Поняття ПД та їх обробки
властивості персональних даних
зміст персональних даних
обробка персональних даних і безпека суспільства
«чутливі» персональні дані
елементи обробки персональних даних
Законодавство України (ст. 11 ЗУ «Про інформацію», ст. 2 ЗУ «Про захист персональних даних»), аналогічно міжнародним правовим актам, визначає персональні дані як:
відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Фізичну особу, про персональні дані якої йдеться, називають суб’єктом персональних даних (в європейській практиці – суб’єктом даних).
Фактично людина має певні правомочності власника щодо своєї персональної інформації, але власником персональних даних де-юре наразі називатися не може. Така ситуація зумовлена тим, що інститут власності в сучасному українському законодавстві має суто майновий характер (ст. 316, 317 Цивільного кодексу України), а інформація розглядається переважно як об’єкт особистих немайнових прав фізичної особи (ст. 302 Цивільного кодексу України).
Очевидно, що розуміння «персональності» тих чи інших даних пов’язано з ключовою їх властивістю – ідентифікацією (встановленням) фізичної особи. Виходячи з цього та ґрунтуючись на європейському розумінні, поняття «персональні дані» необхідно трактувати таким чином:
– дані набувають характеру персональних в тому разі, коли вони становлять інформацію про вже відому (встановлену, визначену, ідентифіковану) особу чи, принаймні, особу, яку можна встановити;
– особою, яку можна встановити, є така, що може бути визначена як на підставі вже наявних даних, так і за допомогою деякої додаткової інформації, отримання якої не вимагає істотних зусиль;
– встановлення особи розглядається як процес, що може бути здійснений будь-яким суб’єктом, якому стали відомі або будуть відомі персональні дані в ході їх запланованого оброблення (інакше кажучи, якщо процес оброблення інформації передбачає ідентифікацію особи, то будь-який суб’єкт, що бере в ньому участь зобов’язаний виконувати правові вимоги щодо захисту персональних даних);
– процес встановлення особи повинен складатися з елементів, що описують людину в такий спосіб, який дає змогу безпомилково виділити її серед усіх інших людей (найяскравішим елементом такого опису є ім’я фізичної особи, або схожий ефект може забезпечити знання про те, що особа займає високу публічну посаду, наприклад Міністра);
– не вважаються персональними даними ті дані, які не мають жодних ідентифікаторів (анонімні, знеособлені дані), що унеможливлює встановлення особи.
Більшість імен людей не є неповторними, тому в процесі встановлення особи може виникнути необхідність у додаткових ідентифікаторах, що забезпечують однозначну пізнаваність. Зазвичай для того, щоб вважати особу ідентифікованою, необхідні: її ім’я, прізвище, по-батькові та реквізити документа, що посвідчує особу. Проте, за певних умов наявність меншої кількості інформації чи певного об’єму іншої інформації є достатніми для ідентифікування особи.
Науково-технічний прогрес не стоїть на місці і постійно надає нові можливості й технологій, що використовуються для ідентифікації осіб. Так, у багатьох сучасних країнах присвоюються персональні індивідуальні номери (ідентифікаційні коди) та створюються відповідні бази даних, невпинно поширюється використання у документах, що посвідчують особу, цифрових фотокарток і біометричних даних (відбитків пальців, малюнку райдужної оболонки ока) тощо.
За своїм змістом персональні дані фактично можуть становити будь-яку інформацію, що стосується конкретної людини та її особистого життя. Саме так термін «персональні дані» визначає Конвенція 108 РЄ.
У демократичному суспільстві збирання, зберігання, використання та поширення персональних даних можливе або за згодою особи (не обов’язково у формі окремого документа), або у випадках, зумовлених об’єктивними потребами забезпечення безпеки суспільства та захисту прав людини. Зрозуміло, що такі випадки повинні бути чітко регламентовані законом, оскільки йдеться про обмеження права людини на приватність.
Зокрема Директива 95/46 ЄС (ч. 2 ст. 3) виключає застосування її положень до операцій з обробки даних, що стосуються:
- суспільної безпеки;
- оборони;
- державної безпеки (включаючи економічний добробут, якщо процес обробки стосується питань державної безпеки);
- діяльності держави у сфері кримінального права.
Зазначені
концептуальні засади розуміння персональних даних знайшли своє втілення в
основоположному акті інформаційного законодавства України – ЗУ «Про інформацію»,
який, окрім того, охоплює персональні дані правовим режимом конфіденційної інформації,
тобто інформації з обмеженим доступом. Особливість цього режиму полягає у тому,
що віднесення персональних даних до конфіденційної інформації може здійснюватися
як законом, так і самим суб’єктом персональних даних.
Поширення конфіденційної інформації допускається за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також у випадках, визначених законом.
Закон України «Про інформацію»
Стаття 11. Інформація про фізичну особу
1. Інформація про фізичну особу (персональні дані) – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
2. Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження.
Кожному забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законом.
Стаття 21. Інформація з обмеженим доступом
1. Інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація.
2. Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом.
Відносини, пов'язані з правовим режимом конфіденційної інформації, регулюються законом.
Через необмежене розмаїття особистої інформації встановити за допомогою нормативно-правових засобів певний визначений перелік персональних даних, що підлягають захисту, як не можливо, так і не доцільно. Проте використання окремих категорій персональних даних може створювати відчутний негативний вплив на людину, що вимагає їх чіткого визначення законом та встановлення особливих вимог щодо їх обробки.
Ці категорій персональних даних загалом прийнято називати особливими, «чутливими», або такими, обробка яких загрожує правам
і свободам суб’єктів персональних даних. Відповідно до
ст.
7 ЗУ «Про захист персональних даних» такі дані становить інформація
про: 
- расове або етнічне походження;
- політичні, релігійні або світоглядні переконання;
- членство в політичних партіях та професійних спілках;
- засудження до кримінального покарання;
- здоров’я;
- статеве життя;
- біометричні дані;
- генетичні дані.
Деталізуючи і роз'яснюючи вимоги до обробки чутливих персональних даних, Уповноважений Верховної Ради України з прав людини, як контролюючий орган у сфері захисту песональних даних, до таких даних відносить також інформацію про:
- місцеперебування та або шляхів пересування особи;
- факти притягнення до адміністративної чи кримінальної відповідальності;
- застосування щодо особи заходів в рамках досудового розслідування та заходів, передбачених ЗУ «Про оперативно-розшукову діяльність»;
- вчинення щодо особи тих чи інших видів насильства.
Щодо змісту чутливих персональних даних, то відповідно до роз'яснень Уповноваженого Верховної Ради України з прав людини, їх необхідно розуміти таким чином.
Світоглядні переконання особи – сукупність поглядів, оцінок та життєвих принципів особи, що визначають загальне розуміння та сприйняття світу та місце кожного у ньому. Йдеться саме про загальноприйнятої світоглядні переконання. Наприклад: пацифізм, фемінізм, вегетаріанство тощо.
Стан здоров'я особи – тобто медична інформація про особу, що містить не лише свідчення про стан здоров'я, а й про історію її хвороби, про запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку захворювання, в тому числі і про наявність ризику для життя і здоров'я. Виняток, у даному разі, становлять медичні довідки, листи працездатності і т. д., які обробляються володільцем при реалізації трудових відносин.
Статеве життя – будь-яка інформація про особу, що стосується її вибору та поведінки у статевих відносинах, включаючи інформацію про сексуальну орієнтацію особи.
Біометричні дані – сукупність даних про особу, зібраних на основі фіксації її характеристик, що мають достатню стабільність та істотно відрізняються від аналогічних параметрів інших осіб. Наприклад, відцифрований підпис особи, відцифрований образ обличчя особи, відцифровані відбитки пальців рук, відцифрований малюнок сітківки ока тощо.
Генетичні дані – інформація, що стосується всіх даних стосовно спадкових властивостей особи або стосовно способу успадкування характеристик в межах відповідної групи людей. Також це стосується всіх даних про утримання будь-якої генетичної інформації (генів), що відноситься до будь-яких аспектів здоров'я або захворювання.
Учинення щодо особи тих чи інших видів насильства – інформація про те, що особа піддавалась різноманітним видам насилля, катувань, мордування, нелюдського чи такого, що принижує гідність поводження. Наприклад, інформація вказаного характеру з матеріалів кримінального провадження з матеріалів кримінального провадження.
Місце перебування та або шляхи пересування особи – це інформація, що дає можливість визначити місце перебування конкретної особи у певному часовому просторі. Наприклад, зняття готівкових коштів в банкоматах, використання платіжної чи будь-якої іншої іменної картки при розрахунках за товари та послуги, білінгові системи мобільних операторів, геолокаційні послуги мобільних операторів, використання іменних квитків. До даної категорії не належить інформація про місце проживання, місце реєстрації, службові та інші відрядження та поїздки.
Винятковий правовий режим в Україні мають деякі персональні дані осіб, що обіймають державно-владні (публічні) посади і підлягають контролю за антикорупційним законодавством. Зокрема відомості, які подаються ними в публічних деклараціях про майно, доходи, витрати і зобов’язання фінансового характеру (відповідно до ЗУ «Про запобігання корупції») і за змістом є персональними даними, законодавством визнаються такими, що не є конфіденційною інформацією.
Закон України «Про захист персональних даних»
Стаття 5. Об'єкти захисту
1. Об’єктами захисту є персональні дані.
2. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.
3. Персональні дані, зазначені у декларації про майно, доходи, витрати і зобов’язання фінансового характеру, оформленій за формою і в порядку, встановленими Законом України «Про засади запобігання і протидії корупції", не належать до інформації з обмеженим доступом, крім відомостей, визначених Законом України "Про засади запобігання і протидії корупції».
Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України «Про доступ до публічної інформації».
Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.
Захист персональних даних відповідно до Конвенції 108 РЄ і Директиви 95/46 ЄС зосереджується, насамперед, на процесі автоматизованої обробки персональних даних. Однак це не обмежує можливостей держав на рівні національних законодавств охопити єдиним правовим регулюванням усі способи обробки персональних даних, що і здійснено в Україні.
Так, відповідно до ст. 2 ЗУ «Про захист персональних даних», обробка персональних даних – це будь-яка дія або сукупність дій щодо персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем, таких як:
|
накопичення, |
поновлення, |
При цьому кількість осіб, персональні дані яких обробляються, значення не має, тобто будь-яка дія у будь-якій формі (електронній, паперовій, картковій тощо) навіть щодо персональної інформації однієї особи є обробкою персональних даних.
Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
Знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу.
Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних.
Слід зауважити, що відповідно до усталеної європейської практики захист персональних даних не вважається елементом обробки, оскільки не передбачає вчинення окремих дій з даними. Відповідно, захист персональних даних необхідно розглядати як окремий від обробки комплекс дій. Водночас, ЗУ «Про захист персональних даних» дії володільця щодо захисту тісно пов’язує з використанням персональних даних.
Закон України «Про захист персональних даних»
Стаття 10. Використання персональних даних
1. Використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.
2. Використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. Володільцю забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних з такими даними.
З точки зору виконання вимог законодавства про захист персональних даних серед специфічних дій з персональними даними необхідно виділяти такі види обробки як:
– обробка персональних даних у приватних цілях;
– обробка персональних даних у журналістських цілях;
– обробка персональних даних у творчих цілях.
Як вже зазначалося раніше, здійснення такої діяльності становить винятки у правовому регулюванні захисту персональних даних і, за умов забезпечення балансу прав і інтересів, не вимагає дотримання порядку обробки персональних даних, встановленого законом (ст. 25 ЗУ «Про захист персональних даних»).
точними й достовірними
знеособленими і зашифрованими
всі відповіді правильні
біометричні дані
інформація про політичні переконання
інформація про місце знаходження
персональні дані
конфіденційна інформація
всі відповіді правильні
відомості, які особа надає про себе
підписані особою документи
всі відповіді правильні
передавання третім особам
знеособлення
знищення
захист
тільки на обробку персональних даних в автоматизованих системах
на обробку персональних даних у паперових картотеках
на будь-яку обробку персональних даних повністю або частково здійснювану за допомогою автоматизованих систем