Закон України "Про захист персональних даних" (далі - Закон) був прийнятий 01.06.2010 та набрав чинності з 01.01.2011. Метою закону є захист права на невтручання в особисте життя у зв’язку з обробкою персональних даних. Відповідно до вебсайту законодавства України починаючи з 2011 року було внесено вже 23 зміни до цього Закону.
У цій публікації ми розглянемо питання правового регулювання захисту персональних даних в Україні, основні поняття, принципи, підстави обробки, права, обов’язки і відповідальність. А також згадаємо, на що звернути увагу.
Перш за все треба розуміти, що таке персональні дані.
Що таке персональні дані?
Конституційний Суд України, даючи офіційне тлумачення частин першої, другої статті 32 Конституції України, вважає, що інформація про особисте та сімейне життя особи (персональні дані про неї) - це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім’ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Більш детально про об'єкти захисту та винятки визначено у статті 5 Закону.
Що таке обробка?
Обробка персональних даних - це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється в електронній та паперовій формі.
Основними суб'єктами відносин, пов'язаних із персональними даними, є:
- Володілець персональних даних - це той, хто визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки (той хто обробляє дані). Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі. У статті 4 Закону є низка особливостей щодо відносин між ними.
- Розпорядник персональних даних - це особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.
- Суб'єкт персональних даних - це фізична особа, персональні дані якої обробляються.
Ще є третя особа (той, кому володілець чи розпорядник персональних даних здійснює передачу персональних даних, якщо є на це правові підстави).
А також одним із суб'єктів відносин є контролюючий орган у сфері захисту персональних даних - Уповноважений Верховної Ради України з прав людини, повноваження якого визначені у статті 23 Закону.
Які є вимоги до обробки персональних даних?
Тут коротко не напишеш. Треба багато читати і розбиратись. Якщо коротко говорити, то Законом визначено загальні та особливі вимоги до обробки персональних даних. Також є різні вимоги і обов'язки у різних статтях Закону. Зрозуміло, що цих всіх вимог треба дотримуватись.
Обробка персональних даних має ґрунтуватись на меті, правових підставах, склад даних має бути адекватним, ненадмірним (мінімальним для мети), має бути забезпечено захист даних, права суб'єкта тощо.
Є категорія "чутливих даних" (обробка яких становить особливий ризик для прав і свобод суб’єктів персональних даних - стан здоров'я, біометричні дані та багато інших) і до їх обробки застосовуються ще й особливі вимоги.
У даному разі рекомендую уважно почитати, зокрема, статті 6, 7, 9, 24 Закону і Порядки, наведені нижче.
Також щодо вимог до обробки персональних даних, то наказом Уповноваженого Верховної Ради України з прав людини прийнято наказ від 08.01.2014 № 1/02-14 "Про затвердження документів у сфері захисту персональних даних", яким затверджено три важливі документи:
- Типовий порядок обробки персональних даних;
- Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних;
- Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.
Питання доступу до персональних даних врегульовано у статті 16 Закону, а питанню міжнародного співробітництва та передачі персональних даних іноземним суб'єктам відносин також присвячена стаття 29 Закону.
P.S. Краще почитайте весь Закон :)
Які правові підстави для обробки персональних даних містить стаття 11 Закону?
Підставами для обробки персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
4) захист життєво важливих інтересів суб’єкта персональних даних;
5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
6) необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
Які права в суб'єкта персональних даних?
Суб'єкт персональних даних має право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.
Ще два абзаци.
Підсумовуючи зазначу, що володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом. Статтею 188-39 Кодексу України про адміністративні правопорушення передбачена відповідальність за порушення законодавства у сфері захисту персональних даних. Також статтею 182 Кримінального кодексу України передбачена відповідальність за порушення недоторканності приватного життя.
03.12.2023
Немає коментарів:
Дописати коментар