08 лютого 2021, 17:36

Згода на обробку персональних даних: у яких випадках вона не вимагається

Опубліковано в №3 (733)

Ірина Павлюк
Ірина Павлюк Senior Legal Counsel Moneyveo

Зі стрімким розвитком інформаційних технологій актуальним залишається питання, як захистити себе від незаконної обробки персональних даних під час укладення будь-якого виду договорів на просторах інтернету.


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


Мабуть, кожен з нас хоч раз у житті здійснював покупку товару в онлайн-магазині або отримував послуги в тому чи іншому інтернет-представництві. При цьому нам доводилось зазначати свої персональні дані, такі як прізвище, ім'я, по батькові, номер телефону, дані банківської картки, адресу доставки тощо. Нерідко буває так, що після отримання замовлення онлайн-магазин ще довго надсилає десятки додаткових SMS про нові товари з закликами не пропустити шанс їх придбати. Небайдужий до свого часу та нервів громадянин ввічливо зв'яжеться з представником магазину та попросить припинити «інформаційний тероризм», однак зазвичай відразу ж дізнається, що натиснувши на відповідну відмітку на сайті магазину, він надав згоду на обробку своїх персональних даних з метою отримання маркетингових пропозицій та інформаційних повідомлень, а не для укладення договору.

Розберемось детальніше в цьому питанні з юридичної точки зору.

Що таке персональні дані та згода на їх обробку

Відповідно до абз. 9 ст. 2 Закону України «Про захист персональних даних» (далі — Закон), «персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Згідно абз. 7 ст. 2 Закону, «обробка персональних даних — будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у т. ч. з використанням інформаційних (автоматизованих) систем».

Відповідно до абз. 4 ст. 2 Закону, «згода суб'єкта персональних даних — це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб'єкта персональних даних може бути надана під час реєстрації в інформаційно‑телекомунікаційній системі суб'єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки».

Чому згода на обробку персональних даних не повинна вимагатися при укладенні договору

Ст. 11 Закону визначено вичерпний перелік випадків та умов, за яких може здійснюватися обробка персональних даних суб'єкта. До таких підстав Закон відносить наступне:

1) згода суб'єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб'єкт персональних даних, або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;

4) захист життєво важливих інтересів суб'єкта персональних даних;

5) необхідність виконання обов'язку володільця персональних даних, який передбачений законом;

6) необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такі інтереси.

Тобто «згода на обробку персональних даних» є лише однією з підстав для обробки персональних даних, проте не єдиною. Зокрема, необхідно звернути увагу, що Закон не вимагає отримання «згоди на обробку персональних даних» при укладенні договору, навіть, навпаки, виділяє таку окрему підставу для обробки персональних даних, як укладення та виконання правочину, стороною якого є суб'єкт персональних даних, або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних. І такий розподіл має сенс. Використання в Законі терміну «правочин» зумовлене особливостями цивільного законодавства України, в якому поняттям правочину охоплюються, зокрема, й цивільно-правові договори.

Відповідно до загальних принципів цивільного законодавства, «фізична особа набуває прав та обов'язків і здійснює їх під своїм ім'ям» (п. 1 ст. 28 Цивільного кодексу України), «правочином є дія особи, спрямована на набуття, зміну або припинення цивільних прав та обов'язків» (ст. 202 Цивільного кодексу України), «волевиявлення учасника правочину має бути вільним і відповідати його внутрішній волі», «правочин має бути спрямований на реальне настання правових наслідків, що обумовлені ним» (п. 3 та 5 ст. 203 Цивільного кодексу України), «договором є домовленість двох або більше сторін, спрямована на встановлення, зміну або припинення цивільних прав та обов'язків» (п. 1 ст. 626 Цивільного кодексу України). Зазначені положення демонструють нерозривний зв'язок між правочином і згодою особи, адже укладення правочину фактично містить у собі згоду на обробку всієї необхідної для цього інформації.

Укладаючи договір, особа повинна індивідуалізувати себе як учасника правовідносин за допомогою інформації, яка становить персональні дані. Індивідуалізація фізичної особи є об'єктивною потребою встановлення правових відносин. Без належної індивідуалізації особа не може бути ідентифікована як їх учасник і, відповідно, правочин не може бути укладений.

Отже, суб'єкт персональних даних, виражаючи своє волевиявлення як учасник правочину, тобто надаючи явну «згоду», усвідомлює свої правові дії, є поінформованим про їх зміст і наслідки. Внаслідок цього при укладенні та виконанні договору уникнути обробки персональних даних неможливо. Відповідно, надання окремої «згоди на обробку персональних даних» для укладення договору не є доцільним. Законодавець, виділивши укладення та виконання правочину в окрему підставу для здійснення обробки персональних даних (п. 3 ст. 11 Закону), зумовив необхідний правовий захист учасників правовідносин і неможливість відкликати таку згоду до моменту повного виконання зобов'язань між сторонами.

Варто зауважити, що укладення правочину як підстава здійснення обробки персональних даних не звільняє володільця персональних даних від обов'язку під час збирання даних, а саме перед вчиненням правочину ознайомлювати суб'єкта персональних даних з інформацією, передбаченою ст. 12 Закону. Володільцю персональних даних необхідно розробити повідомлення для суб'єкта персональних даних про обробку персональних даних та забезпечити можливість ознайомлення суб'єкта з інформацією про володільця персональних даних, склад та зміст зібраних персональних даних, права суб'єкта, визначені Законом, мету збору персональних даних та осіб, яким передаються його персональні дані, враховуючи також інформацію про їх транскордонну передачу в разі її наявності.

Однак у разі здійснення обробки персональних даних суб'єкта, наприклад, з метою надання йому маркетингових пропозицій та інших послуг, які не є необхідними для укладання правочину, обробка таких персональних даних має здійснюватися, відповідно до п. 1 ч. 1 ст. 11 Закону, на підставі окремої згоди, яка, у свою чергу, може бути відкликана.

Відкликання згоди на обробку персональних даних

Суб'єкт персональних даних самостійно приймає рішення щодо того, давати чи не давати згоду на обробку своїх персональних даних. А надавши згоду, він має право змінити своє рішення і відкликати її (п. 11 ч. 2 ст. 8 Закону). У такому разі володілець повинен припинити обробку і знищити або видалити персональні дані особи, яка відкликала свою згоду.

Проте відкликання допускається тільки у випадку, якщо персональні дані оброблялися на підставі окремої згоди відповідного суб'єкта (п. 1 ч. 1 ст. 11 Закону). В інших випадках відкликати згоду на обробку персональних даних не вийде: наприклад, якщо вони обробляються на підставі закону або при вчиненні правочину (укладенні будь-якого виду договору).

Ось тут виникає питання: як бути, якщо згода на обробку персональних даних не була потрібна, але все-таки була отримана? Наприклад, у межах трудових відносин. Як встановлено п. 2 ч. 1 ст. 11 Закону, такі персональні дані обробляються на підставі закону — зокрема, Кодексу законів про працю України. Тому помилково вважати, що якщо перед обробкою персональних даних працівників роботодавець все ж отримав їх згоду, вони мають право її відкликати. Насправді для роботодавця це не матиме жодних правових наслідків, адже подібні дії не зумовлять заборону обробки відповідних персональних даних, бо, як вже зазначалося, дозвіл на таку обробку надано законом.

Висновок

Щоб не потрапити в кайдани інформаційного спаму онлайн-магазинів чи інтернет-представництв, суб'єкту персональних даних варто уважніше ознайомлюватися з політикою конфіденційності щодо обробки його персональних даних перед тим, як проставляти відмітку навпроти надання згоди на їх обробку. При цьому помилково вважати, що така згода надається з метою укладення договору.

0
0

Додати коментар

Відмінити Опублікувати