Гру
20
Про різні боки захисту персональної інформації
Останнім часом досить великого ажіотажу в Україні наробив минулорічний “Про захист персональних даних”. Безумовно, що цей ажіотаж, насамперед викликаний досить великими штрафними санкціями, які передбачені за порушення норм цього закону. Давайте спробуємо з’ясувати – що ж вимагає цей закон від громадян України?
Відповідно до визначальної – першої статті, цей Закон регулює відносини, пов’язані із захистом персональних даних під час їх обробки і його дія не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах фізичною особою – виключно для непрофесійних особистих чи побутових потреб, журналістом – у зв’язку з виконанням ним службових чи професійних обов’язків і професійним творчим працівником – для здійснення творчої діяльності.
Відразу виникає питання: що таке – персональні дані і що таке – база персональних даних? На ці питання дає відповідь (вважається, що дає) стаття друга закону (“Визначення термінів”). Зокрема, персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Відразу зазначу, що закон не дає більш детального визначення: які саме дані про особу відносяться до персональних. Інтернет-сайт новоствореної також не дає на це питання конкретної відповіді, тільки розмірковує, що “наведене в Законі України «Про захист персональних даних» визначення терміну «персональні дані» в повній мірі відповідає визначенню вказаного терміну, передбаченого в Конвенції Ради Європи про захист осіб у зв’язку із автоматизованою обробкою персональних даних”. Далі цей офіційний орган повідомляє, що відповідно до міжнародних стандартів термін «персональні дані» повинен охоплювати всю інформацію про особу, яка ідентифікована або може бути ідентифікована будь яким чином. “Для визначення факту ідентифікації особи необхідно враховувати всі засоби, що використовуються володільцем або розпорядником баз персональних даних для ідентифікації вказаної особи. Такий широкий підхід до визначення персональних даних надає змогу досягти достатньої гнучкості, що дозволяє використовувати вказаний термін у різноманітних ситуаціях та інформаційних і телекомунікаційних ресурсах, які не існували на момент прийняття Конвенції, або можуть виникнути у майбутньому”. Це – лише відносно зрозуміле роз’яснення напевне означає, що у службі не знають – які саме відомості вони будуть відносити до персональних даних. Щоправда, держслужба чесно про це пише: “Нам не відома практика визначення мінімальної сукупності відомостей, яка дає можливість конкретного ідентифікувати особу, з метою застосування законодавства про захист персональних даних у країнах Європейського Союзу”.
От вже полюбили у нас посилатися на Європейське законодавство і тупо перемальовувати їх закони (як і цей закон). Мені, проживаючи в Україні, геть байдуже до того, яким чином здійснюється контроль у цій сфері в Євросоюзі. Мене, як і всіх громадян України, хвилює те – яким чином норми закону будуть застосовуватися в Україні? Але, якщо вже перемалювали той закон у Європи і посилаються на європейські принципи, то спробуємо знайти у них хоча б якесь уточнення.
Згідно з Директивою Європейського парламенту і Ради Європи 95/46/ЄС від 24 жовтня 1995 року “Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних”, персональні дані означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити (“суб’єкт даних”). Особою, яку можна встановити, є така особа, яку можна встановити прямо чи непрямо, зокрема за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним особливостям її особистості. Тобто – жодної конкретики.
Можна було б, використовуючи принцип аналогії, спробувати звернутися до (N 18/203-97) щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України “Про інформацію” та статті 12 Закону України “Про прокуратуру” (справа К.Г.Устименка), згідно з яким: “До конфіденційної інформації, зокрема, належать свідчення про особу (освіта, сімейний стан, релігійність, стан здоров’я, дата і місце народження, майновий стан та інші персональні дані)”. Але, як бачите, це Рішення КСУ теж не дає достатньо конкретної відповіді, застосовуючи слово “інші”.
Щодо баз персональних даних, то згідно з законом (та сама стаття 2), це є “іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних”. Слово “іменована” до цих правовідносин більш-менш зрозуміле, тобто то, що має назву. Якщо база даних про щось, то вона апріорі має якусь офіційну або неофіційну назву, наприклад: “Список боржників”. Стосовно упорядкування в електронній формі, то напевне слід розуміти, що якщо список в комп’ютері упорядкований (“упорядкувати” – навести порядок в чомусь), наприклад за алфавітом, або за місцем проживання, тощо, це вже можна тлумачити – як його упорядкованість. Тим більше, якщо це стосується закладення даних про людину у програмну комп’ютерну базу даних.
Щодо картотек, то знову ж виникає питання: що вважати картотеками? Слово “картотека” походить від древньогрецьких слів χάρτης («аркуш папірусу») и θήκη («місце зберігання»). Тобто це є упорядковане за тими чи іншими ознаками зібрання даних. І як виходить з прямого перекладу грецького слова і як вже встановилося у всіх країнах протягом останніх століть, у цьому зібранні кожна картка – це один аркуш з відомостями, що мають окремі ознаки. А щодо нашої конкретної проблеми, то це має бути або один аркуш на кожну людину з її персональними даними, або один аркуш з окремим списком людей, з зазначенням їх персональних даних. В цілому це має бути каталогом, в якому легше знайти ту чи іншу особу та (або) відомості про неї за якоюсь системою пошуку, згідно з якою упорядкована ця картотека.
Та на жаль, законом теж не дано більш чіткого визначення.
В цілому, вже можна передбачити, що закон від початку дає контролюючим органам можливість на свій розсуд тлумачити це поняття і відповідно, застосовувати штрафні санкції – як то їм заманеться. І я не впевнений, що це випадково: держава у нас поліційно-фіскальна, а штрафи – одне з вагомих джерел поповнення бюджетів різних рівнів.
Йдемо далі…
Володільцем бази персональних даних закон визначає фізичну або юридичну особу, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних. Відразу слід зазначити, що суб’єкт персональних даних є фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних, тобто – той хто внесений в базу даних.
Згодою суб’єкта персональних даних на внесення відомостей про нього є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних, при чому, обов’язково – відповідно до сформульованої мети їх обробки.
Об’єктами захисту, відповідно до норм цього закону (стаття 5) є персональні дані, які обробляються в базах персональних даних. Відповідно: персональні дані, які не знаходяться в базах персональних даних не є об’єктами захисту цього закону. Якщо ці дані є в базах, але вони не обробляються, то вони також не є об’єктами захисту цього закону.
При цьому, обробка персональних даних це – “будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу”.
Це поняття обробки теж слід читати уважно. Стосовно інформаційних (автоматизованих) систем і картотек персональних даних, між ними у нормі закону проставлено “та/або”. Натомість, у досить чіткому переліку конкретних дій, пов’язаних з використанням інформаційного ресурсу, всюди стоять лише коми і одна літера “і”, що слід розуміти як таке, що для встановлення факту обробки необхідна наявність всіх цих ознак в комплексі (збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення відомостей про фізичну особу). Відповідно, якщо не має одної з цих ознак – не має і обробки в цілому. Хоча скоріш за все – це помилка законодавця.
Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних. У разі зміни визначеної мети обробки персональних даних суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети. Склад та зміст персональних даних мають бути відповідними та ненадмірними стосовно визначеної мети їх обробки. Обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб’єкта персональних даних або відповідно до закону.
Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб’єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.
Використання персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише в знеособленому вигляді. Це вже якесь, м’яко кажучи, занадто щось закручене. Як це можна використати персональні дані в знеособленому вигляді, якщо персоналізація даних вже сама по собі передбачає відомості про особу? І в яких це випадках для історичних (наприклад) цілей, можуть бути цікавими знеособлені “персональні” дані?
При цьому, в контексті історичних досліджень виникають, зокрема, такі питання: як бути, наприклад, з книгами пам’яті, з базами даних учасників військових дій, зокрема – загиблих? Як бути, наприклад, з базами даних і іншими списками в’язнів фашистських концтаборів? Та хоча б і просто списки похованих на якомусь цвинтарі? Адже в цих базах, списках містяться персональні дані, а у кого запитувати дозвіл на зберігання і розповсюдження цієї інформації? Навіть у живих це не реально, не всіх можливо знайти, а щодо мертвих… Та закон не каже, що для тих, кого не має в живих є якісь винятки. Щоправда, в даному випадку можна і напевне буде правильним вважати, що той, кого не має серед живих, вже не є особою, адже вже втратила свою особистість. Та, на жаль, це конкретно законом не визначено.
Типовий порядок обробки персональних даних у базах персональних даних затверджується уповноваженим державним органом з питань захисту персональних даних. Порядок обробки персональних даних, які належать до банківської таємниці, затверджується Національним банком України.
Забороняється обробка персональних даних (знову ж нагадую, що йдеться лише про цілі цього закону, тобто – бази і каталоги…) про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя, за винятком випадків, коли така обробка:
1) здійснюється за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних;
2) необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону;
3) необхідна для захисту інтересів суб’єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб’єкта персональних даних;
4) здійснюється релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об’єднань або осіб, які підтримують постійні контакти з ними у зв’язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб’єктів персональних даних;
5) необхідна для обґрунтування, задоволення або захисту правової вимоги;
6) необхідна в цілях охорони здоров’я, для забезпечення піклування чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних;
7) стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
8) стосується даних, які були оприлюднені суб’єктом персональних даних.
Суб’єкт персональних даних має право знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом; має право на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних; пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування; пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними та інші права також характеру.
Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.
Всі бази персональних даних підлягають державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних (Державна служба України з питань захисту персональних даних) до Державного реєстру баз персональних даних. Положення про Державний реєстр баз персональних даних та порядок його ведення затверджене Постановою Кабінету Міністрів України від 25.05.2011 № 616. Порядок подання заяв про реєстрацію баз персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних затверджений наказом Міністерства юстиції України . Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до зазначеного уповноваженого державного органу. Володільцю бази персональних даних після реєстрації видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних. Володілець бази персональних даних зобов’язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.
Використання персональних даних передбачає будь-які дії володільця бази (саме – володільця бази, а не будь якої особи, у якої наявні персональні дані) щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону. Використання персональних даних володільцем бази здійснюється у разі створення ним умов для захисту цих даних. Володільцю бази забороняється розголошувати відомості стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних з такими даними. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.
Підставами виникнення права на використання персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
Розпорядник бази персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних. Знову ж таки: не має значення – здійснили Ви підбір чи впорядкування відомостей про фізичну особу, але обов’язковою складовою є внесення їх до бази персональних даних.
Суб’єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі. Але таке повідомлення не вимагається, якщо персональні дані збираються із загальнодоступних джерел. Зібрані відомості про суб’єкта персональних даних, а також інформація про їх джерела надаються цьому суб’єкту персональних даних за його вимогою, крім випадків, установлених законом.
Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб’єкта персональних даних. Тобто, згідно з цим законом, поширення – це передача виключно тих відомостей, які знаходяться в базах персональних даних. Поширення таких персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.
Персональні дані в базах персональних даних знищуються в порядку, встановленому відповідно до вимог закону, вони підлягають знищенню у разі:
1) закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
2) припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;
3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
Персональні дані, зібрані з порушенням вимог цього Закону, підлягають знищенню в базах персональних даних у встановленому законодавством порядку. Персональні дані, зібрані під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом, знищуються в базах персональних даних відповідно до вимог закону.
Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону, за запитом. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.
Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. Протягом цього строку володілець бази персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом. Відстрочення доступу суб’єкта персональних даних до своїх персональних даних не допускається. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом. Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно. Доступ інших суб’єктів відносин, пов’язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним у разі додержання умов, визначених цим Законом. Оплаті підлягає робота, пов’язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних. Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України. Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.
Про передачу персональних даних третій особі володілець бази персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом. Про зміну чи знищення персональних даних або обмеження доступу до них володілець бази персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, а також суб’єктів відносин, пов’язаних із персональними даними, яким ці дані було передано.
Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цієї бази. Володілець бази персональних даних в електронній формі забезпечує її захист відповідно до закону.
Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом. Але це – окрема тема…
Цей Закон набрав чинності з 1 січня 2011 року, санкції за його порушення набирають чинності з 1 січня 2012 року.