Уповноваженим Верховної Ради України з прав людини (далі - Уповноважений) листом від 03.03.2014 р. N 2/9-227067.14-1/НД-129 роз’яснено окремі положення законодавства щодо захисту персональних даних
Щодо необхідності отримувати згоду на обробку персональних даних
Статтею 11 Закону визначений перелік підстав для обробки персональних даних, однією з яких є згода суб'єкта персональних даних на обробку його персональних даних.
Виключення поняття "згода на обробку персональних даних" із Закону не позбавляє можливості використовувати інші механізми щодо забезпечення його застосування. Так, відповідно до пунктів 4 та 6 частини першої статті 23 Закону Уповноважений у сфері захисту персональних даних затверджує нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом, та надає рекомендації щодо практичного застосування законодавства про захист персональних даних, роз'яснює права і обов'язки відповідних осіб за зверненням суб'єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб.
Відповідно до зазначених положень законодавства наказом Уповноваженого від 08.01.2014 р. N 1/02-14 "Про затвердження документів у сфері захисту персональних даних" (далі - наказ Уповноваженого) затверджено:
- Типовий порядок обробки персональних даних;
- Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних;
- Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.
Зазначені нормативно-правові акти опубліковані на офіційному сайті Уповноваженого (http://www.ombudsman.gov.ua), до кожного з цих актів надано відповідні роз'яснення. Зокрема, у Роз'ясненнях до Типового порядку обробки персональних даних надано визначення поняття "згода на обробку персональних даних" та розтлумачено порядок її надання (отримання).
Так, згода суб'єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій чи електронній Формі.
Отже, володільцям та розпорядникам персональних даних отримувати згоду на обробку таких даних доведеться, зокрема, у тих випадках, коли існує потреба для обробки цих даних, а інші передбачені статтею 11 Закону підстави для обробки таких даних не поширюються на цей випадок обробки даних.
Щодо визначення "особливого ризику для прав і свобод суб'єктів персональних даних"
На виконання вимог статей 9, 22, 23, 24 Закону наказом Уповноваженого затверджено Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації (далі - Порядок повідомлення).
У пункті 1.2 Порядку повідомлення визначено, що обробкою персональних даних, що становить особливий ризик для прав і свобод суб'єктів, є будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про:
- расове, етнічне та національне походження;
- політичні, релігійні або світоглядні переконання;
- членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
- стан здоров'я;
- статеве життя;
- біометричні дані;
- генетичні дані;
- притягнення до адміністративної чи кримінальної відповідальності;
- застосування щодо особи заходів в рамках досудового розслідування;
- вжиття щодо особи заходів, передбачених Законом України "Про оперативно-розшукову діяльність";
- вчинення щодо особи тих чи інших видів насильства;
- місцеперебування та/або шляхи пересування особи (відповідно до роз’яснення Уповноваженого в дану категорію не потрапляє інформація про місце проживання, місце реєстрації, службові та інші відрядження та поїздки).
Таким чином, основним критерієм при визначенні того, чи становить певна обробка такий ризик, є те, які категорії персональних даних обробляються. При цьому обробка вважатиметься такою, що становить особливий ризик для прав і свобод суб'єктів персональних даних, у разі якщо: склад персональних даних про особу, які обробляються володільцем, включає відомості вказаного вище змісту (пункт 1.2 Порядку повідомлення), або коли володільцем обробляються персональні дані певної категорії суб'єктів, яку можна виділити за вказаним у пункті 1.2 Порядку повідомлення критерієм. Про це більш детально зазначено у Роз'ясненнях основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, що додаються до Порядку повідомлення і опубліковані на офіційному сайті Уповноваженого.
Щодо здійснення захисту персональних даних, про обробку яких повідомляти Уповноваженого не потрібно
Зобов'язання забезпечити захист персональних даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних, закріплено у частині першій статті 24 Закону, поширюється на всіх володільців, розпорядників персональних даних та третіх осіб і не залежить від необхідності повідомляти Уповноваженого про обробку персональних даних, що становить особливий ризик для прав і свобод суб'єктів персональних даних.
При цьому володільці, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог, визначених Законом та Типовим порядком обробки персональних даних.
Щодо вчинення з 01.01.2014 р. дій з базами персональних даних, зареєстрованими до вказаної дати
Наразі з 01.01.2014 р. процедури реєстрації баз персональних даних відповідно до вимог чинної редакції Закону немає. При цьому вимога щодо повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, поширюється на всіх володільців, які здійснюють таку обробку персональних даних, незалежно від того, була ними зареєстрована в попередній період відповідна база персональних даних чи ні.
При цьому обробка персональних даних повинна здійснюватись з дотриманням вимог чинного законодавства у сфері захисту персональних даних.
Щодо реєстрації баз персональних даних, утворених до 01.01.2014 р.
З 01.01.2014 р. відповідно до вимог чинної редакції Закону процедура реєстрації баз персональних даних замінена обов'язком володільців персональних даних повідомляти Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних. У зв'язку з цим володільцям персональних даних необхідно провести аналіз процесів обробки цих даних на предмет їх віднесення до таких, що становлять особливий ризик для прав і свобод суб'єктів персональних даних, та за його результатом прийняти відповідне рішення про повідомлення Уповноваженого і, в разі необхідності, подати відповідну заяву за формою, встановленою у додатку 1 до Порядку повідомлення.
Також слід звернути увагу, що з 01.01.2014 р. законодавством не встановлено юридичну відповідальність за нереєстрацію баз персональних даних, у тому числі й тих, що були створені, але не були зареєстровані до 01.01.2014 р.
Щодо можливості Уповноваженого накладати штрафи за порушення, допущені до 01.01.2014 р.
Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, покладається на Уповноваженого лише з набранням чинності Законом України від 03.07.2013 р. N 383-VII "Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних" (далі - Закон N 383-VII), тобто з 01.01.2014 р. Законом N 383-VII внесено зміни також і до Кодексу України про адміністративні правопорушення (фактичне викладення статей 188 39 та 188 40 в новій редакції). При цьому відповідно до статті 8 Кодексу України про адміністративні правопорушення закони, які пом'якшують або скасовують відповідальність за адміністративні правопорушення, мають зворотну силу, тобто поширюються і на правопорушення, вчинені до видання цих законів. Таким чином, за вчинення діянь, які визначались як адміністративні правопорушення до 01.01.2014 р., а після цієї дати вже не відносяться до таких правопорушень, з 01.01.2014 р. до юридичної відповідальності особи не можуть бути притягнені.
Крім того, статтею 38 Кодексу України про адміністративні правопорушення передбачено, що адміністративне стягнення може бути накладено не пізніш, як через два місяці з дня вчинення правопорушення, а при триваючому правопорушенні - не пізніш, як через два місяці з дня його виявлення, за винятком випадків, коли справи про адміністративні правопорушення відповідно до цього Кодексу підвідомчі суду (судді). Якщо справи про адміністративні правопорушення відповідно до цього Кодексу чи інших законів підвідомчі суду (судді), стягнення може бути накладено не пізніш, як через три місяці з дня вчинення правопорушення, а при триваючому правопорушенні - не пізніш, як через три місяці з дня його виявлення, крім справ про адміністративні правопорушення, зазначені у частині третій цієї статті.
Слід звернути увагу, що відповідно до пункту 10 частини першої статті 23 Закону Уповноважений складає протоколи про притягнення до адміністративної відповідальності та направляє їх до суду у випадках, передбачених законом.
Отже, Уповноваженим може бути складено протокол про притягнення до адміністративної відповідальності за ті діяння, які визнаються адміністративними правопорушеннями згідно з чинним законодавством і вчинені чи виявлені, відповідно, у строки, встановлені частиною другою статті 38 Кодексу України про адміністративні правопорушення.