Останнім часом різні підприємства, установи, організації активізували свої дії щодо реєстрації баз персональних даних. Зокрема, віднедавна громадяни почали отримувати повідомлення від підприємств, які надають послуги електро- і теплопостачання, телефонного зв’язку, кабельного телебачення та інші, з проханням дати письмові дозволи на використання їхніх персональних даних. Такі прохання людям почали надходити переважно на початку цього року, як правило, на зворотному боці рахунків для оплати платежів за послуги.

Тож про основні і найактуальніші питання, що стосуються практичного виконання Закону «Про захист персональних даних», з якими часто звертаються громадяни до центрів РОГО «Комітет виборців України», йтиметься у цьому матеріалі.

Що таке база персональних даних?
Іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних і є базою персональних даних.

З огляду на це база персональних даних є упорядкованою сукупністю логічно пов’язаних даних про фізичних осіб:

• що зберігаються та обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі ;
• що зберігаються та обробляються на паперових носіях інформації, є базою персональних даних у формі картотек.

Картотекою персональних даних є будь-який структурований масив персональних даних, що є доступним з визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах

Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.

Варто зазначити, що, виходячи з положень статті 2 Закону, персональні дані одночасно можуть бути упорядковані і в електронній формі, і у формі картотек.

Що слід розуміти під персональними даними?
Персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Але законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій, у тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках цих даних, що можуть виникнути у майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.

Хто повинен, а хто ні реєструвати бази персональних даних?
Бази персональних даних повинні зареєструвати ті, хто їх мають і ведуть. Разом з тим, такі бази не реєструють:

• фізичні особи, які використовують такі дані для непрофесійних особистих чи побутових потреб (наприклад, людина веде список телефонів та адрес своїх рідних чи знайомих, однокласників тощо);
• журналісти – у зв’язку з виконанням ними службових чи професійних обов’язків;
• професійні творчі працівники – для здійснення творчої діяльності (наприклад, літератори).

Як зареєструвати базу персональних даних?
Реєстрація бази здійснюється шляхом надіслання заяви до Державної служби захисту персональних даних (ДСЗПД). Зразок заяви можна знайти на сайті ДСЗПД у розділі «Реєстрація баз персональних даних».

Чи достатньо подати одну заяву на реєстрацію баз, коли їх є кілька (наприклад, «Працівники», «Клієнти», «Контрагенти»)?
Щодо кожної бази даних, яка перебуває у володінні заявника, подається окрема заява.

Як подається заява на реєстрацію бази?
Заява подається в паперовій формі (бажано, з наданням електронної копії) або у формі електронного документа через веб-сайт Державного реєстру баз персональних даних відповідно до вимог Законів «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис». Лише в електронній формі подати заяву може той, хто має право використовувати електронний цифровий підпис. При цьому, ДСЗПД обробляє заяви у формі електронного документу, які підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) у акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП.

Що слід писати в заяві для реєстрації бази персональних даних?
Заява повинна містити: звернення про внесення бази персональних даних до Державного реєстру баз персональних даних; інформацію про володільця бази персональних даних – слід зазначити повне найменування юридичної особи, її код ЄДРПОУ та місцезнаходження, або ПІБ фізичної особи, ідентифікаційний код, паспортні дані та місце проживання; інформацію про найменування і місцезнаходження бази персональних даних.

Якщо після реєстрації бази персональних даних змінюється назва (ім’я) володільця такої бази, то чи потрібно повідомляти про це ДСЗПД?
Так, оскільки за неповідомлення чи несвоєчасне повідомлення про зміну відомостей, що подаються для державної реєстрації бази персональних даних, може бути накладено штраф. На громадян – від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян. Нагадую, що один неоподатковуваних мінімумів доходів громадян нині складає 17 гривень.

Чи може вважатися оплата за послугу згодою на обробку та використання персональних даних постачальником послуги?
Згода суб'єкта персональних даних – це будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

Оплата за послугу – це дія, спрямована на виконання обов’язку, який виник з договору про надання відповідних послуг. При її здійсненні людина розписується, як правило, на банківських документах, підтверджуючи правильність проведеної оплати (реквізити платника і отримувача). Тому факт оплати за послуги добровільною згодою особи на обробку її персональних даних вважати не можна. Наприклад, не можна вважати наданням згоди особою на обробку її персональних даних дії, коли на зворотному боці рахунку щодо проведених їй нарахувань до оплатити за кабельне телебачення надавач відповідних послуг вкаже, що здійсненням такої оплати вона надає згоду обробляти її персональні дані. Адже людина в силу наявного договору має здійснити оплату послуг і в разі її нездійснення їй будуть нараховувати борг. Тобто, оплатити за послуги – це виконати обов’язок за договором, а надати чи не надати згоду на обробку персональних даних – це право. Згідно зі статтею 19 Конституції України ніхто не може бути примушений робити те, що передбачено законом.

Чи потрібно в згоді на обробку персональних даних вказувати мету обробки?
Так, оскільки неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про мету збору цих даних, його права у зв'язку із включенням його персональних даних до бази персональних даних та осіб, яким ці дані передаються тягне за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Яка може бути мета обробка персональних даних?
Як приклади, метою обробки персональних даних можуть бути: забезпечення реалізації трудових відносин; адміністративно-правових; податкових відносин та відносин у сфері бухгалтерського обліку та аудиту; відносин у сфері управління людськими ресурсами; відносин у сфері економічних, фінансових послуг; відносин у сфері реклами; відносин у сфері телекомунікаційних послуг; відносин у сфері громадської, політичної та релігійної діяльності; відносин у сфері культури, дозвілля, спортивної та соціальної діяльності; відносин у сфері освіти; відносин у сфері охорони здоров’я; відносин у сфері безпеки; відносин у сфері транспорту; відносин у сфері науки, історичних досліджень та статистики тощо.

Приклад формулювання мети: обробка персональних даних фізичних осіб загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання тощо) або вразливих персональних даних (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя) здійснюється для забезпечення реалізації (вказати яких саме) відносин, відповідно до (перерахувати правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця); інформацію про інших розпорядників бази персональних даних; підтвердження зобов'язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.

Чи має право суб’єкт персональних даних заборонити надавати свої персональні дані іншим особам?
Згода суб'єкта персональних даних на обробку його персональних даних є однією з підстав виникнення права на використання даних про особу. При цьому, суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних.

Що має бути написано у «згоді» на обробку баз персональних даних?
Згідно з вимогами Закону згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію про мету обробки, чіткий перелік персональних даних фізичної особи, які можуть обробляються володільцем бази персональних даних у цій базі. Також має бути визначено дії володільця бази щодо обробки цих даних, в тому числі використання персональних даних працівниками володільця бази, відповідно до їхніх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними. Необхідною вимогою згоди суб’єкта є наявність порядку поширення персональних даних та порядку доступу до персональних даних третіх осіб.

Чи достатньо для захисту персональних даних лише подачі відповідної заяви про її реєстрацію?
Ні, оскільки Законом «Про захист персональних даних» покладається ще низка обов’язків на осіб, що мають відповідні бази.

Зокрема, крім реєстрації баз, необхідно визначити її розпорядників (ст. 2 Закону); скласти внутрішній документ, що встановлюватиме механізм обробки володільцем персональних даних їх захисту (ч. 1 ст. 6, ст. 24); визначити осіб та/або структурний підрозділ (-ли), який відповідатиме (-муть) за законність обробки даних і за захист від незаконного їх розголошення та доступу до них (ч. 5 ст. 24), документально оформивши їх зобов’язання в посадових інструкціях, положеннях про структурні підрозділи, наказах, внутрішньому документі з питань обробки персональних даних, включаючи обов’язок таких осіб не розголошувати персональні дані, які стали їм відомі або були довірені у зв’язку з виконанням професійних чи трудових або службових обов’язків (ч. 3 ст. 10 Закону).

Крім того, необхідно забезпечити документування законності обробки персональних даних, і, зокрема, шляхом отримання письмових згод від кожної фізичної особи, дані якої обробляються в базі (ст. 11).

Варто також взяти в третьої особи, яка матиме доступ до персональних даних в базі, зобов’язання відносно дотримання нею вимог Закону «Про захист персональних даних», оскільки в протилежному випадку така особа не має права доступу до даних (ч. 2 ст. 16 Закону).

Вирішити інші ключові питання, наприклад, щодо надання фізичним особам письмових повідомлень про їх права протягом 10 днів з моменту включення даних про таких осіб до бази персональних даних, про мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі тощо.

Як дізнатися, чи зареєстрована база персональних даних?
Протягом 10 робочих днів з дня надходження відповідної заяви від володільця бази ДСЗПД має прийняти рішення про реєстрацію бази. На підтвердження її реєстрації володільцю видається свідоцтво про державну реєстрацію бази персональних даних. Якщо ж відмовляють у реєстрації, то ДСЗПД надсилає володільцю бази відповідне повідомлення про відмову, про що вносить запис до Реєстру. На практиці, свідоцтва про реєстрацію баз персональних даних або ж рішення про відмову можна чекати тривалий час. Це пов’язано з тим, що останнім часом до ДСЗПД надійшло дуже багато відповідних заяв з усієї України. Хоча відповідного терміну їх надіслання не передбачено, та, на нашу думку, в цій ситуації за аналогією можуть бути застосовані норми Закону «Про звернення громадян». Зокрема, цей закон передбачає загальний місячний строк для надання відповіді на таке звернення, як заява.

Чи повинен володілець баз персональних даних повідомляти про осіб, яким такі дані можуть бути передані?
Так, оскільки в протилежному випадку таке неповідомлення тягне відповідальність у вигляді штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Чи потрібно володільцю баз персональних даних повідомляти фізичну особу про передачу її даних третій особі?
Законом передбачено, що про передачу персональних даних третій особі володілець бази протягом десяти робочих днів повідомляє суб'єкта персональних даних (чиї дані передаються), якщо про обов’язок повідомляти її про передачу таких даних було прямо вказано в наданій цією людиною письмовій згоді.

Чи можна не повідомляти особу про її права та мету обробки персональних даних, якщо згода на її обробку не потрібна?
Ні, оскільки звільнення від необхідності отримання згоди не позбавляє володільця баз персональних даних від обов’язку надання працівнику повідомлення про його права.

Яка відповідальність за неповідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних?
Відповідальність за таке неповідомлення або несвоєчасне повідомлення про права, так само як і неповідомлення про мету збору цих даних та осіб, яким ці дані передаються, тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

В яких нормативно-правових актах передбачена відповідальність за порушення законодавства про захист персональних даних?
Відповідальність за порушення законодавства про захист персональних даних передбачені в Кодексі України про адміністративні правопорушення (ст.ст. 188-39, 188-40) та Кримінальному кодексі України (ст. 182).

Чи правда, що відповідальність за порушення законодавства про захист персональних даних наступить не з 1 січня, а з 1 липня 2012 року?
На сьогодні є прийнятий Верховною Радою Закон «Про внесення змін до Прикінцевих положень Закону «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» щодо перенесення терміну введення в дію останнього. Саме цей Закон передбачає перенесення початку відповідальності за порушення законодавства щодо захисту персональних даних з 1 липня 2012 року. Однак, наразі він ще не набрав законної сили, оскільки не підписаний Президентом України та не опублікований. Тому поки що (з 1 січня) діють норми, які передбачають відповідальність за порушення законодавства про захист персональних даних.

Чи треба брати згоду від працівників на обробку їх персональних даних?
Згода на обробку персональних даних від працівників отримувати не потрібно, оскільки відомості щодо персоналу будуть оброблюватися на підставі дозволу, наданого відповідно до закону, а саме – ст. 24 КЗпП України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту) (ч.5 ст. 6 Закону, Роз'яснення Державної служби України з питань захисту персональних даних від 14.12.2011 р.)

Чи має право теплопостачальна організація передавати інформацію про наявність у споживача боргу та його суму за їхні послуги роботодавцю споживача?
Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом. Не допускається обробка (втому числі поширення) даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Крім того, обробка персональних даних здійснюється з відповідною метою, визначеною законом чи іншим документом та яка повинна відповідати законодавству про захист персональних даних.

Тому без згоди особи така інформація не може бути передана. Тим більше, якщо таке поширення інформації виходить за межі визначеної мети обробки персональних даних. В зв’язку з цим, якщо людина не хоче, щоб інформацію про її борги по оплаті за послуги теплопостачання передавали їй на роботу чи інше, то в згоді на обробку персональних даних, яка надається підприємству-постачальнику, потрібно зробити застереження про це.

Чи повинен вчитель реєструвати дані про учнів, якими він користується у своїй роботі?
Вчитель не є володільцем персональних даних учнів. А саме володільці баз персональних даних займаються реєстрацією такої бази.

Чи вправі орган місцевого самоврядування не допустити на своє засідання журналістів, мотивуючи це тим, що під час такого засідання розглядається питання про виділення землі і будуть обговорюватися персональні дані осіб, яким виділятимуться ділянки?
В такій ситуації має застосовуватись не Закон «Про захист персональних даних», а Закон «Про доступ до публічної інформації», метою якого є забезпечення прозорості та відкритості суб'єктів владних повноважень і створення механізмів реалізації права кожного на доступ до публічної інформації.

В цьому випадку місцева рада та її органи є суб’єктами владних повноважень, адже відповідно до п. п. «б» і «в» ч. 1 ст. 12 Земельного кодексу України до повноважень міських рад належить передача земельних ділянок комунальної власності у власність громадян та юридичних осіб надання земельних ділянок у користування із земель комунальної власності. Оскільки на засіданні вирішуються питання виділення землі громади, то така інформація про її набувачів є відкритою і не захищається Законом «Про захист персональних даних». Це прямо передбачено ч. 5 ст. 6 Закону «Про доступ до публічної інформації», де вказано, що не може бути обмежено доступ до інформації про розпорядження бюджетними коштами, володіння, користування чи розпорядження державним, комунальним майном, у тому числі до копій відповідних документів, умови отримання цих коштів чи майна, прізвища, імена, по батькові фізичних осіб та найменування юридичних осіб, які отримали ці кошти або майно. Земля громади є фактично комунальним майном.

Крім того, відповідно до ч. 3 і 2 24 Закону «Про інформацію» забороняється замовчування суспільно необхідної інформації. Предметом суспільного інтересу вважається інформація, яка свідчить про загрозу державному суверенітету, територіальній цілісності України; забезпечує реалізацію конституційних прав, свобод і обов'язків; свідчить про можливість порушення прав людини, введення громадськості в оману, шкідливі екологічні та інші негативні наслідки діяльності (бездіяльності) фізичних або юридичних осіб тощо. Згідно ч. 1 ст. 29 Закону «Про інформацію» інформація з обмеженим доступом може бути поширена, якщо вона є суспільно необхідною, тобто є предметом суспільного інтересу, і право громадськості знати цю інформацію переважає потенційну шкоду від її поширення. Таким чином, інформація про те, хто претендує на отримання земельних ділянок в громаді, котрими розпоряджається місцева влада, є предметом суспільного інтересу і право знати імена (прізвище, ім’я та по батькові) таких претендентів переважає потенційну шкоду від її поширення.

Додатково слід відзначити, що згідно з ч. 2 ст. 25 Закону «Про інформацію» журналіст має право безперешкодно відвідувати приміщення суб'єктів владних повноважень, відкриті заходи, які ними проводяться, та бути особисто прийнятим у розумні строки їх посадовими і службовими особами, крім випадків, визначених законодавством.

Мирослава Примак, юрист РОГО «Комітет виборців України», спеціально для ГУРТа