«Чи буде законною обробка персональних даних та у яких випадках?»

Оксана Полотнянко

адвокат, Голова Секції захисту персональних даних

та права на доступ до інформації

Комітету захисту прав людини НААУ

Уже давно було актуальним питання щодо оброблення персональних даних громадян, а ще більш важливою була проблема захисту персональних даних.

Великі сумніви й недовіра існували в громадян (фізичних та юридичних осіб) щодо впровадження цілої системи оброблення ПД та дотримання при цьому чинного законодавства, яке гарантує захист ПД. Зважаючи на це, із моменту прийняття ЗУ «Про захист персональних даних» не було конкретизовано багато питань.

У Верховній Раді України зареєстровано законопроєкт
№5628 від 07.06.2021 року про захист персональних даних

Необхідність прийняття акта: чинним законодавством не охоплено низку питань, що виникають на практиці (наприклад, спільна обробка персональних даних різними юридичними особами, відносини субпідряду при обробці персональних даних, обробка персональних даних у мережі Інтернет тощо).

Нагадаємо, що обробка персональних даних – це будь-яка дія від збирання до знищення персональних даних. Тобто й реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання, поширення (розповсюдження, реалізація, передача), знеособлення тощо (стаття 2 Закону України «Про захист персональних даних»).

Статтею 6 Закону України «Про захист персональних даних» встановлені загальні вимоги до обробки персональних даних. Під обробкою, серед іншого, варто розуміти як збирання, так і поширення (розповсюдження, передачу) персональних даних (стаття 2 Закону України «Про захист персональних даних»).

Зокрема, частиною п’ятою статті 6 Закону України «Про захист персональних даних» визначено, що обробка персональних даних повинна здійснюватися для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, установленому законодавством.

Водночас частина шоста цієї статті дублює конституційні положення та говорить, що обробка даних про фізичну особу, які є конфіденційною інформацією, не допускається без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Обов’язково під час обробки даних необхідно враховувати їхню категорію та застосовувати відповідні рівні безпеки. Крім того, у разі обробки даних, які становлять ризик для прав і свобод людини (особливої категорії даних), розпорядники персональних даних повинні повідомити Уповноваженого Верховної Ради України з прав людини про структурний підрозділ або відповідальну особу, яка організовує роботу з даними. Із Порядком повідомлення Уповноваженого з прав людини можна ознайомитися на офіційному сайті.

Частиною першою статті 11 Закону України «Про захист персональних даних» визначено вичерпний перелік підстав для обробки, у тому числі передачі й поширення персональних даних особи, у свою чергу частиною другою статті 7 цього Закону вичерпний перелік підстав для обробки так званих «чутливих» персональних даних (відомостей про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних).

При цьому, як випливає з положень частини другої статті 7 та частини першої статті 11 Закону України «Про захист персональних даних», згода суб’єкта персональних даних є лише однією з підстав для такої обробки, а за наявності підстав, передбачених пунктами 2–8 частини другої статті 7 та пунктами 2–6 частини першої статті 11 цього Закону, обробка персональних даних здійснюється без згоди суб’єкта персональних даних.

Отже, що пропонує законопроект про захист персональних даних №5628 від 07.06.2021 року

! Обробка персональних даних Є ЗАКОННОЮ:

у разі надання згоди суб’єктом персональних даних на обробку його персональних даних для однієї або кількох точно визначених цілей;
укладення та виконання правочину, стороною якого є суб’єкт персональних даних або для здійснення заходів, що необхідні для укладення правочину, на вимогу суб’єкта персональних даних;
необхідності виконання юридичного обов’язку контролера персональних даних;
захисту життєво важливих інтересів суб’єкта персональних даних або іншої фізичної особи;
необхідності виконання завдань у суспільних інтересах або повноважень, покладених на контролера законом;
необхідності для цілей легітимного інтересу контролера або третьої особи, крім випадків, коли такі інтереси не переважають інтереси або основоположні права та свободи суб’єкта персональних даних, які вимагають захисту персональних даних, особливо, якщо суб’єктом персональних даних є дитина.

! ЗАБОРОНЯЄТЬСЯ ОБРОБКА ЧУТЛИВИХ ПЕРСОНАЛЬНИХ ДАНИХ, а саме: даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в професійних спілках, а також генетичних та біометричних даних; даних, що стосуються здоров'я, статевого життя або сексуальної орієнтації, психометричних даних.

1. Проект Закону врегульовує питання обробки персональних даних у мережі Інтернет, під час здійснення відеоспостереження або відеофіксації публічних заходів, обробки персональних даних у цілях прямого маркетингу, при прийомі на роботу, обробки персональних даних правоохоронними органами.

2. Посилено права суб’єкта персональних даних щодо обробки його персональних даних. Передбачено право на забуття, право на заперечення проти обробки персональних даних, на право на обмеження обробки персональних даних, право на мобільність персональних даних, право на захист від автоматизованого прийняття рішення та право на захист своїх прав та відшкодування шкоди та механізм захисту прав у випадку їхнього порушення контролером або оператором,

3. Деталізовано й конкретизовано права, обов’язки та відповідальність контролера та оператора персональних даних щодо обробки персональних даних на території України та передачі персональних даних іншим державам або міжнародним організаціям.

4. Особливу увагу приділено окремим питанням, що не врегульовані раніше і потребують удосконалення: обробка даних померлих осіб, робота з архівними даними, обігу даних у сфері електронних комунікацій, у трудовій та правоохоронній сфері.

! Законопроект визначає таємницю приватного спілкування, що охоплює:

міст спілкування;
дані трафіку;
дані про місцезнаходження споживача електронних комунікаційних послуг, до яких належать будь-які дані, що обробляються при наданні електронних комунікаційних послуг, у тому числі, щодо розташування термінального обладнання;
факти та обставини, за яких мало місце припинення або невстановлення з’єднання.

Дещо про стандарти ЄСПЛ щодо захисту персональних даних

ЄСПЛ указав, що це непропорційне втручання в право заявника, що не було необхідним у демократичному суспільстві, тому є порушення.

Щоб вирішити, чи втручання держави в право людини на приватність є законним, потрібно «пройти» трискладовий тест – чи таке обмеження (втручання): відповідає закону; переслідує законну мету; а також є необхідним у демократичному суспільстві для досягнення законної мети.

ЄСПЛ вказує, що за державою повинна зберігатися певна свобода розсуду стосовно встановлення справедливого балансу між відповідними громадськими та приватними інтересами, які суперечать один іншому. Однак така свобода розсуду супроводжується європейським наглядом і її рамки залежать від характеру й значимості порушених інтересів, а також серйозності втручання.

Сьогодні найбільш дієвим способом захисту своїх персональних даних є самостійний контроль, кому та з якою метою ці дані передаються. Забезпечити абсолютний захист персональних даних наразі не може жодна держава у світі, проте особа може обмежити обсяг тих відомостей, на обробку яких вона надає згоду. Персональні дані повинні оброблятися лише на підставі Згоди суб'єкта, а за її відсутності — Закону.