Персональні дані стають усе більш цінними за наявності доступу до великих масивів та можливості їх обробки для своїх цілей. Дані 50 мільйонів користувачів Facebook, які отримала Cambrige Analitycs, стали проблемою для соціальної мережі. У Європі з 25 травня набирає чинності GDPR (General data protection regulation), який встановлює нові правила обробки персональних даних і має екстериторіальний принцип.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
В Україні цінність персональних даних ще не є широко усвідомленою. На це опосередковано вказує наявність лише 27 документів у Єдиному державному реєстрі судових рішень, пов’язаних із порушенням законодавства в сфері захисту персональних даних.
Але з розвитком електронних сервісів, особливо державних, питання захисту персональних даних ставатиме все більш актуальним. Особливо, це може стосуватись інформації про стан здоров’я. Наприклад, нещодавно створена Національна служба здоров’я України має забезпечувати, серед іншого, функціонування електронної системи охорони здоров’я та укладати договори про медичне обслуговування населення та договори про реімбурсацію.
Враховуючи, що в світі не існує системи, створеної людиною, яку не могла б зламати інша людина, адвокатам варто готуватись захищати персональні дані своїх клієнтів у судах.
Зараз поширеними є такі справи, але, очевидно, що ними провадження не обмежуватимуться.
Радянські практики публічного осуду
Якщо садове товариство «Товариш», ОСМБ «Дружба» або 7-Б клас вирішить опублікувати списки боржників в інтернеті або на дверях садового будиночку (під’їзду, класу), на них чекатиме протокол про адміністративне правопорушення і визнання винним (-ою) у скоєнні правопорушення, передбаченого ч. 4 ст. 188-39 КУпАП.
Правда, за існуючою практикою, таке правопорушення суд може визначити малозначним та оголосити усне зауваження.
Відмова у наданні доступу до своїх даних
Якщо підприємство (організація тощо) порушує право людини на доступ до інформації про себе, особу, відповідальну за надання такого доступу визнають винною у вчиненні адміністративного правопорушення. так сталось із заступником начальника Головного управління Державної фіскальної служби в одній областей. Він не надав колишньому працівнику матеріалів службового розслідування щодо нього та інших документів дисциплінарного провадження, посилаючись на те, що вони містять персональні дані інших осіб та належать до службової інформації, доступ до якої обмежується.
Запитувачу інформації про себе довелось звернутись до Секретаріату Уповноваженого Верховної Ради України з прав людини щодо усунення порушень законодавства про захист персональних даних. Але вимоги Керівника Секретаріату Уповноваженого виконані не були і, як наслідок, права позивача на доступ до інформації про себе поновлено не було.
Заступник начальника ГУ ДФС був визнаний винним у скоєнні адміністративного правопорушення у суді першої інстанції, апеляційна інстанція підтвердила це рішення.
Використання персональних даних неналежним чином
Якщо персональні дані використовуються для заміни інших даних про особу. Наприклад, інспектори ДПС у 2014 році в протоколі про адміністративне правопорушення вказали дані паспорту, замість номера і серії водійського посвідчення. Позивач просив притягнути до адміністративної відповідальності інспекторів та піддати їх адміністративному стягненню у виді штрафу в розмірі 1000 неоподаткованого мінімуму доходів громадян.
Суд вирішив, що позовна вимога позивача стосовно протиправності дій інспекторів ДПС має бути частково задоволена. Дії відповідачів визнані протиправними, але підстави для накладання штрафу відсутні через обраний позивачем спосіб захисту своїх прав.
Дані для шахрайства
У ЄДРСР є справа про підприємство, яке надає послуги пенсіонерам з утримання в обмін на житло після їх смерті. Суд розглядав справу за позовом Секретаріату Уповноваженого Верховної Ради України з прав людини щодо усунення порушень законодавства про захист персональних даних до підприємства, яке не допустило до перевірки документації про збирання, обробку та збереження персональних даних. Перевірка мала бути проведена за заявою особи, яка просила встановити джерела походження отриманих про неї даних вказаним підприємством, тому його неодноразово дзвонили з пропозицією укласти договір довічного утримання.
Апеляційна скарга відповідача була залишена без задоволення, а рішення суду першої інстанції, яким його було визнано винним у вчиненні адміністративного правопорушення та стягнуто 1700 грн штрафу залишене без змін.
Варто також нагадати, що адміністративне стягнення може бути накладено не пізніше, ніж через три місяці з дня вчинення правопорушення, а при триваючому правопорушенні - не пізніше, ніж через три місяці з дня його виявлення. А спливання строку притягнення до відповідальності є підставою для закриття справи. Отже, в справах про порушення законодавства в сфері персональних даних варто уважно відстежити терміни, якщо важливе не лише визнання вини у вчиненні адміністративного правопорушення, але й накладення стягнень.
Звернемо також увагу на те, що стосується закриття справи і визнання винним у адміністративному правопорушенні, оскільки судова практика тут непослідовна.
Пункт 7 частини першої статті 247 КУпАП не містить положень про наявність у суду повноважень щодо встановлення обставин вчинення адміністративного правопорушення, наявності вини особи у його вчиненні у разі закриття провадження про адміністративні правопорушення. І з цього може випливати, що поєднання закриття справи з одночасним визнанням вини особи у вчиненні адміністративного правопорушення є взаємовиключними рішеннями. Прийняття таких рішень в одній постанові про закриття справи може свідчити про порушення права людини на справедливий суд.
Але принаймні у справах, пов’язаних із персональними даними, практика визнання винним і закриття справи, зазначені в одній постанові, присутня.