АДВОКАТСЬКЕ бюро
Кучерявого Олега Петровича

повний комплекс юридичних послуг, захист інтересів громадян і юридичних осіб

Січ

8

Новини захисту персональних даних

Автор: Advocat

на русском языкеВерховна Рада Законом від 20.11.2012 № 5491-VI внесла досить істотніPrivate зміни до досить суперечливого Закону України “Про захист персональних даних”. І на ці зміни варто звернути увагу всім, для кого норми цього закону мають значення. А це, насамперед юридичні і фізичні особи, які користуються різноманітними базами персональних даних. Та і іншим громадянам варто знати свої права у цій сфері.

Багато громадян не розуміють – для чого взагалі комусь надавати право на обробку своїх персональних даних. При цьому, слід зазначити, що деякі люди самі не розуміють, що хочуть. Наприклад, працівники паспортних столів житлово-комунальних установ жалілися, що люди відмовлялися надавати їм згоду на обробку їх персональних даних. Натомість, коли появляється щонайменша змога отримати щось в матеріальному плані (кредити у банках, картки на бонуси чи скидки в супермаркетах, тощо), то тут навіть не задумуючись роздають повний обсяг своїх персональних даних праворуч та ліворуч, роздають копії паспортів, ідентифікаційних кодів та навіть надають право на вільне та необмежене розповсюдження своїх персональних даних необмеженому колу осіб (почитайте свої кредитні договори). А ще запросто самі публікують їх у соціальних мережах. А от паспортному столу – ні!?

В той самий час, без такого права, ті ж самі установи ЖКХ не мають права не зареєструвати ні кого, ні зняти з реєстрації, не мають права навіть видати самому власникові персональних даних будь яку довідку, яка містить такі його персональні дані (наприклад – про склад сім’ї). Але ж «право не надаю, а довідку мені дай…»

Зрозуміло, що взагалі не зможуть без цього виконувати свої функції соціальні служби, медичні установи, правоохоронні органи.

Найперша зміна у законі стосується саме сфери його дії, адже статтю 1 «Сфера дії Закону» викладено у новій – більш деталізованій редакції: «Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних. Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів. Цей Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб. Положення цього Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження”.

В абзаці 3-му статті 2 (про визначення термінів, які вживаються у законі), виключено слова “у цій базі даних” і тепер «володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом».

Визначення терміну “згода суб’єкта персональних даних» теж зазнало деяких змін. Тепер це – «добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання». Тобто, тепер, не потрібно мати саме «документоване» підтвердження такої згоди. Наприклад, можна використовувати електронне погодження – таке, як наприклад використовують розробники комп’ютерних програм, коли при установці програми, пропонують Вам на підтвердження ознайомлення з ліцензією і погодження з її умовами, натиснути відповідну кнопку.

Внесено зміни і до визначення терміну «знеособлення персональних даних». Тепер це є – «вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу».

Термін «обробка персональних даних» тепер означає будь-яку дію або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем». На відміну від нової редакції, раніше це були дії лише «в інформаційній (автоматизованій) системі та/або в картотеках персональних даних». Таким чином, поняття цього терміну розширене за межі інформаційних систем, хоча з врахуванням положень статті 1 вони все ж не може стосуватися нічого, крім даних, якими користуються за допомогою автоматизованих засобів, або у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

Відразу є виникає питання – що таке є картотека? У попередній редакції не було визначення цього терміну. Можливо, що деякі відвідувачі сайту пам’ятають, що в зв’язку з такою невизначеністю, у статті на нашому сайті про закон від 20 грудня 2011 року «Про різні боки захисту персональної інформації» я рекомендував користуватися загальноприйнятим визначенням цього слова. Але тепер, все визначено у законі: “картотека – будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами”. Хоча слід зазначити, що це визначення занадто широке і дає змогу контролюючим органам записувати до картотеки майже будь що – аж до звичайної книжкової бібліотеки.

Визначено також і термін «одержувач». Це є – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа.

У статті 4 (Суб’єкти відносин, пов’язаних із персональними даними) виключено абзац сьомий частини першої. Тобто тепер, чомусь, не є такими суб’єктами «інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних».

Але цю статтю доповнити частинами 4 і 5, згідно з якими, «володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі», а «розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі». У сукупності з визначенням терміну «згода суб’єкта персональних даних» це аж ні як не означає, що наявність такого письмового договору є обов’язковою. Це слід знати, щоб відбиватися від «контролерів», які користуючись недостатнім розумінням закону користувачами баз, будуть «вишибати» з них кошти, або безпідставно «малювати» собі показники по протоколах.

Дуже важливим є те, що у статті 5 («Об’єкти захисту»), у частині 1, виключено слова “які обробляються в базах персональних даних”. Тобто тепер, «об’єктами захисту є персональні дані, які обробляються в базах персональних даних. Це означає, що об’єктами захисту є персональні дані, незалежно від того, чи містяться вони у базах. Хоча, слід зазначити, що таке положення вступає в суперечність з статтею 1 цього ж закону.

Потурбувалися народні обранці і про себе – любимих. З статті 5 виключено положення, за якими законом могло бути заборонено віднесення персональних даних певних категорій громадян до інформації з обмеженим доступом, а також про те, що персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом.

До нової редакції внесено також норму, що обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту.

Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних. Національний банк України таке право втратив.

Також тепер забороняється обробка персональних даних не лише про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, даних, що стосуються здоров’я чи статевого життя, а також і звинувачення у скоєнні злочину або засудження до кримінального покарання. Тобто, якщо якійсь кандидат у депутати, або депутат був засуджений, то з’ясовувати це не можна.

Нагадуємо, що ці положення не застосовуються (ч. 2 ст. 7 закону), якщо:

1) обробка здійснюється за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних;

2) обробка необхідна для здійснення прав та виконання обов’язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;

3) обробка необхідна для захисту життєво важливих інтересів суб’єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб’єкта персональних даних;

4) обробка здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об’єднань або осіб, які підтримують постійні контакти з ними у зв’язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб’єктів персональних даних;

5) обробка необхідна для обґрунтування, задоволення або захисту правової вимоги (це стосується, наприклад, нотаріусів, адвокатів і інших юристів, які надають правову допомогу);

6) обробка необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю;

7) обробка стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

8) обробка стосується даних, які були оприлюднені суб’єктом персональних даних.

Суб’єкт персональних даних тепер також має право пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних, звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду, вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди, відкликати згоду на обробку персональних даних, знати механізм автоматичної обробки персональних даних, на захист від автоматизованого рішення, яке має для нього правові наслідки”.

Важливими є зміни до статті 9 закону, яка раніше була досить маразматичною і викликала чимало хвилювань у володільців баз персональних даних, завдала їм чимало дурнуватих витрат. Тепер частину 2 цієї статті доповнено абзацами 2 і 4 такого змісту: “Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:

ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;

членів громадських, релігійних організацій, професійних спілок, політичних партій”.

Одначе, на жаль, слід зазначити, що значних змін ця стаття не зазнала.

До того ж, тепер заява про реєстрацію бази персональних даних, крім раніше зазначених відомостей, також повинна містити ще й інформацію про третіх осіб, яким передаються персональні дані; інформацію про транскордонну передачу персональних даних.

Змінено редакцію статті 11. Тепер вона називається «Підстави для обробки персональних даних» і визначає, що такими підставами є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Зазнав закон і деяких інших змін – менш важливих для переважної кількості громадян.

________________________________________________



Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *