Лист Уповноваженого Верховної Ради України з прав людини від 03.03.2014 р. №2/9-227067.14-1/НД-129
Щодо захисту персональних даних
Суттєво. Володільцям та розпорядникам персональних даних отримувати згоду на обробку таких даних доведеться, зокрема, в тих випадках, коли є потреба для обробки цих даних.
! Володільцям та розпорядникам персональних даних
Уповноваженим Верховної Ради України з прав людини (далі — Уповноважений) розглянуто звернення щодо надання змістовної інформації з викладених проблемних питань, у зв'язку з цим інформуємо про результати такого розгляду.
1. Щодо механізму контролю судами за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом
Статтею 22 Закону України «Про захист персональних даних» (далі — Закон) у редакції, що діє з 01.01.2014 р., передбачено покладення контролю за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, на Уповноваженого та суди.
Таким чином, механізм здійснення судами зазначеного контролю має відбуватися на підставі законодавства про судоустрій, тобто в процесі здійснення судами судочинства (цивільного, адміністративного, кримінального та під час розгляду справ про адміністративні правопорушення), а також шляхом надання Пленумом вищого спеціалізованого суду, за результатами узагальнення судової практики, роз'яснень рекомендаційного характеру з питань застосування спеціалізованими судами законодавства при вирішенні справ відповідної судової юрисдикції (пункти 2 і 6 частини другої статті 36 Закону України «Про судоустрій і статус суддів»).
Слід звернути увагу, що суб'єкт персональних даних відповідно до пунктів 7, 8 та 9 частини другої статті 8 Закону наділений такими правами:
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірним чи ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
Реалізація зазначених прав узгоджується зі статтею 16 Цивільного кодексу України, якою передбачено, що кожна особа має право звернутися до суду за захистом свого особистого немайнового або майнового права та інтересу та відповідно із Цивільним процесуальним кодексом України.
Також пунктом 10 частини першої статті 23 Закону Уповноважений наділений компетенцією складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом, що вказує на повноваження відповідних судів загальної юрисдикції забезпечувати додержання законодавства про захист персональних даних.
2. Щодо необхідності отримувати згоду на обробку персональних даних
Статтею 11 Закону визначений перелік підстав для обробки персональних даних, однією з яких є згода суб'єкта персональних даних на обробку його персональних даних.
Вилучення поняття «згода на обробку персональних даних» із Закону не позбавляє можливості використовувати інші механізми щодо забезпечення його застосування. Так, відповідно до пунктів 4 та 6 частини першої статті 23 Закону Уповноважений у сфері захисту персональних даних затверджує нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом, та надає рекомендації щодо практичного застосування законодавства про захист персональних даних, роз'яснює права й обов'язки відповідних осіб за зверненням суб'єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб.
Відповідно до зазначених положень законодавства Наказом Уповноваженого від 08.01.2014 р. №1/02-14 «Про затвердження документів у сфері захисту персональних даних» (далі — наказ Уповноваженого) затверджено:
— Типовий порядок обробки персональних даних;
— Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних;
— Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.
Зазначені нормативно-правові акти опубліковані на офіційному сайті Уповноваженого (http://www.ombudsman.gov.ua), до кожного з цих актів надано відповідні роз'яснення. Зокрема, у Роз'ясненнях до Типового порядку обробки персональних даних надано визначення поняття «згода на обробку персональних даних» та розтлумачено порядок її надання (отримання).
Так, згода суб'єкта персональних даних — добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій чи електронній формі.
Отже, володільцям та розпорядникам персональних даних отримувати згоду на обробку таких даних доведеться, зокрема, у тих випадках, коли є потреба для обробки цих даних, а інші передбачені статтею 11 Закону підстави для обробки таких даних не поширюються на цей випадок обробки даних.
3. Щодо визначення «особливого ризику для прав і свобод суб'єктів персональних даних»
На виконання вимог статей 9, 22, 23, 24 Закону наказом Уповноваженого затверджено Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації (далі — Порядок повідомлення).
У пункті 1.2 Порядку повідомлення визначено, що обробкою персональних даних, що становить особливий ризик для прав і свобод суб'єктів, є будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється щодо персональних даних про:
— расове, етнічне та національне походження;
— політичні, релігійні або світоглядні переконання;
— членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
— стан здоров'я;
— статеве життя;
— біометричні дані;
— генетичні дані;
— притягнення до адміністративної чи кримінальної відповідальності;
— застосування щодо особи заходів у рамках досудового розслідування;
— вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;
— вчинення щодо особи тих чи інших видів насильства;
— місцеперебування та/або шляхи пересування особи.
Таким чином, основним критерієм при визначенні того, чи становить певна обробка такий ризик, є те, які категорії персональних даних обробляються. При цьому обробка вважатиметься такою, що становить особливий ризик для прав і свобод суб'єктів персональних даних, у разі якщо: склад персональних даних про особу, які обробляються володільцем, включає відомості зазначеного вище змісту (пункт 1.2 Порядку повідомлення), або коли володільцем обробляються персональні дані певної категорії суб'єктів, яку можна виділити за зазначеним у пункті 1.2 Порядку повідомлення критерієм. Про це більш детально зазначено у Роз'ясненнях основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, що додаються до Порядку повідомлення й опубліковані на офіційному сайті Уповноваженого.
4. Щодо здійснення захисту персональних даних, про обробку яких повідомляти Уповноваженого не потрібно
Зобов'язання забезпечити захист персональних даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних, закріплено у частині першій статті 24 Закону, поширюється на всіх володільців, розпорядників персональних даних та третіх осіб і не залежить від необхідності повідомляти Уповноваженого про обробку персональних даних, що становить особливий ризик для прав і свобод суб'єктів персональних даних.
При цьому володільці, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог, визначених Законом та Типовим порядком обробки персональних даних.
5. Щодо вчинення з 01.01.2014 р. дій з базами персональних даних, зареєстрованими до зазначеної дати
Наразі з 01.01.2014 р. процедури реєстрації баз персональних даних відповідно до вимог чинної редакції Закону немає. При цьому вимога щодо повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, поширюється на всіх володільців, які здійснюють таку обробку персональних даних, незалежно від того, була ними зареєстрована в попередній період відповідна база персональних даних чи ні.
При цьому обробка персональних даних повинна здійснюватися з дотриманням вимог чинного законодавства у сфері захисту персональних даних.
6. Щодо реєстрації баз персональних даних, утворених до 01.01.2014 р.
З 01.01.2014 р. відповідно до вимог чинної редакції Закону процедура реєстрації баз персональних даних замінена обов'язком володільців персональних даних повідомляти Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних. У зв'язку з цим володільцям персональних даних необхідно провести аналіз процесів обробки цих даних на предмет їх віднесення до таких, що становлять особливий ризик для прав і свобод суб'єктів персональних даних, та за його результатом прийняти відповідне рішення про повідомлення Уповноваженого і, в разі необхідності, подати відповідну заяву за формою, встановленою у додатку 1 до Порядку повідомлення.
Також слід звернути увагу, що з 01.01.2014 р. законодавством не встановлено юридичну відповідальність за нереєстрацію баз персональних даних, у тому числі й тих, що були створені, але не були зареєстровані до 01.01.2014 р.
7. Щодо можливості Уповноваженого накладати штрафи за порушення, допущені до 01.01.2014 р.
Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, покладається на Уповноваженого лише з набранням чинності Законом України від 03.07.2013 р. №383-VII «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» (далі — Закон №383-VII), тобто з 01.01.2014 р. Законом №383-VII внесено зміни також і до Кодексу України про адміністративні правопорушення (фактичне викладення статей 188-39 та 188-40 в новій редакції). При цьому відповідно до статті 8 Кодексу України про адміністративні правопорушення закони, які пом'якшують або скасовують відповідальність за адміністративні правопорушення, мають зворотну силу, тобто поширюються і на правопорушення, вчинені до видання цих законів. Таким чином, за вчинення діянь, які визначалися як адміністративні правопорушення до 01.01.2014 р., а після цієї дати вже не належать до таких правопорушень, з 01.01.2014 р. до юридичної відповідальності особи не можуть бути притягнені.
Крім того, статтею 38 Кодексу України про адміністративні правопорушення передбачено, що адміністративне стягнення може бути накладено не пізніш як через два місяці з дня вчинення правопорушення, а при триваючому правопорушенні — не пізніш як через два місяці з дня його виявлення, за винятком випадків, коли справи про адміністративні правопорушення відповідно до цього Кодексу підвідомчі суду (судді). Якщо справи про адміністративні правопорушення відповідно до цього Кодексу чи інших законів підвідомчі суду (судді), стягнення може бути накладено не пізніш як через три місяці з дня вчинення правопорушення, а при триваючому правопорушенні — не пізніш як через три місяці з дня його виявлення, крім справ про адміністративні правопорушення, зазначені у частині третій цієї статті.
Слід звернути увагу, що відповідно до пункту 10 частини першої статті 23 Закону Уповноважений складає протоколи про притягнення до адміністративної відповідальності та направляє їх до суду у випадках, передбачених законом.
Отже, Уповноваженим може бути складено протокол про притягнення до адміністративної відповідальності за ті діяння, які визнаються адміністративними правопорушеннями згідно з чинним законодавством і вчинені чи виявлені, відповідно, у строки, встановлені частиною другою статті 38 Кодексу України про адміністративні правопорушення.
Керівник Секретаріату Б. КРИКЛИВЕНКО