ВИШГОРОД

Офіційний портал

Лист Уповноваженого Верховної Ради України з прав людини щодо необхідності забезпечення неухильного дотримання вимог законодавства про захист персональних даних

Лист Уповноваженого Верховної Ради України з прав людини щодо необхідності забезпечення неухильного дотримання вимог законодавства про захист персональних даних

     Відповідно до статті 101 Конституції України постійний парламентський контроль за додержанням конституційних прав і свобод людини і громадянина здійснює   Уповноважений   Верховної   Ради   України    з    прав    людини (далі – Уповноважений).

      Статтями 22, 23 Закону України «Про захист персональних даних» (далі – Закон) Уповноваженому надані повноваження щодо парламентського контролю за додержанням законодавства про захист персональних даних.

       Згідно зі статтею 10 Закону України «Про Уповноваженого Верховної Ради України з прав людини» для забезпечення діяльності Уповноваженого утворюється Секретаріат Уповноваженого.

       Під час парламентського контролю за додержанням законодавства про захист персональних даних виявлено, що в мережі Інтернет поширюється інформація щодо неконтрольованого збору персональних даних організаціями, які здійснюють гуманітарну, волонтерську та іншу допомогу населенню, яке опинилося у скрутному становищі.

       У зв’язку з цим звертаємо увагу на таке.

       Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

       Відповідно до статті 2 Закону персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована; обробка персональних даних – це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

       Обробка персональних даних має ґрунтуватись на меті та правових підставах.

       Відповідно до статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.

       Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

       Звертаємо увагу, що склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

       Відповідно до статті 11 Закону підставами для обробки персональних даних є:

  • згода суб’єкта персональних даних на обробку його персональних даних;
  • дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
  • укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
  • захист життєво важливих інтересів суб’єкта персональних даних;
  • необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
  • необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

       Обробка персональних даних органами державної влади і органами місцевого самоврядування має здійснюватись на підставі пунктів 2 та 5 частини першої статті 11 Закону, а саме дозволу на обробку персональних даних, який наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень, а також у зв’язку з необхідністю виконання обов’язку володільця персональних даних, який передбачений законом.

       Водночас що стосується обробки персональних даних приватними організаціями, які здійснюють гуманітарну, благодійну, волонтерську та іншу допомогу населенню, то таким організаціям цілком прийнятно, за відсутності інших правових підстав, здійснювати обробку персональних даних на підставі пункту 1 частини першої статті 11 Закону, а саме згоди суб’єкта персональних даних на обробку його персональних даних.

       Разом із тим, необхідно врахувати, що має бути визначена легітимна мета для обробки персональних даних, склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки, а також згода має бути добровільною та поінформованою.

       Так, згода суб’єкта персональних даних – це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-комунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки.

       Враховуючи викладене, згода на обробку персональних даних має відповідати таким вимогам:

  • добровільність – означає відсутність прямого або опосередкованого примусу при її наданні;
  • поінформованість – означає, що перед наданням згоди суб’єкт повинен отримати достовірну інформацію про те, ким, з якою метою будуть оброблятися його персональні дані, кому будуть передаватися, які саме дані, а також про права, визначені Законом;
  • належна форма надання згоди – означає, що умови згоди на обробку персональних даних можуть бути у формі єдиного письмового документа, викладеного доступною для суб’єкта персональних даних мовою, що підписується ним особисто або його законним представником або у електронній формі шляхом проставлення відмітки про надання згоди. Водночас надана згода не повинна викликати сумнівів в її однозначності і володілець повинен мати змогу підтвердити її наявність упродовж усього часу здійснення обробки персональних даних.

       Разом з тим необхідно враховувати пропорційність обсягу персональних даних суб’єкта. Оброблятися повинні лише ті дані, обробка яких необхідна для досягнення мети. Все залежить від критеріїв, за якими відбувається надання матеріальної чи іншої благодійної/гуманітарної допомоги (стану здоров’я, матеріального забезпечення, сімейного статусу, кількості дітей тощо).

       Отже,  якщо для надання        адресної     благодійної         допомоги необхідно здійснювати обробку персональних даних, то варто відповідально підійти до питання оформлення правовідносин та забезпечити захист персональних даних.

       Перед початком збору персональних даних необхідно надати особі вичерпну інформацію про те, хто буде обробляти її персональні дані (зазначити відомості про володільця, розпорядника персональних даних, третіх осіб), повідомити про правові підстави, мету обробки, склад і зміст персональних даних, права особи, які визначені статтею 8 Закону.

       Також необхідно визначити порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог Закону та Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 «Про затвердження документів у сфері захисту персональних даних», зокрема:

  • спосіб збору, накопичення персональних даних;
  • строк та умови зберігання персональних даних;
  • умови та процедуру зміни, видалення або знищення персональних даних;
  • умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;
  • порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних;
  • заходи забезпечення захисту персональних даних;
  • процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.

       Крім того, для належної обробки персональних даних необхідно: визначити перелік і склад заходів, спрямованих на безпеку обробки персональних даних, план дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій; отримати від працівників, які мають доступ до персональних даних, письмове зобов’язання про нерозголошення персональних даних; визначити структурний підрозділ або відповідальну особу, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці.

       У разі наявності підстав, визначених Порядком повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації, затвердженого наказом Уповноваженого від 08.01.2014 № 1/02-14, повідомити Уповноваженого у встановленому порядку.

       Звертаємо увагу, що володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

       Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом. Зокрема, відповідно до частини четвертої статті 18839 Кодексу України про адміністративні правопорушення, недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, – тягне за собою накладення штрафу на громадян від ста до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян – суб’єктів підприємницької діяльності – від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.

       Також статтею 182 Кримінального кодексу України (порушення недоторканності приватного життя) передбачено кримінальну відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу.

       Ураховуючи вищевикладене, з метою запобігання порушенням прав громадян на захист персональних даних та неправомірного поширення персональних даних, просимо поінформувати організації, пов’язані з наданням гуманітарної та благодійної допомоги, які діють на території адміністративно-територіальної одиниці, про необхідність забезпечення неухильного дотримання вимог законодавства про захист персональних даних та недопущення випадків порушень прав суб’єктів персональних даних.

       У разі виникнення додаткових питань звертайтесь до Департаменту моніторингу   додержання  інформаційних    прав,  контактна    особа: Ягмуров Єгор Костянтинович, робочий телефон (044) 298-70-64.

Vitalik