вул. Олександра Довженка,
буд. 2
, оф. 41, м. Київ, 03057
Україна
+380 (44) 456-08-22

Обробка персональних даних: юридичний аспект



В продовженні статті про особливості реєстрації баз персональних даних пропонуємо дослідити питання юридичного супроводження діяльності компаній щодо обробки баз персональних даних.

В розумінні Закону України «Про захист персональних даних» обробка визначається як будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

 

 

Проводячи аналіз юридичного аспекту такої обробки варто виділити наступні правові режими баз персональних даних.
 

Збирання та накопичення

 

Збирання та накопичення – це дії з підбору, поєднання, впорядкування та систематизації відомостей про фізичну особу чи групу фізичних осіб та внесення їх до бази персональних даних.

Відмінність між збиранням та накопиченням полягає лише в тому, що при накопиченні інформація уже наявна у особи, наприклад, накопиченням є поєднання двох баз в одну. Відповідно до ч. 2 ст. 12 Закону суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про:

  • свої права, визначені цим Законом;
  • мету збору даних та;
  • осіб, яким передаються його персональні дані.

Відповідна стаття передбачає обов’язок повідомляти лише у випадку збирання інформації, натомість в нормі, яка встановлює порядок накопичення, обов’язок повідомляти в певні строки не визначено. Натомість, ч. 6 ст. 6 Закону визначено, що не допускається обробка, в тому числі накопичення, даних про фізичну особу без її згоди.

Тому при отриманні такої згоди варто визначати не окремі дії стосовно персональної інформації, а визначати згоду на обробку. У випадку зміни законодавства у вас не буде потреби додатково отримувати згоду на інші дії, адже особа надала згоду на будь-які дії, в тому числі на обробку її персональних даних.

Окрім того, варто пам’ятати, що персональні дані є в розумінні ч. 2 ст. 21 ЗУ «Про інформацію» конфіденційною інформацією. Відповідно до ст. 182 Кримінального кодексу України незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації караються штрафом до п'ятдесяти неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

Це ще один аргумент щодо необхідності отримання згоди на збирання та накопичення такої інформації.
 

Зберігання

 

За визначенням ч. 2 ст. 13 Закону під зберіганням персональних даних слід розуміти дії щодо забезпечення їх цілісності та відповідного режиму доступу до них. В попередніх редакціях ст. 14 ЗУ «Про інформацію» зберігання передбачало також забезпечення належного стану матеріальних носіїв інформації (магнітних, лазерних та інших носіїв інформації).

На сьогоднішній день такого обов’язку у володільців баз персональних даних немає, а тому можна говорити про відсутність відповідальності у випадку втрати носіїв інформації. Це є доволі важливим у випадку зберігання інформації з використанням віддалених носіїв інформації та із залученням третіх осіб до зберігання такої інформації (сloud storage, virtual server та ін.).
 

Адаптування

 

Попри те, що Законом визначено таку форму обробки як адаптування, розкриття змісту адаптування Закон не містить. Поняття адаптування ми також не знайдемо в інших нормативно-правових актах. Із загального розуміння, адаптуванням є зміна бази даних, що здійснюється виключно з метою забезпечення функціонування бази даних на конкретних технічних засобах користувача чи під управлінням конкретних програмних продуктів користувача. Наприклад, переведення картотек в електронну базу даних можна розглядати як адаптування. Переведення бази даних з однієї електронної форми існування в іншу також є адаптуванням (приклад Microsoft Office Access, MySQL, PostgreSQL та ін.)
 

Зміни та доповнення

 

Однією із важливих умов правомірності обробки баз персональних даних є забезпечення юридичного оформлення внесення змін та знищення баз даних чи конкретних даних.
Законом визначено декілька можливих випадків зміни та доповнення баз даних:

  • за вимогою особи, чиї дані містяться в базі даних;
  • на вимогу компетентних органів та суду;
  • з власної ініціативи;
  • на виконання вимоги ч. 2 ст. 6 Закону у випадку необхідності оновлення персональних даних.

Відповідно до ч. 3 ст. 21 Закону у випадку зміни чи знищення персональних даних володілець бази персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано. Відповідний обов’язок виникає у випадку зміни персональних даних, як за вимогою особи чи компетентних органів, так і у випадку зміни з власної ініціативи. Таким способом на володільця було покладено обов’язок відзвітувати особі про виконання її вимоги.

Окрім змін щодо змісту інформації можуть траплятися випадки необхідності оновлення певних персональних даних. Оновлення може стосуватися як ідентифікуючих відомостей (П.І.Б., ідентифікаційний номер, номер паспорта, дата народження), так й інформації, яка опосередковано сприяє ідентифікації. Прикладом такої інформації може стати назва вулиці проживання. Досить часто трапляються випадки зміни найменування вулиць, в такому випадку оновлення такої інформації є обов’язком володільця бази. За нашим переконанням, дозволу на таке оновлення не потрібно. Для уникнення зайвих непорозумінь у внутрішньому Положенні про обробку персональних даних варто детально визначити порядок такого оновлення.
 

Знищення

 

Однією із детально врегульованих форм обробки є також знищення інформації. Законом передбачено не лише право особи вимагати знищення інформації, але й право на отримання інформації про факт такого знищення.

Відповідно до ч. 2 ст. 15 Закону персональні дані в базах персональних даних підлягають знищенню у разі закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом. При отриманні згоди на обробку персональної інформації варто визначити строк зберігання даних. Рекомендуємо визначити досить значний строк або визначити безстроковість зберігання такої інформації. Варто пам’ятати, що стосовно деяких категорій інформації законодавством визначено строки їх зберігання.

На наш погляд, проблемним залишається питання знищення інформації за вимогою особи. Відповідно до ч. 3 ст. 15 Закону персональні дані, зібрані з порушенням вимог цього Закону, підлягають знищенню в базах персональних даних у встановленому законодавством порядку. Таким чином, беззаперечне знищення повинно  бути здійснено у випадку, якщо не було згоди на збирання такої інформації.

Відповідно до п. 6 ч. 2 ст. 8 Закону суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними. На даний час, законодавством не визначено яким чином повинно бути встановлено недостовірність інформації. Цивільним кодексом України визначено порядок спростування недостовірної інформації, яка була поширена про особу. В розумінні Закону про персональні дані пряме застосування відповідного порядку є не зовсім правильним. Відповідно до ч. 1 ст. 14 Закону поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних. Отже, у випадку зберігання інформації без поширення (розповсюдженням, реалізацією, передачею) застосовувати положення ст. 277 Цивільного кодексу України можна лише за аналогією. Варто пам’ятати, що якщо суд застосує відповідну аналогію, то у відповідності до ч. 3 ст. 277 Цивільного кодексу України негативна інформація, поширена про особу, вважається недостовірною, якщо особа, яка її поширила, не доведе протилежного, так званий принцип «презумпції недостовірності».

Отже, у випадку, якщо володілець отримав згоду на збирання таких даних, вимога особи про знищення такої інформації може бути залишена без розгляду до прийняття рішення суду.

У випадку знищення володілець зобов’язаний протягом 10 календарних днів сповістити суб'єкта персональних даних.

Варто також з’ясувати питання стосовно права володільця на знищення персональних даних без згоди особи. Відповідно до  п. 7 ч. 2 ст. 8 Закону суб'єкт персональних даних має право на захист своїх персональних даних від знищення. Повертаючись знову до ч. 5 ст. 6 Закону можна констатувати, знищення без згоди особи також буде вважатися порушенням законодавства. Однак законодавством не передбачена юридична відповідальність за знищення персональних даних без згоди суб'єкта персональних даних.


Догори