Статтею 32 Конституції України проголошено право людини на невтручання у її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

З метою конкретизації права людини, гарантованого статтею 32 Конституції України, та визначення механізмів його реалізації, 1 червня 2010 року Верховною Радою України було прийнято Закон України «Про захист персональних даних» (далі — Закон), який набрав чинності з 1 січня 2011 року. Предметом правового регулювання Закону є правовідносини, пов’язані із захистом персональних даних під час їх обробки.

Дія цього Закону не поширюється лише на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:

• • фізичною особою — тільки для непрофесійних особистих чи побутових потреб;
  • журналістом — у зв’язку з виконанням ним службових чи професійних обов’язків;
  • професійним творчим працівником — для здійснення творчої діяльності.

Поняття «персональні дані» у сенсі Закону

Визначення поняття «персональні дані» наводиться в абзаці восьмому статті 2 Закону, відповідно до якого персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Але законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій, у тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому у зв’язку зі зміною у технологічній, соціальній, економічній та інших сферах суспільного життя.

Згода суб’єкта персональних даних та вимоги до її оформлення

Обробка персональних даних, відповідно до частини 5 статті 6 Закону, здійснюється з конкретною і законною метою, визначеною за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Так, відповідно до абзацу п’ятого статті 2 Закону згодою суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

Згідно з вимогами Закону згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію щодо: мети та конкретних цілей обробки персональних даних (ст. 2 Закону), обсягу персональних даних (ст. 6 Закону), порядку використання персональних даних (ст. 10 Закону), порядку поширення персональних даних (ст. 14 Закону), порядку доступу до персональних даних третіх осіб (ст. 16 Закону).

Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Закон також дозволяє здійснювати обробку персональних даних без згоди суб’єкта персональних даних, якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. У такому випадку обробляти персональні дані без згоди суб’єкта персональних даних можна до того часу, коли отримання згоди стане можливим.

Поняття «база персональних даних» у сенсі Закону

Поняття «база персональних даних» визначене абзацом другим статті 2 Закону, відповідно до якої база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

З огляду на це, база персональних даних в електронній формі — організована сукупність логічно пов’язаних даних про фізичних осіб, що зберігаються та обробляються відповідним програмним забезпеченням, а картотека персональних даних — систематизоване зібрання паперових носіїв інформації, що містять відомості про фізичних осіб, які є персональними даними у сенсі статті 2 Закону.

Зазначимо, що виходячи з положень статті 2 Закону персональні дані одночасно можуть бути упорядковані і в електронній формі, і в формі картотек.

Володілець та розпорядник бази персональних даних

Володільцем бази персональних даних, згідно з абзацом третім статті 2 Закону, є фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначене законом, а її розпорядником, згідно з абзацом дев’ятим статті 2 Закону, ― фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

Згідно зі статтею 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи й організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, які обробляють персональні дані відповідно до закону.

Але якщо володільцем бази персональних даних є орган державної влади чи орган місцевого самоврядування, то розпорядником бази персональних даних, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Підстави обробки персональних даних. Обробка персональних даних працівника

Згідно зі статтею 11 Закону підставами виникнення права на використання персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону тільки для здійснення його повноважень.

Окремої уваги потребує питання щодо підстави обробки персональних даних працівника.

Відповідно до статті 24 Кодексу законів про працю України громадянин під час укладання трудового договору зобов’язаний подати паспорт чи інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, — також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи.

У зв’язку з цим персональні дані працівника, які містяться у паспорті або документі, що посвідчує особу, у трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та інших документах, які він подав під час укладання трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України тільки для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли у нього з працівником на підставі трудового договору (контракту).

Порядок реєстрації бази персональних даних

Деякі питання оформлення заяви про реєстрацію бази персональних даних

Відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Указом Президента України від 6 квітня 2011 року «Про затвердження Положення про Державну службу України з питань захисту персональних даних» уповноваженим державним органом з питань захисту персональних даних визначено Державну службу України з питань захисту персональних даних, одним із основних завдань якої є реєстрація баз персональних даних.

Реєстрація бази персональних даних здійснюється за заявочним принципом шляхом повідомлення.

Заява про реєстрацію бази персональних даних подається володільцем такої бази або уповноваженим представником у паперовій чи електронній формі, вимоги до заповнення та порядок подання якої визначено Постановою Кабінету Міністрів України від 25 травня 2011 року №616 «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» та наказом Міністерства юстиції України від 8 липня 2011 року №1824/5 Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання

Зокрема, заява про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних повинна містити інформацію про мету обробки персональних даних з визначенням категорії обробки персональних даних.

Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

З огляду на вищевикладене, метою обробки персональних даних є забезпечення володільцем бази персональних даних належного здійснення діяльності, визначеної у законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють його діяльність, та внаслідок якої виникає необхідність у вчиненні будь-якої дії або сукупності дій з обробки персональних даних у базах. Звертаємо увагу, що склад та зміст персональних даних мають бути відповідними та не надмірними щодо визначеної мети їх обробки.

Визначення категорії обробки персональних даних залежить від вимог до обробки персональних даних, які містяться в базах персональних даних заявника.

Так, Законом передбачено загальні та особливі вимоги обробки персональних даних. Статтею 6 Закону встановлено загальні вимоги обробки всіх наявних у суспільному житті персональних даних особи, за винятком персональних даних, для яких статтею 7 Закону визначено особливі вимоги обробки. До таких персональних даних належать дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство у політичних партіях та професійних спілках, а також даних щодо здоров’я або статевого життя.

Підсумовуючи викладене, категорія обробки персональних даних визначається володільцем бази персональних даних залежно від вимог до обробки персональних даних, встановлених статтями 6, 7 Закону, яких володілець бази персональних даних зобов’язаний дотримуватися під час обробки персональних даних.

Щодо повноважень Державної служби України з питань захисту персональних даних (далі — ДСЗПД) у сфері державного контролю за додержанням вимог законодавства про захист персональних даних

Відповідно до Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 р. №390 Про Положення про Державну службу України з питань захисту персональних даних, ДСЗПД здійснює повноваження у сфері державного нагляду та контролю за додержанням вимог законодавства про захист персональних даних:

• — розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавств у сфері захисту персональних даних;
• — проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
• — видає володільцям та (або) розпорядникам баз персональних даних обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації і документів, що підтверджують усунення виявлених порушень;
• — складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
• — передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;
• — здійснює контроль за дотримання правил передачі персональних даних іноземних суб’єктам відносин, пов’язаних з персональними даними.

З 1 січня 2012 року набирають чинності зміни до Кодексу України про адміністративні правопорушення та Кримінального кодексу України, якими запроваджено адміністративну (за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, та ухилення від державної реєстрації бази персональних даних і невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних) та кримінальну відповідальність (за порушення недоторканності приватного життя щодо незаконного збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконної зміни такої інформації), але лише за таких умов.

• 1) до ДСЗПД має бути надіслана скарга громадянина України (при цьому скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних);
• 2) на підставі скарги ДСЗПД буде проведено перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних, внаслідок якої буде надано припис на усунення порушень;
• 3) у разі невиконання припису ДСЗПД складає адміністративний протокол, який потім передається до суду;
• 4) на підставі адміністративного протоколу проводиться судове засідання і приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого володільцем бази персональних даних сплачується штраф.

Довідково:

Ухиленням від державної реєстрації бази персональних даних не вважатиметься факт подання володільцем бази персональних даних заяви про реєстрацію бази персональних даних до ДСЗПД до 1 січня 2012 року.

Відповідно до наданих ДСЗПД повноважень у 2012 році здійснюватимуться перевірки володільців баз персональних даних. Такі перевірки можуть бути виїзними та безвиїзними, а також плановими та позаплановими. Із Планом проведення перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних можна ознайомитись на веб-сайті ДСЗПД (www.zpd.gov.ua). Позапланові перевірки проводитимуться лише за скаргами громадян (при цьому скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних).

Також інформуємо, що ДСЗПД розроблено проект наказу Міністерства юстиції України «Про затвердження Положення про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних», який наразі проходить громадське обговорення, за результатами якого буде надісланий на погодження уповноваженому органу з питань регуляторної політики (Міністерство економічного розвитку і торгівлі України) у встановленому законодавством порядку. Лише після цього наказ буде подано на підпис міністру юстиції України. Зауважимо, що перевірки здійснюватимуться тільки після затвердження відповідного наказу.

Наголошуємо, що згідно з Законом України «Про захист персональних даних» контроль за додержанням законодавства про захист персональних даних покладено на уповноважений державний орган з питань захисту персональних даних, яким, згідно з Указом Президента України №390/2011 «Про Положення про Державну службу України з питань захисту персональних даних», визначено Державну службу України з питань захисту персональних даних. На сьогодні законодавством не визначено жодного іншого органу державної влади та/або місцевого самоврядування, уповноваженого здійснювати контроль за додержанням вимог законодавства про захист персональних даних.

Єдиним органом виконавчої влади, на який законом покладеного завдання щодо контролю за додержанням вимог законодавства про захист персональних даних, є Державна служба України з питань захисту персональних даних, а рішення про адміністративне стягнення прийматиме лише суд.

Увага: заяви про реєстрацію бази даних Державною службою України з питань захисту персональних даних прийматимуться також після 1 січня 2012 року.

Офіційний сайт ДСПЗПД