Законы, кодексы, проекты
РОЗ'ЯСНЕННЯ Державної служби України з питань захисту персональних даних
Статтею 32 Конституції України проголошено право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини
З метою конкретизації права людини гарантованого статтею 32 Конституції України та визначення механізмів його реалізації, 1 червня 2010 року, Верховною Радою України було прийнято Закон України «Про захист персональних даних» (далі – Закон), який набрав чинності з 1 січня 2011 року. Предметом правового регулювання Закону є правовідносини, пов’язані із захистом персональних даних під час їх обробки.
Дія цього Закону не поширюється лише на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:
- фізичною особою – виключно для непрофесійних особистих чи побутових потреб;
- журналістом – у зв'язку з виконанням ним службових чи професійних обов’язків;
- професійним творчим працівником – для здійснення творчої діяльності.
Поняття «персональні дані» у сенсі Закону.
Визначення поняття персональні дані наводиться в абзаці восьмому статті 2 Закону відповідно до якого, персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Але, законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.
Згода суб'єкта персональних даних та вимоги до її оформлення.
Обробка персональних даних, відповідно до частини 5 статті 6 Закону здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Так, відповідно до абзацу п’ятого статті 2 Закону згодою суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
Згідно вимог Закону згода суб'єкта персональних даних на обробку персональних даних повинна містити інформацію щодо: мети та конкретних цілей обробки персональних даних (статті 2 Закону), обсягу персональних даних (стаття 6 Закону), порядку використання персональних даних (стаття 10 Закону), порядку поширення персональних даних (стаття 14 Закону), порядку доступу до персональних даних третіх осіб (стаття 16 Закону).
Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Закон, також, дозволяє здійснювати обробку персональних даних без згоди субєкта персональних даних, якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. В такому випадку, обробляти персональні дані без згоди суб'єкта персональних даних можна до часу, коли отримання згоди стане можливим.
Поняття «база персональних даних» у сенсі Закону.
Поняття «база персональних даних» визначене абзацом другим статті 2 Закону відповідно до якої, база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
З огляду на це база персональних даних в електронній формі – організована сукупність логічно пов’язаних даних про фізичних осіб, що зберігаються та обробляються відповідним програмним забезпеченням, а картотека персональних даних – систематизоване зібрання паперових носіїв інформації, що містять відомості про фізичних осіб, які є персональними даними у сенсі статті 2 Закону.
Варто зазначити, що виходячи з положень статті 2 Закону, персональні дані, одночасно, можуть бути упорядковані і в електронній формі, і в формі картотек.
Володілець та розпорядник бази персональних даних.
Володільцем бази персональних даних, згідно абзацу третього статті 2 Закону є фізична або юридична особа, якій законом або за згодою субєкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначене законом, а її розпорядником, згідно абзацу дев’ятого статті 2 Закону фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.
Згідно зі статтею 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи держави влади чи органи місцевого самоврядування, які обробляють персональні дані відповідно до закону.
Але, якщо володільцем бази персональних даних є орган державної влади чи орган місцевого самоврядування, то розпорядником бази персональних даних, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
Підстави обробки персональних даних. Обробка персональних даних працівника.
Згідно зі статтею 11 Закону підставами виникнення права на використання персональних даних є:
1) згода субєкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень. Окремої уваги потребує питання щодо підстави обробки персональних даних працівника. Відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи.
У зв’язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту).
Порядок реєстрації бази персональних даних.
Деякі питання оформлення заяви про реєстрацію бази персональних даних.
Відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
Указом Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних від 6 квітня 2011 року визначено уповноваженим державним органом з питань захисту персональних даних – Державну службу України з питань захисту персональних даних, одним із основних завдань якої є: реєстрація баз персональних даних.
Реєстрація бази персональних даних здійснюється за заявочним принципом шляхом повідомлення.
Заява про реєстрацію бази персональних даних подається володільцем такої бази або уповноваженим представником в паперовій або електронній формі, вимоги до заповнення та порядок подання якої, визначені постановою Кабінету Міністрів України «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» від 25 травня 2011 року № 616 та наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5.
Зокрема, заява про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних повинна містити інформацію про мету обробки персональних даних з визначенням категорії обробки персональних даних.
Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
З огляду на вищевикладене метою обробки персональних даних є забезпечення володільцем бази персональних даних належного здійснення діяльності, визначеної в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють його діяльність, та внаслідок якої виникає необхідність у вчиненні будь-якої дії або сукупності дій з обробки персональних даних у базах. Слід звернути увагу на те, що склад та зміст персональних даних мають бути відповідними та не надмірними стосовно визначеної мети їх обробки.
Визначення категорії обробки персональних даних залежить від вимог до обробки персональних даних, які містяться в базах персональних даних заявника.
Так, Законом передбачені загальні та особливі вимоги обробки персональних даних. Статтею 6 Закону встановлені загальні вимоги обробки всіх наявних у суспільному житті персональних даних особи, за винятком персональних даних, для яких, статтею 7 Закону визначені особливі вимоги обробки. До таких персональних даних належать дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя.
Підсумовуючи викладене, категорія обробки персональних даних визначається володільцем бази персональних даних в залежності від вимог до обробки персональних даних, що встановлені статтями 6, 7 Закону та яких володілець бази персональних даних зобов’язаний дотримуватися при обробці персональних даних.
Щодо повноважень Державної служби України з питань захисту персональних даних (далі - ДСЗПД) у сфері державного контролю за додержанням вимог законодавства про захист персональних даних.
Відповідно до Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 № 390, ДСЗПД здійснює повноваження у сфері державного нагляду та контролю за додержанням вимог законодавства про захист персональних даних:
- розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавств у сфері захисту персональних даних
- проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних
- видає володільцям та (або) розпорядникам баз персональних даних обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень
- складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних
- передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних
- здійснює контроль за дотримання правил передачі персональних даних іноземних суб’єктам відносин, пов’язаних з персональними даними.
З 1 січня 2012 року набирають чинності зміни до Кодексу України про адміністративні правопорушення та Кримінального кодексу України, якими введена адміністративна (за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються та ухилення від державної реєстрації бази персональних даних та невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних) та кримінальна відповідальність (за порушення недоторканності приватного життя стосовно незаконного збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконної зміни такої інформації), але лише за наступних умов.
1) До ДСЗПД повинна бути надіслана скарга громадянина України (при цьому скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних).
2) На підставі скарги ДСЗПД буде проведено перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних, в результаті якої буде надано припис на усунення порушень.
3) В разі невиконання припису ДСЗПД складає адміністративний протокол, який потім передається до суду.
4) На підставі адміністративного протоколу проводиться судове засідання і приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого володільцем бази персональних даних сплачується штраф.
Довідково. Ухиленням від державної реєстрації бази персональних даних не вважатиметься факт подачі володільцем бази персональних даних заяви про реєстрацію бази персональних даних до ДСЗПД до 1 січня 2012 року.
Відповідно до наданих ДСЗПД повноважень у 2012 році здійснюватимуться перевірки володільців баз персональних даних. Такі перевірки можуть бути виїзними та безвиїзними, а також плановими і позаплановими. З Планом проведення перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних можна ознайомитись на веб-сайті ДСЗПД (www.zpd.gov.ua). Позапланові перевірки будуть проводитися лише за скаргами громадян (при цьому скарга повинна бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних).
Також інформуємо, що ДСЗПД розроблено проект наказу Міністерства юстиції України «Про затвердження Положення про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних», який наразі проходить громадське обговорення, за результатами якого буде надісланий на погодження уповноваженому органу з питань регуляторної політики (Міністерство економічного розвитку і торгівлі України) у встановленому законодавством порядку. Лише після цього наказ буде поданий на підпис Міністру юстиції України. Зауважимо, що перевірки здійснюватимуться тільки після затвердження відповідного наказу.
Наголошуємо на тому, що згідно Закону України «Про захист персональних даних», контроль за додержанням законодавства про захист персональних даних покладено на уповноважений державний орган з питань захисту персональних даних, яким, згідно Указу Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних» № 390/2011, визначено Державну службу України з питань захисту персональних даних. На даний час законодавством не визначено жодного іншого органу державної влади та/або місцевого самоврядування, уповноважених на здійснення контролю за додержанням вимог законодавства про захист персональних даних.
Єдиним органом виконавчої влади, на який законом покладеного завдання щодо контролю за додержанням вимог законодавства про захист персональних даних є Державна служба України з питань захисту персональних даних, а рішення про адміністративне стягнення прийматиме лише суд.
Увага: заяви про реєстрацію бази даних Державною службою України з питань захисту персональних даних будуть прийматися також після 1 січня 2012 року.