Захист персональних даних! Що робити ОСН, щоб не понести відповідальність?

Захист персональних даних! Що робити ОСН, щоб не понести відповідальність?
24.12.2011
З 1 січня 2011 року набрав чинності Закон України «Про захист персональних даних». Метою прийняття зазначеного акту було впровадження відповідальності за розголошення персональних даних фізичних осіб третім особам без письмового дозволу на це. Відсутність такого захисту, а також механізму його реалізації на території України гальмувало наближення вітчизняного законодавства до стандартів ЄС. Тому Україна, як учасниця Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних від 08.11.2001 р. ЗУ «Про захист персональних даних» імплементувала її положення.

Актуальність захисту персональних даних фізичних осіб обумовлена постійним відображенням наших особистих даних на паперових носіях та електронному просторі, наприклад: на заявах і додатках, які подаються до органів державної влади та місцевого самоврядування, у т. ч. органів самоорганізації населення, до банків і інших фінансових установ, страхових компаній, до роботодавця або уповноваженого їм органу; заповнення анкет для участі в промоакціях та отримання дисконтних карток у магазинах та ресторанах, реєстраціях в соціальних мережах та на необхідних сайтах та ін. Головне, що такі дані можуть бути використані і надані іншим особам без нашої згоди.

З 1 січня 2011 року захист персональних даних фізичних осіб від недобросовісного розповсюдження з боку отримувача цих даних забезпечує держава. Які саме дані підпадають під захист, які міри повинні здійснити отримувачі персональних даних для недопущення неправомірного розповсюдження і хто повинен контролювати такі заходи регламентує саме Закон України «Про захист персональних даних» (тут і надалі Закон).

Основна ідея Закону, на наш погляд, міститься у ст. 10, у якій закріплено, що
використання персональних даних володільцем бази здійснюється у разі створення ним умов для захисту цих даних. Володільцю бази забороняється розголошувати відомості стосовно суб’єктів персональних даних. А використання персональних даних працівниками суб’єктів відносин, пов’язаних з персональними даними, повинно здійснюватись лише відповідно до їхніх професійних чи службових обов’язків. Ці працівники зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

Ця заборона не стосується поширення персональних даних в інтересах національної безпеки, економічного добробуту та прав людини, а також у випадках передбачених законом (наприклад запит правоохоронних органів).

Визначення саме персональних даних міститься у ст. 2 Закону –
це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути ідентифікована.

Персональними даними фізичної особи згідно ч.1 ст. 11 ЗУ «Про інформацію» [3] є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Таким чином, персональними даними є прізвище, ім’я та по-батькові, дата та місце народження, громадянство, місце проживання та державної реєстрації, ідентифікаційний код, місце роботи, місце навчання, відомості про родинний стан та стан здоров’я. Можна стверджувати, що персональними даними є інформація завдяки якої її власник або інший отримувач такої інформації опосередковано або через певні пристрої може встановити певну фізичну особу.

Проте, необхідною умовою застосування Закону є збирання персональних даних у бази. Базою персональних даних є іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек.

Суб’єктами відносин, пов’язаних із персональними даними, відповідно до ст. 4 Закону є:

Суб’єкт персональних даних – фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних.

Володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не передбачено законом.

Розпорядник бази персональних даних – фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані. При цьому в ст. 11 Закону встановлено, що Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі, а розпорядник бази персональних даних може їх обробляти лише з метою і в обсязі, визначених у договорі.

Таким чином, законом передбачається необхідність укладання окремого договору доручення ведення бази персональних даних із розпорядником. З чого можна зробити висновок, що наприклад, рішення зборів членів комітету органа самоорганізації населення про призначення розпорядника або спеціального підрозділу недостатньо – треба ще й окремий договір.

В свою чергу, об’єктами захисту є персональні дані, які обробляються в базах персональних даних і вони, окрім знеособлених, є інформацією з обмеженим доступом.
Обробкою персональних даних є будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

Ще однією суттєвою умовою при визначені застосування Закону є мета обробки персональних даних. Тобто для чого вони збираються встановленою юридичною чи фізичною особою: для формування бази клієнтів, працівників, боржників, мешканців і т.п.

Отже, для правильного визначення бази персональних даних, персональні дані повинні бути упорядковані певним образом (у формі електронної бази чи картотеки, де такі дані структуровані і знаходяться у послідовному порядку) з певною метою (наприклад, для визначення кола клієнтів для розсилки новин про надходження нової колекції одягу або для визначення кола осіб, які потребують матеріальної допомоги у мікрорайоні).

Слід мати на увазі, що ст. 7 Закону містить перелік даних, які не можуть бути оброблені - це етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя. Але у той же час ця норма спростовується ч. 2 тієї ж статті, де окрім інших умов міститься положення, що усі ці дані можуть бути оброблені у разі надання суб’єктом персональних даних однозначної згоду на обробку таких даних. Таким чином отримавши письмову згоду суб’єкта персональних даних (клієнта, працівника, мешканця) власник або розпорядник бази персональних даних (підприємство, роботодавець, орган самоорганізації населення) може обробляти і наведену інформацію.

Відповідно до ч. 3 Закону склад і зміст персональних даних має бути відповідним та не надмірним стосовно визначеної мети їх обробки, а їх обсяг у базі визначається умовами згоди суб’єкта персональних даних або відповідно до закону.

Проте, незважаючи на наведене основною новелою Закону, яка визвала багато дискутувань стала обов’язкова державна реєстрація баз персональних даних у Державній службі з питань захисту персональних даних із внесенням до Державного реєстру баз персональних даних. Після державної реєстрації бази її власнику видається свідоцтво встановленого зразка. Реєстрація бази персональних даних здійснюється шляхом повідомлення.

Державна служба з питань захисту персональних даних, зокрема, і здійснює контроль за додержання законодавства про захист персональних даних відповідно до ст. 22 Закону. До повноважень такої установи входить і накладання штрафних санкцій на порушників, отже в нашої державі з’явився ще один орган вповноважений проводити перевірки.

Головне, що підприємства усіх форм власності, органи державної влади та місцевого самоврядування, у тому числі і органи самоорганізації населення, фізичні особи-підприємці, які обробляють персональні дані відповідно до закону несуть відповідальність за відсутність державної реєстрації бази персональних даних у порядку, передбаченому Законом України «Про внесенням змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», якім вводяться зміни до Кримінального кодексу України та Кодексу про адміністративні правопорушення України. А саме, за ухилення від державної реєстрації бази персональних даних передбачений штраф на громадян у розмірі 8 500 грн., на посадових осіб та громадян - суб’єктів підприємницької діяльності у розмірі від 8 500 до 17 000 грн.

Як вбачається з наведеного, органи самоорганізації населення безперечно підпадають під дію Закону, отже обов’язково повинні зареєструватися у Державній службі з питань захисту персональних даних у встановленому законом порядку з дотриманням усіх процедур, закріплених у законодавстві.

Отже, як органу самоорганізації населення, зареєструвати наявні бази персональних даних (членів комітету, мешканців, боржників за певні послуги, видатних та заслужених жителів мікрорайону, картотеки паспортиста)?

По-перше, закріпити внутрішним документом (протоколом зборів членів комітету), які бази використовуються органом самоорганізації населення, мету обробки цих персональних даних, їх обсяг, порядок обробки.

По-друге, цим же документом призначити члена комітету, якій відповідно посаді буде відповідальний за організацію роботи з базою (секретар, голова певної комісії, паспортист).

По-третє, розробити і укласти договір про доручення визначеної особи бути розпорядником бази персональних даних.

По-четверте, отримати письмову згоду суб’єктів персональних даних на обробку, передбачивши якнайбільш широке коло інформації, яка може бути оброблена та узагальнену мету для якої створюється база. Письмова згода зручніше щоб була безстрокова. Одночасно у письмовій формі під підпис ознайомити працівника з його правами, як суб’єкта персональних даних.

Тут виникають певні труднощі, оскільки узяти однією особою дозволи і попередити усіх мешканців, наприклад, мікрорайону буде дуже складно.

Додаткове ускладнення виникає і зв’язку з тим, що з суті Закону виходить, що письмова згода повинна бути надана суб’єктом особисто, таким чином вирішення цього питання через скликання конференції мешканців за місцем проживання неможливо.

Отже, для правомірного використання наявних у органі самоорганізації населення баз персональних даних керівнику необхідно буде задіяти усіх громадських уповноважених (голів вуличних комітетів) для збору письмових згод і отримання підписів на ознайомленнях мешканців з їх правами суб’єктів персональних даних.

По-п’яте, грамотно оформити та подати у встановленому законом порядку заяву на реєстрацію власника бази персональних даних до Державної служби з питань захисту персональних даних і отримати відповідне свідоцтво володільця певної бази персональних даних.

Окрім ухилення від державної реєстрації підприємства можуть підлягати адміністративної відповідальності за:

·неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних, мету збору цих даних та осіб, яким ці дані передаються (штраф на громадян у розмірі 3 400 – 5 100 грн., на посадових осіб та громадян - суб’єктів підприємницької діяльності у розмірі від 5 100 - 6 800 грн.);

·неповідомлення або несвоєчасно повідомлення Державної служби з питань захисту персональних даних про зміну відомостей, що подаються до державної реєстрації бази персональних даних (штраф на громадян у розмірі 1 700 – 3 400 грн., на посадових осіб та громадян - суб’єктів підприємницької діяльності у розмірі від 3 400 - 6 800 грн.), а також за таке повторне ненадання (штраф на громадян у розмірі 5 100 – 8 500 грн., на посадових осіб та громадян - суб’єктів підприємницької діяльності у розмірі від 6 800 - 11 900 грн.);

·недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них (штраф у розмірі 5 100 – 17 000 грн.);

·невиконання законних вимог посадових осіб Державної служби з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних (штраф на посадових осіб та громадян - суб’єктів підприємницької діяльності у розмірі від 1 700 - 3 400 грн.).

Необхідно зазначити, що за порушення законодавства про захист персональних даних наступає і кримінальна відповідальність. Так за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями Кримінального кодексу України передбачена відповідальність у вигляді штрафу від 8 500 до 17 000 грн. або виправних робіт на строк до 2 років, або арешту на строк до 6 місяців, або обмеженням волі на строк до трьох років. До того ж за ті ж самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду (яка складає або перевищує 1 700 грн.) охоронюваним законом правам, свободам та інтересам особи передбачений арешт від 3 до 6 місяців, або обмеженням волі від 3 до 5 років, або позбавленням волі на той самий строк [2].

Таким чином, враховуючи усе вищезазначене, ми радимо провести усі запропоновані заходи, які необхідні для державної реєстрації баз персональних даних та чітко дотримуватись законодавства у сфері захисту персональних даних для уникнення адміністративної та кримінальної відповідальності і додаткових матеріальних збитків.
Використані джерела:

1. Про захист персональних даних: Закон України від 01.06.2010 № 2297 VI // ВВРУ, 2010. - № 34. – Ст. 481.

2. Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності

за порушення законодавства про захист персональних даних: Закон України від 02.06.2011 № 3454 // ВВРУ.

3. Про інформацію: Закон України від 02.10.1992 №2657-ХІІ // ВВРУ , 2010. - №48 – Ст.650.

Автор: Катерина Терзіанова, Одеса, ОМГО “Лицем до лиця”

Джерело: Органи самоорганізації населення в Україні