Мало хто задумується над тим наскільки важливою є персональна інформація про особу та її персональні дані. У соцмережах люди зазначають не лише прізвища, ім’я та по батькові, а й особистий номер телефону, електронну пошту, поширюють дані про свою родину. Витік персональних даних може відбутись не лише через злам акаунтів, а й викинуте пакування на відділенні зв’язку. Управляючі компанії оприлюднюють списки боржників, у чергах до реєстратур оголошуються назагал симптоми та діагнози. Про те, яка інформація є персональною та потребує захисту розповідає правозахисниця Юлія Черватюк. 

Стрімкий розвиток технологій і Інтернет-мережі, соцмереж, розвиток «блогерства», коли публічно оприлюднюється інформація, як про себе, так і родину, «діджиталізація» (обмін персональними даними між публічними та приватним особами) і відсутність правил, як безпечно цим всім користуватися, змушують нас розглянути питання захисту інформації про особу і особи про себе. Ще один важливий аспект: як зберігати та розповсюджувати дані, щоб, як мінімум, не стати жертвою шахраїв, а максимум – забезпечити своє право на приватність та відшкодування шкоди у випадках порушення такого права.

Що таке персональні дані? 

Одна із перших згадок про право особи бути захищеною від втручання інших осіб та держави в своє приватне життя закріплена в статті 12 Загальної декларації прав людини 1948 року, в якій зазначається, що ніхто не може  зазнавати безпідставного втручання у його особисте і сімейне життя, безпідставного посягання на недоторканність його житла, тайну його кореспонденції або на його честь і репутацію. Кожна людина має право на захист закону від такого втручання або таких посягань. Положення Загальної декларації прав людини (надалі – ЗДПЛ) згодом імплементовано в Конвенцію про захист прав людини і основоположних свобод або Європейської конвенції з прав людини 1950 року (надалі – ЄКПЛ). Стаття 8 Конвенції – «Право на повагу до приватного і сімейного життя» проголошує, що кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб.

Важливе  місце в питанні захисту персональної інформації про фізичну особу також займають Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 94/46/ЄС (Загальний регламент про захист даних), далі – Регламент, Конвенція Ради Європи № 108 від  28 січня 1981 року «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних» та практика Європейського суду з прав людини (далі – ЄСПЛ).

В Українському правовому полі вищезазначені  положення знайшли своє відображення в статті 32 Конституції України, яка передбачає, що ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини; в Законі України «Про інформацію» 1992 року (далі – ЗУ «Про інформацію), а також в Законі України «Про захист персональних даних» 2010 року (далі – ЗУ «Про захист персональних даних). ​Так, відповідно до статті 11 ЗУ «Про інформацію», інформація про фізичну особу (персональні дані) – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.  Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата і місце народження.

 

Згідно зі статтею 2 ЗУ «Про захист персональних даних»,  персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

​Більш розширене визначення поняття «персональні дані» міститься в статті 4 (1) Регламенту: «персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи кількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи, а порушення захисту персональних даних, відповідно до статті 4 (12) Регламенту,  означає порушення безпеки, що призводить до випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано.

Враховуючи викладене, поняття «персональна інформація» та «персональні дані», на мою думку, є тотожними. 

​У багатьох людей часто виникає запитання, а який же повинен бути мінімальний набір даних, для того, щоб ідентифікувати особу і згодом така інформація стала конфіденційною інформацією про особу? Чи є прізвище, ім’я та по батькові самі по собі конфіденційною інформацією? Очевидно, що ні, адже можуть зустрічатися збіги за цим набором даних. Я, наприклад, бачила по соціальним мережам і в мережі Інтернет осіб з ідентичними зі мною ПІБ, і якщо хтось буде  мене шукати в Інтернеті тільки за ПІБ, не знаючи інших «ввідних даних» про мене та не знаючи мене в обличчя, знайти та ідентифікувати мене буде важко. Але, знаючи, що я маю свідоцтво на право зайняття адвокатською діяльністю, пошук та ідентифікація стають швидшими. Чи є такий набір даних конфіденційним? Вочевидь, що ні, оскільки інформація про моє ПІБ та номер і дата мого свідоцтва на право зайняття адвокатською діяльністю міститься у відкритому доступі в реєстрі адвокатів. Те саме стосується і діяльності особи в сфері публічного права, до прикладу моя робота в державній установі (державна служба) також дозволяє мене швидко ідентифікувати. Набір даних із мого ПІБ, датою мого народження або місцем мого народження (чи проживання) – моя персональна інформація, яку я не розповсюджую. За нею мене можна ідентифікувати та відрізнити від інших осіб із однаковим зі мною ПІБ, оскільки вочевидь збіг народження декількох людей з однаковими ПІБ, датою народження та місцем народження є майже нереальним.

Тому потрібно чітко розуміти різницю в наборі даних для того, щоб інформація про особу стала конфіденційною та, відповідно, виник обов’язок по її захисту. 

Але є ситуації, коли начебто конфіденційна інформація про особу  може бути розкрита на законних підставах.

​Так, статтею 5 ЗУ «Про захист персональної інформації» не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, уповноваженою на виконання функцій держави або місцевого самоврядування, посадових або службових осіб; не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, структуру, принципи формування та розмір оплати праці, винагороди, додаткового блага керівника тощо; не належить до інформації з обмеженим доступом інформація про фізичних осіб, які мають податковий борг, яка публікується на офіційному веб-порталі центрального органу виконавчої влади, що реалізує державну податкову політику. 

Це положення також корелюється із частинами 6, 7 статті 6 Закону України «Про доступ до публічної інформації», в яких зазначено, що не належать до інформації з обмеженим доступом відомості, зазначені у декларації особи, уповноваженої на виконання функцій держави або місцевого самоврядування, поданій відповідно до Закону України «Про запобігання корупції», крім випадків, визначених зазначеним Законом, а також інформація про структуру, принципи формування та розмір оплати праці, винагороди, додаткового блага керівника, заступника керівника юридичної особи публічного права, керівника, заступника керівника, члена наглядової ради державного чи комунального підприємства або державної чи комунальної організації, що має на меті одержання прибутку, особи, яка постійно або тимчасово обіймає посаду члена виконавчого органу чи входить до складу наглядової ради господарського товариства, у статутному капіталі якого більше 50 відсотків акцій (часток, паїв) прямо чи опосередковано належать державі та/або територіальній громаді. Отже, ми бачимо випадки коли така, на перший погляд, конфіденційна інформація про особу, як заробітна плата та принципи її формування, не просто може, але й повинна оприлюднюватись, враховуючи вимоги  Законів.

Особливе місце в системі захисту персональної інформації про особу належить інформації про стан здоров’я особи, яка містить набір «чутливих даних» та додатково захищена лікарською таємницею або таємницею професійної діяльності осіб, які згідно законодавства  мають обов’язок зберігати таку інформацію, про що зазначено в статті 6 Закону України «Основи законодавства України про охорону здоров’я. 

Окремо хочу приділити увагу положенням Наказу Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 «Про затвердження документів у сфері захисту персональних даних» (далі – Наказ) на підставі якого володілець персональних даних зобов’язаний повідомити Уповноваженого про здійснення ним будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних. Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом тягне за собою притягнення до адміністративної відповідальності, передбаченої ст.188-39 КУпАП.

Відповідальність за порушення законодавства про захист персональних даних 

Стаття 22 Закону України «Про захист персональних даних» передбачає два варіанти захисту порушених прав:

• Уповноважений  Верховної Ради України з прав людини (який діє в межах своїх повноважень, передбачених статтею 23 цього Закону);
• Суди.

Стаття 188-39 Кодексу України про адміністративні правопорушення (далі – КУпАП) передбачає адміністративну відповідальність за порушення законодавства у сфері захисту персональних даних. Також передбачена і кримінальна відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, яка передбачена статтею 182 Кримінального кодексу України. В такому випадку необхідно звернутися до органів поліції із заявою про злочин, а в подальшому таке кримінальне провадження (справа) буде направлена до суду для розгляду. Стаття 308 Цивільного кодексу України забезпечує охорону інтересів фізичної особи на зображеннях. Порушення вимог даної статті передбачає право особи звернутися до суду із вимогою про видалення такого фото та відшкодування завданої шкоди, в тому числі й моральної.

На жаль, чинне в Україні законодавство немає конкретніших підстав для захисту порушеного права особи в сфері захисту персональних даних, а тому потребує внесення змін, враховуючи нагальну актуальність даної проблематики та фактичну незахищеність осіб в даній сфері, оскільки органи поліції не охоче порушують кримінальні провадження за статтею 182 Кримінального кодексу України. 

Таким чином, можна зробити висновок, що держава неналежним чином виконує свої «позитивні зобов’язання», адже стаття 8 ЄКПЛ передбачає не тільки обов’язок держав утримуватися від втручання в право на приватне життя особи, але й створення належних умов по дотриманню прав осіб на приватне життя.

Нещодавно ми стали свідками наймасштабнішої кібер атаки на оператора мобільного зв’язку «Київстар» і в ЗМІ з’явилася інформація про можливий витік персональних даних користувачів цієї мобільної мережі. Виникає питання: а чи було цим мобільним оператором виконано вимоги Наказу та дотримано усіх його положень по збереженню персональної інформації? Якщо так, то тоді ми маємо справу з новими викликами, які необхідно проаналізувати та внести відповідні зміни в українські нормативні акти, що регулюють сферу захисту персональних даних відповідно до положень та вимог Директив Європейського Союзу, адже Наказ прийнято в 2014 році і він вже може не відповідати вимогам часу. Якщо ж не було дотримано вимог Наказу, то компетентним органам державної влади необхідно провести перевірки та, за можливості, притягнути до відповідальності винних осіб.

Крім того, сьогодні, в умовах збройної агресії російської федерації проти України, потрібно на законодавчому рівні запровадити жорсткіший контроль держави за формуванням та використанням баз персональних даних в приватних лікарнях, магазинах, аптеках, деяких громадських організаціях тощо (де усі заповнюють форми, в т.ч. й на дисконти, але  дозволу на обробку своєї персональної інформації не надають, і згодом невідомо, що з цією персональною інформацією далі відбувається) та їх використання. А бізнес та громадський сектор необхідно зобов’язати оновити свої політики конфіденційності та умови зберігання баз персональних даних.

Особливості захисту персональних даних в умовах збройної агресії проти України

В Інтернеті можна зустріти фото особових (кадрових) наказів про звільнення певних осіб з посад або роботи. Також нещодавно соціальні мережі сколихнув список так званих «ухилянтів» від військової мобілізації, які виїхали за кордон та залишилися там. Чи є такі випадки порушенням права особи на захист персональних даних? Адже право на повагу до приватного життя, частиною якого є право на захист персональної інформації про особу, не є абсолютним і може бути обмеженим. 

На мій погляд, ключовим моментом для надання відповіді на це питання буде так званий «трискладовий тест», який застосовує в своїх рішеннях ЄСПЛ, тому що на «чаші терезів конкуруючих інтересів» (інтересів приватної особи чи інтересів суспільства) суду потрібно буде «положити» відповіді на наступні запитання: 

1.Чи така обробка персональних даних є законною? 

2. Чи переслідує вона законну мету?

3. Та чи є вона необхідною у демократичному суспільстві для досягнення законної мети (в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб)? 

Окрім того, Указом Президента України від 24 лютого 2022 року № 64 в Україні введено воєнний стан та на період дії такого воєнного стану може бути обмеження конституційних прав і свобод людини і громадянина, передбачені статтями 30 – 34, 38, 39, 41 – 44, 53 Конституції України. Враховуючи вищезазначене, право на заборону щодо збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини, передбачено, зокрема, статтею 32 Конституції України, також може бути обмеженим на період дії правового режиму воєнного стану в Україні.

Автор тексту: Юлія Черватюк, правозахисниця, адвокатка (2007-2020), Регіональний представник Уповноваженого Верховної Ради України з прав людини в Черкаській області (2021-2022), координатор Черкаського обласного представництва Північного регіонального центру Української асоціації міжнародного права. 

---

Підписуйтесь на сторінки УГСПЛ у соціальних мережах:

Facebook | Instagram | Telegram юридичний | Telegram з анонсами подій | Twitter | Youtube

---

Матеріал підготовлено за підтримки Європейського Союзу та Міжнародного Фонду  «Відродження» в рамках спільної ініціативи «Європейське Відродження України». Матеріал представляє позицію авторів і не обов’язково відображає позицію Європейського Союзу чи Міжнародного фонду «Відродження».