Оплата праці

Захист персональних даних

12.06.2017 / 16:00

Будь-які відомості, які дають змогу ідентифікувати конкретну фізичну особу, можна віднести до персональних даних. Така інформація є конфіденційною і може оброблятися тільки за згодою цієї фізичної особи, крім випадків, визначених законом. Про обробку яких даних потрібно повідомляти, у які строки та спосіб, йтиметься у цій статті.

На кого покладено функції захисту

Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних і Додатковий протокол до неї Законом № 2438 та водночас взяла на себе зобов’язання забезпечити дотримання прав і свобод людини, зокрема права на недоторканність приватного життя, та основоположних свобод громадян. Для реалізації поставленої мети Верховною Радою України ухвалено Закон № 2297.

Переломною в системі захисту персональних даних можна вважати дату прий­няття Закону № 383, який набрав чинності з 01.01.2014 р. Серед його головних нововведень — повноваження з контролю за додержанням законодавства про захист персональних даних покладено на Уповноваженого Верховної Ради України з прав людини (омбудсмена).

Про обробку яких даних необхідно повідомляти

З 01.01.2014 р. із Закону № 2297 виключено поняття «реєстрація баз персональних даних». Проте з’явився новий обов’язок — повідомляти омбудсмена про обробку персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних.

Згідно з п. 1.2 Порядку повідомлення № 1/02-14 обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів, — це будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється щодо персональних даних про:

  • расове, етнічне та національне походження;
  • політичні, релігійні або світоглядні переконання (останні є сукупністю поглядів, оцінок та життєвих принципів особи, що визначають загальне розуміння та сприйняття світу та місце кожного у ньому. Йдеться саме про загальноприйняті світоглядні переконання (наприклад, переконання у геоцентричній або геліоцентричній системі світу, магічне вірування, фемінізм, пацифізм, вегетаріанство тощо));
  • членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи громадських організаціях світоглядної спрямованості;
  • стан здоров’я (тобто медична інформація про особу, що містить не лише свідчення про стан здоров’я, а й про історію її хвороби, запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку захворювання, в тому числі про наявність ризику для життя і здоров’я. Виняток становлять медичні довідки, листи працездатності тощо, які обробляються володільцем при реалізації трудових відносин);
  • статеве життя (будь-яка інформація про особу, що стосується її вибору та поведінки у статевих відносинах, у тому числі інформація про сексуальну орієнтацію);
  • біометричні дані (сукупність даних про особу, зібраних на основі фіксації її характеристик, що мають достатню стабільність та значно відрізняються від аналогічних параметрів інших осіб. Наприклад, відцифровані: підпис особи, образ обличчя, малюнок сітківки ока тощо);
  • генетичні дані (інформація щодо всіх даних стосовно спадкових властивостей особи або способу успадкування характеристик у межах відповідної групи людей, також це стосується всіх даних про утримання будь-якої генетичної інформації (генів), що відноситься до будь-яких аспектів здоров’я або захворювання);
  • притягнення до адміністративної чи кримінальної відповідальності;
  • застосування щодо особи заходів у рамках досудового розслідування;
  • вжиття щодо особи заходів, передбачених Законом № 2135;
  • вчинення щодо особи тих чи інших видів насильства (інформація про те, що особа піддавалась різноманітним видам насилля, катувань, мордування, нелюдського чи такого, що принижує гідність, поводження. Наприклад, інформація вказаного характеру з матеріалів кримінального провадження);
  • місцеперебування та/або шляхи пересування особи (інформація, що дає можливість визначити місце перебування конкретної особи у певному часовому просторі. Наприклад, зняття готівкових коштів у банкоматах, використання платіжної чи будь-якої іншої іменної картки при розрахунках за товари та послуги, білінгові системи мобільних операторів, геолокаційні послуги мобільних операторів, використання іменних квитків. До цієї категорії не належить інформація про місце проживання, місце реєстрації, службові та інші відрядження і поїздки).

Таким чином, у разі здійснення обробки вищезазначених даних слід обов’язково повідомити Уповноваженого Верховної Ради України з прав людини.

Коли повідомляти не потрібно

Пунктом 2.1 Порядку повідомлення № 1/02-14 визначено випадки, в яких володілець персональних даних не повідомляє Уповноваженого Верховної Ради України з прав людини про обробку персональних даних з особливим ризиком для прав і свобод суб’єктів персональних даних, а саме:

  • здійснюється обробка, єдиною метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому;
  • обробка здійснюється громадськими об’єднаннями, політичними партіями та/або організаціями, професійними спілками, об’єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується винятково персональних даних членів цих об’єднань та не передається без їх згоди;
  • обробка необхідна для реалізації прав та виконання обов’язків володільця персональних даних у сфері трудових правовідносин відповідно до закону.

Строк і спосіб повідомлення

Володільцю персональних даних відведено 30 робочих днів для повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів цих даних. Відлік починається з дня початку такої обробки. Водночас про кожну зміну відомостей, що підлягають повідомленню, володілець персональних даних зобов’язаний повідомити впродовж 10 робочих днів з дня настання такої зміни (ст. 9 Закону № 2297).

Надіслати заповнену заяву можна:

  • листом на адресу Секретаріату Уповноваженого Верховної Ради України з прав людини: вул. Інститутська, 21/8, м. Київ, 01008
  • факсом
  • електронною поштою
  • залишити у скриньці, спеціально розміщеній на першому поверсі Секретаріату Уповноваженого Верховної Ради України з прав людини

Оформлення заяви

Форму заяви про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, наведено у додатку 1 до Порядку повідомлення № 1/02-14. Також у цьому Порядку наведено рекомендації омбудсмена щодо заповнення заяви. Крім того, деякі пояснення зазначено у Роз’ясненні від 08.01.2014 р. Зокрема, в останньому наголошено, що розглядатимуться заяви, складені за визначеною формою, без виправлень, із заповненими всіма розділами. Дані у заяві повинні бути правильними та підтверджуватись підписом і печаткою (у разі наявності) на кожній сторінці заяви.

ЗВЕРНІТЬ УВАГУ
Володілець у заяві вказує лише інформацію про обробку персональних даних, які становлять особливий ризик. Тому якщо володілець веде кілька баз даних і лише в одній обробляє «ризикові» дані, то у заяві зазначається лише інформація про обробку даних, які становлять особливий ризик.

Заява про обробку персональних даних повинна містити інформацію про:

  • володільця та розпорядника персональних даних:

ПІБ, реєстраційний номер облікової картки платника податків, паспортні дані, місце проживання для фізичної особи;

найменування, код ЄДРПОУ, адреса реєстрації та/або місцезнаходження для юридичної особи.

Відомості про розпорядників зазначаються для кожного окремо. У випадку якщо кількість розпорядників надто велика, а їх місцезнаходження є загальнодоступною інформацією, вказується загальна характеристика таких розпорядників. Наприклад, якщо це філії та представництва головної компанії;

  • обробку персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних:

персональні дані, що обробляються. Вказуються тільки ті категорії даних, які становлять особливий ризик. Наприклад, володільцем ведеться обробка персональних даних у кількох базах. У одній із баз обробляються дані такого змісту: ПІБ, місце проживання, номер телефону, електронна адреса, проведені медичні обстеження, поставлені діагнози та призначене лікування. Останні три позиції відносяться до інформації про стан здоров’я. Отже, у заяві необхідно зазначити лише інформацію про стан здоров’я;

мету обробки персональних даних. Вона повинна визначатися в положеннях нормативно-правових актів, що безпосередньо уповноважують володільця на обробку персональних даних, або в положеннях установчих чи інших документів, що визначають вид діяльності володільця, яка обумов­лює необхідність обробки персональних даних. Відповідно в цій частині заяви володільцем чітко та стисло формується мета обробки та положення вказаних документів, які підтверджують її існування;

категорію чи категорії суб’єктів, чиї персональні дані обробляються. У цій частині зазначаються загальні відомості про категорію суб’єктів, наприклад, постійні клієнти, власники платіжних карток, контрагенти, пацієнти тощо. При цьому слід наголосити: якщо володільцем ведеться обробка персональних даних у кількох базах, де обробляються дані кількох категорій суб’єктів, у заяві слід вказувати лише ту категорію суб’єктів (чи категорії), щодо якої ведеться обробка «ризикових» даних;

третіх осіб, яким передаються персональні дані суб’єктів. Насамперед володільцю слід вказати, чи здійснюється ним загалом поширення персональних даних, які становлять особливий ризик. Якщо здійснюється, то кому персональні дані можуть передаватися. Не потрібно інформувати про передачу таких даних відповідно до закону. Наприклад, на запити державних органів, до чиєї компетенції належить право отримувати таку інформацію (в ході перевірки, розслідування тощо).

Натомість володільцям необхідно вказати лише інформацію про можливу передачу «ризикових» персональних даних з інших підстав (згода особи, укладення договору та інше). При цьому слід зазначити найменування та адресу всіх суб’єктів, кому можуть передаватися персональні дані з особливим ризиком.

У випадку якщо персональні дані передаються групі однотипних третіх осіб, то вказується їх загальна характеристика. Наприклад, володілець має представництва та філії, яким передаються персональні дані після їх збору. В такому разі достатньо зазначити, що персональні дані передаються іншим структурним підрозділам володільця;

транскордонну передачу персональних даних. Вказуються країни та іноземні суб’єкти, яким можуть передаватися дані, мета передачі (як правило, повинна відповідати меті обробки), а також підстави обробки;

місце (фактична адреса) обробки персональних даних. Зазначаються адреси, де містяться картотеки чи магнітні носії (сервери), де здійснюється обробка персональних даних з особливим ризиком;

загальний опис технічних та організаційних заходів, що здійснюються володільцем персональних даних, для забезпечення їх захисту. Сюди відноситься, наприклад, інформація про те:

чи було прийнято окремий порядок обробки (і в тому числі захисту) персональних даних;

чи призначено (створено) відповідальну особу структурний підрозділ, який організовує роботу, пов’язану із захистом персональних даних;

який порядок доступу до приміщень, де стоять комп’ютери картотеки, в яких здійснюється обробка персональних даних. Зокрема, визначення кола осіб, які мають доступ до приміщення, наявність у приміщенні сигналізації тощо;

який порядок доступу до персональних даних, які містяться на комп’ю­терах у картотеках. Наприклад, такі комп’ютери захищені кодом доступу — паролем. Кожен із працівників має свій особистий код доступу;

чи ведеться, як це вимагається Типовим порядком обробки персональних даних, затвердженим наказом № 1/02-14, облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них;

чи приєднані комп’ютери, на яких здійснюється обробка персональних даних, до мережі та чи встановлено антивірусне й інше програмне забезпечення.

Зазначений перелік не є вичерпним і наводиться як приклад. Володілець самостійно визначає, які заходи безпеки запроваджувати з метою адекватного захисту персональних даних, які ним оброб­ляються.

Підстави для неприйняття заяви

Заява вважається неподаною та до розгляду не приймається у разі якщо:

  • форма заяви не відповідає типовій (згідно з додатком 1 до Порядку повідомлення № 1/02-14);
  • заява містить неповну та явно недостовірну інформацію;
  • інформація, викладена у заяві, не містить відомостей, які вказували б на те, що володільцем персональних даних здійснюється обробка персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних.

Окремі випадки повідомлення омбудсмена

Зміна відомостей у процесі обробки персональних даних. Якщо у раніше поданій заяві про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, сталися зміни, то про це потрібно повідомити омбудсмена протягом 10 робочих днів з дня настання такої зміни.

Форму заяви про зміну відомостей щодо обробки персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних, наведено у додатку 2 до Порядку повідомлення № 1/02-14. Слід врахувати, що у такій заяві заповнюються розділ 1 та актуальні відомості лише у тих розділах, де відбулися зміни.

Припинення обробки персональних даних. Якщо володілець припиняє обробку персональних даних, про які раніше інформував омбудсмена, про це теж потрібно сповістити Уповноваженого Верховної Ради України з прав людини. Для цього володілець подає заяву про припинення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, форму якої наведено у додатку 3 до Порядку повідомлення № 1/02-14. На подання цієї заяви відведено 10 днів з моменту припинення обробки даних.

Створення структурного підрозділу або призначення відповідальної особи, що організовує роботу, пов’язану із захистом персональних даних при їх обробці. Органи державної влади, органи місцевого самоврядування, а також володільці чи розпорядники персональних даних повідомляють Уповноваженого Верховної Ради України з прав людини про створення структурного підрозділу або призначення відповідальної особи, що організовує роботу, пов’язану із захистом персональних даних при їх обробці. З цією метою необхідно подати заяву про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, за формою, наведеною у додатку 4 до Порядку повідомлення № 1/02-14, з усіма підтвердними документами. На подання відведено 30 днів з моменту створення структурного підрозділу або призначення відповідальної особи за правилами.

Відповідальність

Розглянемо, за які порушення у сфері захисту персональних даних передбачено адміністративну та кримінальну відповідальність (таблиці 1 та 2).

Слід зауважити, що адміністративне стягнення може бути накладено не пізніше ніж через три місяці з дня вчинення правопорушення, а при триваючому правопорушенні — не пізніше ніж через три місяці з дня його виявлення (п. 1.5 Порядку № 3/02-15).

Таблиця 1

Адміністративна відповідальність

Вид правопорушення

Розмір штрафу, грн

Для громадян

Для посадових осіб, громадян — суб’єктів підприємницької діяльності

Порушення законодавства у сфері захисту персональних даних (ст. 18839 КпАП)

Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей

 

Від 100 до 200 НМДГ (1 700 — 3 400 грн);

повторно протягом року — від 300 до 500 НМДГ (5 100 — 8 500 грн)

Від 200 до 400 НМДГ

(3 400 — 6 800 грн);

повторно протягом року — від 500 до 2 000 НМДГ

(8 500 — 34 000 грн)

Невиконання законних вимог (приписів)* Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб Секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних

 

Від 200 до 300 НМДГ (3 400 — 5 100 грн);

повторно протягом року — від 300 до 500 НМДГ (5 100 — 8 500 грн)

Від 300 до 1 000 НМДГ (5 100 — 17 000 грн);

повторно протягом року — від 500 до 2 000 НМДГ (8 500 — 34 000 грн)

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних

 

 

Від 100 до 500 НМДГ

(1 700 — 8 500 грн);

повторно протягом року — від 1 000 до 2 000 НМДГ (17 000 — 34 000 грн)

Від 300 до 1 000 НМДГ

(5 100 — 17 000 грн);

повторно протягом року — від 1 000 до 2 000 НМДГ (17 000 — 34 000 грн)

Невиконання законних вимог Уповноваженого Верховної Ради України з прав людини (ст. 18840 КпАП)

Невиконання законних вимог Уповноваженого Верховної Ради України з прав людини або представників Уповноваженого Верховної Ради України з прав людини

Від 100 до 200 НМДГ

(1 700 — 3 400 грн)

       

* Згідно з п. 5.15 Порядку контролю № 1/02-14 у разі невиконання припису протягом вказаного у ньому строку Уповноважений Верховної Ради України з прав людини або уповноважена посадова особа складає протокол про адміністративне правопорушення, передбачене ст. 18840 КпАП.

Таблиця 2

Вид злочину

Вид покарання

Порушення недоторканності приватного життя (ст. 182 Кримінального кодексу)

Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації* про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями Кримінального кодексу

Штраф від 500 до 1 000 НМДГ (від 8 500 до 17 000 грн),

або виправні роботи на строк до двох років,

або арешт на строк до шести місяців,

або обмеження волі на строк до трьох років

Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду** охоронюваним законом правам, свободам та інтересам особи

Арешт на строк від трьох до шести місяців,

або обмеження волі на строк від трьох до п’яти років,

або позбавлення волі на строк від трьох до п’яти років

*Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом (частина друга ст. 21 Закону № 2657). До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата і місце народження (частина друга ст. 11 цього Закону).

**Істотною шкодою вважається така шкода, яка полягає у заподіянні матеріальних збитків, і її розмір 100 і більше НМДГ. Водночас згідно з п. 5 підрозділу 1 розділу XX Податкового кодексу для норм адміністративного та кримінального законодавства в частині кваліфікації правопорушень сума неоподатковуваного мінімуму встановлюється на рівні податкової соціальної пільги, визначеної пп. 169.1.1 п. 169.1 ст. 169 цього Кодексу для відповідного року (у 2017 р. — 80 000 грн).

ВИКОРИСТАНА ЛІТЕРАТУРА

КпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-X. Кримінальний кодекс — Кримінальний кодекс України від 05.04.2001 р. № 2341-III. Податковий кодекс — Податковий кодекс України від 02.12.2010 р. № 2755-VI. Закон № 383 — Закон України від 03.07.2013 р. № 383-VII «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних». Закон № 2135 — Закон України від 18.02.92 р. № 2135-XII «Про оперативно-розшукову діяльність». Закон № 2297 — Закон України від 01.06.2010 р. № 2297-VI «Про захист персональних даних». Закон № 2438 — Закон України від 06.07.2010 р. № 2438-VI «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних». Закон № 2657 — Закон України від 02.10.92 р. № 2657-XII «Про інформацію». Наказ № 1/02-14 — наказ Уповноваженого Верховної Ради України з прав людини від 08.01.2014 р. № 1/02-14 «Про затвердження документів у сфері захисту персональних даних». Порядок контролю № 1/02-14 — Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних, затверджений наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 р. № 1/02-14. Порядок повідомлення № 1/02-14 — Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації, затверджений наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 р. № 1/02-14. Порядок № 3/02-15 — Порядок оформлення матеріалів про адміністративні правопорушення, затверджений наказом Уповноваженого Верховної Ради України з прав людини від 16.02.2015 р. № 3/02-15. Роз’яснення від 08.01.2014 р. — Роз’яснення Уповноваженого Верховної Ради України з прав людини від 08.01.2014 р. «Роз’яснення основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних»

 

«Гарячі лінії»

Дата: 3 серпня, Четвер
Час проведення: з 14:00 до 16:00