду на викладене можна зробити висновок, що законодавство України містить чітке визначення терміну «персональні дані», а Конституційний Суд України, даючи офіційне тлумачення ст. 32 Конституції у своєму рішенні, наводить конкретний перелік інформації, що може складати персональні дані. Водночас законодавством впроваджено діє вий механізм захисту порушених прав у сфері захисту персональних даних. Це, зокрема, звернення/запит особи, права якої порушені, безпосередньо до володільця чи розпорядника її персональних даних, оскільки такий володілець чи розпорядник охоче піде назустріч суб'єкту персональних даних та оперативно задовольнить його звернення/запит у повному обсязі. А у випадку незадоволення такого звернення/запиту володільцем чи розпорядником у суб'єкта завжди залишається право на звернення до Уповноваженого або до суду.