Передплати журнал

Захист персональних даних: практикум для кадровиків і фахівців із захисту інформації



Тема обробки і захисту персональних даних, хоч і розглядалася не раз у нашому журналі, усе ж залишається актуальною і такою, що вимагає роз’яснень.
Цикл матеріалів заступника голови ДСЗПД України Володимира Козака, який ми розпочинаємо публікувати, по суті, можна вважати повним курсом, у якому буде всебічно розглянуто питання захисту персональних даних. Автор проаналізує та проілюструє на прикладах відносини між володільцем, розпорядником та фізичною особою у контексті обробки і захисту персональних даних. Сподіваємося, що наші публікації допоможуть краще розібратися в темі і використати отримані знання на практиці.

Редакція журналу

Конституція України

Стаття 32

  • «Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.
  • Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини…»

Персональні дані. Визначення

  • «…відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована…»

Закон України «Про захист персональних даних»

  • «…будь-яка інформація, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити…»

Директива 95/46/ЄС

Відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована

Природа відомостей

  • обєктивна інформація

аналіз крові особи
заробітна плата за січень

  • субєктивна інформація

запис про кредитоспроможність
службова характеристика

ЄВРОПЕЙСЬКА ТРАДИЦІЯ ЗАХИСТУ ОСОБИ І ВІТЧИЗНЯНЕ ЗАКОНОДАВСТВО

Уперше тема захисту особи прозвучала в Загальній декларації прав людини, прийнятій на третій сесії Генеральної Асамблеї ООН і підписаній 10 грудня 1948 року.

У Декларації стверджувалося, що ніхто не може зазнавати безпідставного втручання в його особисте, сімейне життя, безпідставного посягання на недоторканність його житла, таємницю його кореспонденції або на його честь і репутацію; кожна людина має право на захист від такого втручання або таких посягань. У 1973 році Українська Радянська Соціалістична Республіка ратифікувала цю Декларацію, отже, вона почала діяти. Хоча слід зауважити, що ця норма не особливо використовувалася громадянами для захисту своїх прав.

Згодом у Конвенції про захист прав людиниі основоположних свобод, підписаній 4 листопада 1950 року (ратифікована Україною із заявами та застереженнями 17 липня 1997 року, набула чинності 11 вересня 1997 року), приблизно ті ж слова повторилися в статті 8 цієї Конвенції: «Кожен має право на повагу до свого приватного сімейного життя, до свого житла і кореспонденції. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві, в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб».

Чому цей документ такий важливий? Ми знаємо, що діє Європейський Суд з прав людини, який розглядає різні справи, у т. ч. й справи за статтею 8 щодо захисту персональних даних. За останній період було розглянуто понад 30 справ, за якими прийнято рішення стосовно захисту персональних даних. Україна, ратифікувавши цю Конвенцію № 108, теж узяла на себе відповідні зобов’язання, і, власне кажучи, громадяни України, захищаючи своє право на персональні дані, можуть звертатися й до Європейського Суду.

Надалі слова про захист прав людини прозвучали у 1996 році у статті 32 Конституції України: «Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини».

Указана норма Конституції діяла увесь цей час і діє, звичайно, зараз. Крім того, різні закони тією чи іншою мірою повторювали її. Зокрема, є норма про лікарську таємницю, таємницю усиновлення, адвокатську таємницю і т. д. Тобто в різних законах відбивалась потреба захищати приватне життя. Не було лише спеціального закону. І такий закон з’явився. Ним став Закон «Про захист персональних даних» № 2297-VI, який був прийнятий 1 червня 2010 року, практично одночасно із ратифікацією Конвенції про захист осіб стосовно автоматизованої обробки даних особистого характеру (далі — Конвенція № 108). Вона була ратифікована Законом від 6 липня 2010 ро­ку № 2438-VI і є частиною українського законодавства. У принципі, все, що закладено в цій Конвенції, може використовуватися в нашому житті.

Чому був прийнятий Закон «Про захист персональних даних»? Насамперед тому, що Україна долучилася до процесу підписання документів з Європейським Союзом. А оскі­ль­ки в Конституції України питання захисту персональних даних теж вирішувалося, то й не було жодних заперечень проти прийняття спеціального закону. Слід зауважити, що протягом минулого року, коли почав діяти Закон «Про захист персональних даних», було багато контраверсійних думок і пропозицій щодо внесення змін до нього.

У Законі «Про захист персональних даних» використовуються положення, які існують у Директиві 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року. Треба сказати, що Директива 95/46/ЄС для країн ЄС є базовим документом, а для інших країн імплементуються окремо законодавством. Тобто вона не є нормативним актом прямої дії.

Перейдемо до основних положень Закону «Про захист персональних даних».

ВИЗНАЧЕННЯ ТЕРМІНІВ ЗАКОНУ «ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ»

«Персональні дані»
Відповідно до статті 2 Закону «Про захист персональних даних», «персональні дані відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Це визначеннямайже тотожне визначенню, поданому в Конвенції № 108 і Директиві 95/46/ЄС.

Порівняйте визначення у Законі «Про захист персональних даних» та Директиві 95/46/ЄС. Вони практично не відрізняються.
Визначення надзвичайно широке. Воно не є конкретним і бути таким не може. За 30 років з часу підписання 28 січня 1981 року Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних (ратифікована Україною 6 липня 2010 року, набула чинності для України 1 січня 2011 року) № 108 багато чого змінилося. Те, що не було персональними даними, стало ними завдяки стрімкому розвитку інформаційних технологій.

Таким чином, поняття має бути настільки широким, щоб охопити всі процеси обробки відомостей про особу, які існують сьогодні, про які ми знаємо, і ті процеси, які настануть завтра і які підпадатимуть під це визначення.
Визначення поняття «персональні дані» розберемо більш детально. Воно складається з чотирьох частин:
1) «відомості чи сукупність відомостей»;
2) «про фізичну особу»;
3) «фізична особа»;
4) «ідентифікована або може бути конкретно ідентифікована».

«Відомості чи сукупність відомостей»
За природою відомості чи сукупність відомостей про особу можуть мати об’єк­тивний або суб’єктивний характер.

Наприклад, об’єктивна інформація: аналіз крові особи, кардіограма, заробітна плата, зафіксована у відомості, та ін.

Суб’єктивна інформація, наприклад службова характеристика. Вона може відображати суб’єктивну точку зору того, хто її написав, скажімо, керівника, у якого може бути конфлікт з працівником. Але від цього інформація не перестає бути персональною інформацією, тому що вона стосується безпосередньо того, про кого написана характеристика.

За змістом відомості можуть відображати приватне чи сімейне життя або відомості про заняття особи. Тобто це можуть бути відомості, пов’язані з трудовими відносинами, соціальною поведінкою, або такі, що свідчать про те, замовником чи виконавцем є особа, і т. д.

Водночас, незалежно від того, у якій сфері виникають відносини, які вимагають обробки відомостей про особу, такі відомості є персональними даними.

Окремо виділяють так звану «чутливу інформацію». У Законі «Про захист персональних даних» це визначено як особливі вимоги до обробки певних категорій персональних даних. Це відомості про расове, етнічне походження, політичні, релігійні, світоглядні переконання, здоров’я, статеве життя, членство у політичних партіях, профспілках.

Слід зауважити, що в Конвенції № 108 до «чутливої інформації» відносять і «відомості про судимість».

У Директиві 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» відсутнє «членство у політичних партіях», тобто у більшості європейських країнах членство у політичних партіях є публічною інформацією.

Відомості про особу можуть бути будь-якими за формою. Очевидно, що найбільш часто використовується, чи зустрічається, алфавітноцифровий формат: таблиці, тексти, повідомлення і т. д., тобто те, що зручно обробляти в такому вигляді засобами автоматизованої обробки.

Може бути графічний формат: графіки, шаржі, карикатури, фото, звукові записи, а також відеозаписи, кінозаписи і т. д.
Незалежно від того, в якому форматі інформація зберігається, в якому середовищі вона обробляється: чи це відеозображення, чи паперові носії, чи просто обробка файлів у комп’ютерній системі, — все одно ця інформація є персональними даними.

«Про фізичну особу»
Відомості можуть стосуватися фізичної особи безпосередньо або опосередковано. Безпосередньо — це коли, наприклад, йдеться про чиюсь конкретну особову справу, скажімо, Іваненка Івана Івановича. Або, наприклад, про історію хвороби Петренка, або банківський рахунок з номером, ідентифікаційним кодом конкретної особи.

Однак часто бувають випадки, коли інформація стосується нас опосередковано. Наприклад, ведеться реєстр нерухомого майна, а в нього є власники, особи, які його обслуговували, робили ремонт. Опосередковано ці відомості стосуються і цих людей.

Або, скажімо, ведеться відеоспостереження у супермаркеті. Ніхто там не здійснює відеоспостереження за конкретною особою, а лише за торговим залом. Але якщо ми проходимо у торговому залі, то залишається не лише наше відеозображення, а й інформація про те, коли і з ким були в магазині, які товари купували, які роздивлялися, який у нас був настрій у цей час, який номер набирали по телефону, та багато іншої інформації.

«Фізична особа»
Відповідно до статті 24 Цивільного кодексу України «Людина як учасник цивільних відносин вважається фізичною особою».

Звернути увагу
Інформація про померлу людину не є її персональними даними.

Цивільна правоздатність фізичної особи виникає в момент її народження і припиняється в момент смерті.
«Інтереси зачатої, але ще не народженої дитини» можуть бути визнані як інтереси фізичної особи. Це означає, що персональні дані про протікання вагітності у деяких випадках можуть розглядатися не лише як персональні дані мами, а як персональні дані особи, яка потім виросла і досягла відповідного віку.

_____________________________________________________________________________________________________________________

Приклад

Суд однієї з європейських країн визнав, що нанесено шкоду особі, дитячі малюнки якої залишилися в дитячому садочку і були згодом використані. Особа виросла, знайшли її малюнки, роздрукували, і психологи за малюнками (проаналізувавши, де хатинка намальована — справа, зліва, зверху, якими шрифтами) зробили психологічний портрет цієї особи. Це було визнано незаконним втручанням у приватне життя.

______________________________________________________________________________________________________________________

«Ідентифікована або може бути конкретно ідентифікована»
Особа може бути ідентифікована прямо і опосередковано. Якщо на якомусь документі чи у файлі вказано прізвище, ім’я, по батькові або якась додаткова інформація, дата народження, фото, місце народження, то, ясна річ, особу можна прямо ідентифікувати.

Закон «Про захист персональних даних» містить фразу: «може бути конкретно ідентифікована». Для визначення того, чи можна особу встановити, мають враховуватися всі засоби, використання яких ймовірно очікувати для її встановлення. До початку обробки персональних даних той, хто їх обробляє, зобов’язаний визначити, які дані будуть вважатися персональними.

Не слід забувати, що якщо до персональних даних відносити дуже багато інформації, то, відповідно, збільшаться затрати на їх обробку і захист, якщо ж перелік таких даних звести до мінімуму, то існуватимуть ризики, що можна випадково завдати шкоду фізичним особам.

____________________________________________________________________________________________________________________

Приклад

Стосовно такого поняття, як «ІР-адреса» в європейських країнах відбувалися суди, які визнавали, що ІР-адреса — це персональні дані особи. Останній суд був у листопаді минулого року. Позов на користувача, який незаконно «завантажував» музику, подала компанія, яка захищає права власності на музичні твори. Щоб знайти цього користувача, треба було з’ясувати, яка у нього ІР-адреса. Суд визнав, що нема підстав для видачі ІР-адреси, оскільки це приватні персональні дані користувача. Тобто в черговий раз було визнано, що ІР-адреса — це персональні дані.

____________________________________________________________________________________________________________________

В Україні більшість телекомунікаційних компаній погодилися, що номер телефону і номер мобільного абонента, навіть того, який не уклав письмову угоду, а використовує послуги передоплаченого зв’язку, придбавши стартовий пакет, — це персональні дані. У цьому випадку абсолютно очевидно, що особа може бути конкретно ідентифікована. Найпростіший спосіб ідентифікації — зателефонувати за номером і запитати: «Ви хто?»

Можуть бути, звичайно, значно складніші процедури ідентифікації, але все ж при певних зусиллях особа може бути ідентифікована.
Є й інші способи ідентифікації. Наприклад, через генетичні дані. Ще кілька десятків років тому ніхто не вважав генетичні коди персональними даними. А на сьогодні таке визначення є досить поширеним, і через визначення генетичного коду особа може бути конкретно ідентифікована.

У Директиві 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» є таке положення: «Для визначення того, чи можна особу встановити, повинні враховуватися всі засоби, використання яких контролером чи будь-якою іншою особою ймовірно очікувати для встановлення вищезгаданої особи». Це означає, що різні суб’єкти мають можливість використовувати різні засоби для встановлення особи. Тобто в різних ситуаціях підхід до процедури ідентифікації буде різний.
Не викликає жодних сумнівів, що реєстрація на будь-якому сайті без конкретного прізвища, а лише за псевдонімом — є обробкою персональних даних.

_______________________________________________________________________________________________________________________

Приклад

В Україні провадяться дослідження лікарських засобів. У відповідних медичних документах є закодована інформація про особу, яка погодилася брати участь у дослідженні. Згодом інформація про перебіг її хвороби, про те, як ліки діяли на піддослідного, передається у компанію, яка замовила дослідження. І хоча в документах, переданих замовникові, не зазначено прізвищ та імен, але за кодом, назвою лікувального закладу при певних умовах можна ідентифікувати особу.

_________________________________________________________________________________________________________________________

У наступній статті розглядатимуться принципи обробки персональних даних і форми надання згоди на їх обробку.

Продовження в наступних номерах

Матеріали до теми


Судова практика розгляду трудових спорів під час воєнного стану: надання відпустки без збереження заробітної плати, призупинення трудових відносин, виплата заборгованості із заробітної плати
У зв’язку з прийняттям 15 березня 2022 року Закону України № 2136-IX «Про організацію трудових відносин в умовах воєнного стану» ...
Табелювання мобілізованого працівника та працівника, який перебуває у відпустці без збереження заробітної плати
Ситуація У табелі обліку робочого часу мобілізованим працівникам робочі дні проставляємо «ІН», вихідні — пусте значення. Відпустку без збереження заробітної ...