Суб’єкти правовідносин у сфері ПД

test.png

суб’єкт ПД

володілець ПД

розпорядник ПД

третя особа

Уповноважений

dekor2.png

Потреба в обробці персональних даних може існувати у найрізноманітніших ситуаціях, учасником яких виступає фізична особа. Задля виникнення тих чи інших правових зв’язків (цивільно-правових, трудових, кримінально-процесуальних, адміністративних тощо) людина надає необхідний обсяг відомостей особистого характеру (ім’я, прізвище, стан здоров’я, освіта, сімейний стан тощо) іншим особам, які повинні обробляти таку інформацію ґрунтуючись на повазі до права особи на недоторканість особистого життя.

Відповідно до ст. 4 ЗУ «Про захист персональних даних» суб’єктами відносин, пов’язаних із персональними даними є:

  • суб’єкт персональних даних;
  • володілець персональних даних;
  • розпорядник персональних даних;
  • третя особа;
  • Уповноважений Верховної Ради України з прав людини (далі – Уповноважений).

 

Суб’єкт

персональних даних

Суб’єкт персональних даних – це фізична особа, персональні дані якої обробляються (ст. 2 ЗУ «Про захист персональних даних»). Тобто, фактично це людина, якій «належать» персональні дані і яка вправі контролювати їх використання.

У Конвенції 108 РЄ суб’єкт персональних даних – «конкретно визначена особа або особа, яка може бути конкретно визначеною», а Директива 95/46/ЄС визначає суб’єкта даних як «встановлену фізичну особу або фізичну особу, яку можна встановити».

coe.png

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних

Стаття 2. Визначення

a) термін "персональні дані" означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі - суб'єкт даних).

ep.png

Директива 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»

Стаття 2. Визначення

(a) "персональні дані" означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи яку можна встановити ("суб'єкт даних"); особою, яку можна встановити, є така, яка може бути встановленою прямо чи непрямо, зокрема, за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним аспектам її особистості.

Національне законодавство не встановлює особливих ознак фізичної особи як суб’єкта персональних даних, тому, розглядаючи фізичну особу в даному контексті, слід виходити із загальноприйнятного цивільно-правового її розуміння.

Так, здатність мати цивільні права та обов’язки (правоздатність), зокрема всі особисті немайнові права, виникає у фізичної особи з моменту її народження та припиняється у момент смерті (ст.ст. 25, 26, 270 ЦКУ).

ua

Цивільний кодекс України

Стаття 270. Види особистих немайнових прав

Відповідно до Конституції України фізична особа має право на життя, право на охорону здоров’я, право на безпечне для життя та здоров’я довкілля, право на свободу та особисту недоторканість, право на недоторканість особистого і сімейного життя, право на повагу до гідності та честі…

Особисті немайнові права суб’єкта персональних даних на персональні дані є невід’ємними та непорушними (ст. 8 ЗУ «Про захист персональних даних»).

Задля реалізації контролю використання своїх персональних даних іншими суб’єктами особа наділяється комплексом прав, які називають правами суб’єкта персональних даних і стосуються надання згоди на обробку персональних даних, доступу до них, заперечення обробки, захист тощо.

Слід зауважити, що Конвенція 108 РЄ визначає суб’єкта персональних даних як особу (без уточнення фізична чи юридична) і не виключає застосовування в окремому порядку її положень «до інформації, яка стосується груп осіб, асоціацій, фондів, компаній, корпорацій та будь-яких інших організацій, що безпосередньо чи опосередковано складаються з окремих осіб, незалежно від того, мають чи не мають такі установи статус юридичної особи…» (п. b ст. 3). Таким чином, припускається можливість поширення правового регулювання захисту персональних даних деякою мірою і на організації, зокрема юридичних осіб, якщо це передбачатиме національне законодавство.

Рішення Європейського суду з прав людини у справі «Бернх Ларсен Холдинг АС» та інші проти Норвегії» (Bernh Larsen Holding AS and Others v. Norway), № 24117/08 від 14 березня 2013 р.

Рішення Європейського суду з прав людини у справі «Ліберті» та інші проти Сполученого Королівства» (Liberty and Others v. the United Kingdom), № 58243/00 від 1 липня 2008 р.

У праві Європейського Союзу суб’єктом персональних даних може бути тільки фізична особа, а п. 24 преамбули Директиви №95/46/ЄС визначає, що «законодавство про захист юридичних осіб при обробці даних, які їх стосуються, не зачіпається даною Директивою».

Окрім того, відповідно до висновку робочої групи «Стаття 29», незалежного консультативного органу утвореного відповідно до ст. 29 Директиви 95/46/ЄС у 1996 році з метою гармонізації європейського права та полегшення його застосування європейськими країнами у сфері персональних даних, тільки жива особа може перебувати під захистом європейського законодавства про захист персональних даних. (Робоча група «Стаття 29» (2007), Висновок 4/2007 щодо концепції персональних даних, РГ 136, 20 червня 2007, с. 22).

В Україні законодавство в сфері захисту персональних даних на юридичних осіб не поширюється.

Володілець

персональних даних

Володілець персональних даних (в міжнародних актах – контролер) – це фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом (ст. 2 ЗУ «Про захист персональних даних»).

Наведене визначення потребує деякого уточнення, адже визначати мету та встановлювати склад персональних даних самостійно має право лише володілець персональних даних у правовідносинах приватного характеру (володілець – юридична особа приватного права: автосалон, супермаркет, фізична особа-підприємець). Якщо обробка персональних даних здійснюється державним органом, органом місцевого самоврядування, які діють виключно в межах повноважень, визначених законом, то зазвичай обсяг та мета обробки вже сформульовані відповідними актами законодавства, що регламентують діяльність таких володільців.

У даному контексті, більш вдале визначення надано в Конвенції 108 РЄ, де контролеру (володільцеві) надається право самостійно чи разом з іншими приймати рішення щодо обробки персональних даних.

coe.png

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних

Стаття 2. Визначення

d) термін "контролер файлу" означає фізичну або юридичну особу, державний орган, установу чи будь-який інший орган, що уповноважений відповідно до національного законодавства вирішувати, яким повинно бути призначення файлу даних для автоматизованої обробки, які категорії персональних даних повинні зберігатися та які операції повинні здійснюватися з ними.

ep.png

Директива 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»

Стаття 2. Визначення

(d) "контролер" означає фізичну чи юридичну особу, державний орган, агентство або будь-який інший орган, що, окремо чи разом з іншими, визначає цілі і засоби обробки персональних даних; якщо цілі і засоби обробки визначені законодавчими чи нормативними положеннями держави чи Співтовариства, контролер або особливі критерії його призначення можуть визначатися правом держави чи Співтовариства.

Володільцем персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи-підприємці, які обробляють персональні дані на законних підставах.

ВОЛОДІЛЬЦІ ПД

СУБ'ЄКТИ ПД

Юридичні особи – роботодавці

Працівники, кандидати на роботу

Телекомунікаційні компанії

Контрактні абоненти

Магазини та підприємства послуг

Клієнти/власники дисконтних карток

Заклади охорони здоров’я, виробники ліків

Пацієнти, учасники медичних випробувань

Політичні партії, профспілки, релігійні, спортивні організації

Члени політичних партій, профспілок, релігійних, спортивних організацій

Банки, страхові компанії

Індивідуальні клієнти, працівники корпоративних клієнтів

Державна міграційна служба України

Громадяни України

Органи МВС

Особи, яким повідомлено про підозру у вчиненні правопорушення

Якщо персональні дані щодо однієї й тієї ж особи, на достатній правовій підставі обробляються (зберігаються) різними суб’єктами (фізичними чи юридичними осібами), кожна така особа є самостійним володільцем персональних даних.

Якщо право приймати рішення щодо обробки однієї бази персональних даних мають декілька суб’єктів, то вони виступають співволодільцями цієї бази. Проте, якщо той чи інший співволоділець має право самостійно приймати рішення щодо обробки окремої частини бази персональних даних, то він в повній мірі є володільцем цього об’єму даних.

Володілець має право здійснювати обробку персональних даних тільки на законних підставах і виключно тих даних, які відповідають законній меті обробки.

Державно-владні суб’єкти (державні органи, органи місцевого самоврядування) мають право обробляти персональні дані тільки в тому випадку, коли це необхідно для виконання ними своїх повноважень, визначених законом.

Закон України «Про національну поліцію»

Cтаття 25. Повноваження поліції у сфері інформаційно-аналітичного забезпечення

1. Поліція здійснює інформаційно-аналітичну діяльність виключно для реалізації своїх повноважень, визначених цим Законом.

2. Поліція в рамках інформаційно-аналітичної діяльності: 1) формує бази (банки) даних, що входять до єдиної інформаційної системи Міністерства внутрішніх справ України; 2) користується базами (банками) даних Міністерства внутрішніх справ України та інших органів державної влади. …..

3. Поліція може створювати власні бази даних, необхідні для забезпечення щоденної діяльності органів (закладів, установ) поліції у сфері трудових, фінансових, управлінських відносин, відносин документообігу, а також міжвідомчі інформаційно-аналітичні системи, необхідні для виконання покладених на неї повноважень.

4. Діяльність поліції, пов’язана із захистом та обробкою персональних даних, здійснюється на підставах визначених Конституцією України, Законом України «Про захист персональних даних», іншими законами України.

Володільці персональних даних у сфері приватноправових відносин, зважаючи на диспозитивний характер їх взаємодії із суб’єктом персональних даних, у своїй діяльності керуються не лише правами і обов’язками, а й законними інтересами. Необхідність, мета обробки та обсяги даних, що обробляються такими володільцями, можуть визначатися як законом (наприклад, діяльність банків щодо обробки інформації про клієнтів визначено ЗУ «Про банки та банківську діяльність»), так і самостійно володільцем з відповідним закріпленням локальними правовими актами (наприклад, установчими документами володільця).

Можливість використання персональних даних володільцем передбачає створення ним необхідних умов для їх захисту. Зобов’язання забезпечити захист персональних даних від випадкових втрати, знищення, незаконної обробки чи незаконного доступу закріплено ч. 1 ст. 24 ЗУ «Про захист персональних даних» та поширюється на всіх володільців, розпорядників персональних даних, третіх осіб.

Володільці персональних даних самостійно встановлюють порядок обробки персональних даних, враховуючи її специфіку у різних сферах, відповідно до вимог нормативно-правових актів (п. 1.2. Типового порядку обробки персональних даних). Зокрема володілець персональних даних визначає:

  • мету та підстави обробки персональних даних;
  • категорії суб’єктів персональних даних персональні даних яких підлягають обробці;
  • склад персональних даних суб’єкта, який необхідний для здійснення володільцем своїх обов’язків чи покладених на нього повноважень;
  • порядок обробки персональних даних.

Порядок обробки персональних даних, визначених володільцем, повинен містити інформацію щодо:

  • – способу збору, накопичення персональних даних;
  • – строків та умов зберігання персональних даних;
  • – умов та процедури зміни, видалення та знищення персональних даних;
  • – умов та процедури передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;
  • – порядку доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних;
  • – заходів забезпечення захисту персональних даних;
  • – процедур збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.

Відповідно до п. 6 ст. 6 ЗУ «Про захист персональних даних» та п. 2.7 Типового порядку обробки персональних даних обробка персональних даних здійснюється володільцем лише за згодою суб’єкта персональних даних, крім випадків, коли така згода не вимагається законом.

Володілець зобов’язаний повідомляти суб’єкта персональних даних про всі дії, які проводяться з його персональними даними.

До обов’язків володільця, встановлених законом, належить також обов’язок невідкладно, з моменту встановлення невідповідності, вносити зміни до персональних даних, які не відповідають дійсності у випадках:

  1. – наявності вмотивованої письмової вимоги суб’єкта персональних даних;
  2. – за зверненням інших суб’єктів відносин, пов’язаних із персональними даними, якщо на це є згода суб’єкта персональних даних;
  3. – згідно з приписом Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого;
  4. – за рішенням суду, що набрало законної сили. Володілець персональних даних може на підставі договору, укладеного у письмовій формі, доручити обробку персональних даних розпорядникові.

Розпорядник

персональних даних

Розпорядником є фізична або юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця (ст. 2 ЗУ «Про захист персональних даних»).

Майже ідентичне визначення міститься і в міжнародних правових актах у сфері обробки персональних даних, де розпорядникові відповідає термін «оператор обробки даних».

При цьому розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу (ч. 3 ст. 4 ЗУ «Про захист персональних даних»). Це обумовлене специфікою управлінської функції, яку реалізують органи державної влади або місцевого врядування.

Необхідність існування розпорядника як додаткового суб’єкта правовідносин із обробки та захисту персональних виникає як правило тоді, коли можливості володільця щодо обробки персональних даних є дещо обмеженими. Наприклад, у фізичної особи-підприємця, який виступає володільцем, немає фінансової можливості задля здійснення обробки персональних даних, або штатна структура юридичної особи-володільця не передбачає посади фахівця із обробки персональних даних тощо.

Одна й таж сама юридична особа може виступати розпорядником персональних даних для інших володільців (наприклад, надаючи послуги із професійної обробки персональних даних) та, водночас, володільцем персональних даних, здійснюючи обробку для власних цілей (наприклад, для управління своїм персоналом, заробітними платами та рахунками).

Розпорядник може діяти тільки на договірних засадах, обробляючи персональні дані лише з метою і в обсязі, визначеними в договорі. Відсутність договору між володільцем і розпорядником є порушенням порядку обробки персональних даних.

Отже, обсяг прав та обов’язків розпорядника, зміст його правомочностей обмежено умовами договору. Дана норма, закріплена національним законодавством, відповідає міжнародним стандартам захисту персональних даних. Зокрема, Конвенція 108 РЄ зазначає, що будь-яка особа, яка діє у підпорядкуванні контролеру чи оператору обробки, включаючи самого оператора обробки, який має доступ до персональних даних, не повинні обробляти їх інакше, як за вказівкою контролера, за винятком тих випадків, коли це вимагається законом.

Банк укладає письмовий договір комісії із приватною компанією, за яким остання зобов’язується вчинити на користь банка дії щодо повернення простроченої заборгованості боржників. Для виконання договору банк передає компанії реєстр боржників, який містить їх персональні дані. У даній ситуації банк вступає володільцем персональних даних, клієнт банку – суб’єкт персональних даних, компанія – розпорядник персональних даних.

Необхідно зазначити, що суб’єкт персональних даних на етапі укладення договору із банком (наприклад кредитного), повинен бути попереджений та надати згоду щодо обробки його персональних даних, у тому числі й щодо передачі їх розпорядникові. У свою чергу розпорядник обробляє персональні дані боржників виключно в межах повноважень, наданих банком, і зобов’язується дотримуватись режиму конфіденційності щодо переданої банком інформації. Жодних додаткових повноважень у порівнянні з банком компанія не отримує.

Засоби обробки персональних даних розпорядник може визначати самостійно. Проте володілець має право безперешкодно втручатися в рішення розпорядника щодо таких засобів, контролювати відповідність його рішень законодавству про захист персональних даних тощо. Вказані повноваження володільця безпосередньо кореспондуються із його обов’язком нести відповідальність перед суб’єктом персональних даних за порушення його прав.

При цьому в європейському праві висловлюється думка про можливість солідарної відповідальності контролера і оператора за завдані суб’єкту даних збитки, що забезпечуватиме суб’єктам персональних даних більш широкий діапазон захисту.

Дії із обробки персональних даних, повинні здійснюватися працівниками розпорядника відповідно до їхніх професійних, службових або трудових обов’язків. Працівники зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням функціональних обов’язків, крім випадків передбачених законом. Таке зобов’язання залишається чинним й після припинення ними діяльності, пов’язаної з персональними даними протягом строку і в межах встановлених законодавством (ст. 10 ЗУ «Про захист персональних даних»).

Третя особа

Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця та розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Дане визначення майже повністю співпадає із поняттям третьої особи, наданим в Директиві 95/46/ЄС, в якій третя сторона означає будь-яку фізичну чи юридичну особу, державний орган, агентство чи будь-який інший орган, інший ніж суб'єкт даних, контролер, оператор обробки даних і особи, що, будучи безпосередньо підпорядкованими контролеру чи оператору обробки даних, уповноважені обробляти дані.

СУБ'ЄКТИ ПД

ВОЛОДІЛЬЦІ ПД

ТРЕТЯ ОСОБА

Працівники

Юридичні особи - роботодавці

Пенсійний фонд України, органи фіскальної служби

Працівники, студенти

Юридична особа – роботодавець, ВНЗ

Військові комісаріати

Громадянин України

Медичні заклади

Суд

Клієнти банків

Банки, Українська міжбанківська Асоціація Членів Платіжних систем

Державна служба фінансового моніторингу, правоохоронні органи

Слід звернути увагу, що поняття третьої особи в повній мірі охоплюється категорією одержувач персональних даних. У значенні ст. 1 ЗУ «Про захист персональних даних» одержувач – фізична або юридична особа, якій надаються персональні дані, у тому числі третя особа. У ст. 2 (g) Директиви 95/46/ЄС одержувач – це фізична або юридична особа, державний орган, установа чи будь-який інший орган, якому надаються дані, незалежно від того є він третьою особою, чи ні.

Отже, у випадках коли одержувачем є особа, що не входить до складу володільця або розпорядника, тоді цей одержувач – третя особа. Одержувач, який входить до складу володільця або розпорядника (наприклад, співробітник або інший відділ у межах однієї компанії або державного органу) третьою особою не вважається.

Це розмежування має практичне значення в контексті вимог законного передавання персональних даних. Працівники володільця або розпорядника можуть без будь-яких додаткових підстав одержувати персональні дані, якщо беруть участь у їх обробці. Третя ж особа, для того, щоб отримати персональні дані, повинна мати достатні правові підстави, передбачені ст. 11 ЗУ «Про захист персональних даних».

Правовідносинам у сфері персональних даних, однією із сторін яких виступає третя особа, властиві деякі істотні особливості.

По-перше, персональні дані третя особа отримує не безпосередньо від суб’єкта персональних даних, а від володільця чи розпорядника, якщо можливість такого передавання обумовлена згодою суб’єкта персональних даних або іншими законними підставами.

По-друге, мета обробки персональних даних третьою особою буде відмінною від мети, з якою персональні дані збиралися володільцем (розпорядником).

Безперечно, що треті особи у правовідносинах пов’язаних з обробкою та захистом персональних даних зобов’язані не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено у зв’язку із виконанням професійних обов’язків.

Уповноважений

Згідно з Конвенцією 108 РЄ кожна держава-член зобов’язана призначити Уповноважений орган нагляду у сфері захисту персональних даних та направити відповідне повідомлення Генеральному секретарю Ради Європи. Завдання Уповноваженого передбачають створення належного організаційно-правового упорядкування відносин для захисту персональних даних в країні. З метою забезпечення незалежності уповноваженого органу з питань захисту персональних даних ЗУ «Про захист персональних даних» уповноваженим органом у сфері контролю за додержанням законодавства про захист персональних даних визначено Уповноваженого Верховної Ради України з прав людини (далі Уповноважений).

Ст. 23 ЗУ «Про захист персональних даних» наділяє Уповноваженого повноваженнями щодо:

  1. – отримання пропозицій, скарг, звернень фізичних та юридичних осіб з питань захисту персональних даних;
  2. – перевірки володільців та розпорядників персональних даних з можливістю безперешкодного доступу до їх приміщень та витребування будь-якої інформації (документів), які необхідні для здійснення контролю за забезпеченням захисту персональних даних;
  3. – затвердження нормативно-правових актів, видання обов’язкових для виконання вимог про запобігання або усунення порушень законодавства про захист персональних даних;
  4. – взаємодії із державними органами, органами місцевого самоврядування, міжнародними організаціями з питань організації роботи із захисту персональних даних тощо.

З метою реалізації вказаних функцій Уповноваженим в структурі Секретаріату Уповноваженого створено Управління з питань захисту персональних даних, яке очолює Представник Уповноваженого з питань захисту персональних даних.

Порядок здійснення Уповноваженим контролю за додержанням законодавства про захист персональних даних в Україні визначено Наказом Уповноваженого ВРУ з прав людини №1/02-14 від 08.01.14. Ним зокрема визначено порядок проведення перевірок фізичних осіб, фізичних осіб-підприємців, юридичних осіб усіх форм власності, органів державної влади та місцевого самоврядування, що є володільцями та/або розпорядниками персональних даних; вимоги до оформлення та розгляду результатів таких перевірок.

Професійні, самоврядні та інші громадські об’єднання чи юридичні особи можуть розробляти кодекси поведінки з метою забезпечення ефективного захисту прав суб’єктів персональних даних, додержання законодавства про захист персональних даних з урахуванням специфіки обробки персональних даних у різних сферах. При розробленні такого кодексу поведінки або внесенні змін до нього відповідне об’єднання чи юридична особа може звернутися за висновком до Уповноваженого (cт. 27 ЗУ «Про захист персональних даних»).

« на початок сторінки »

Суб’єктом персональних даних відповідно до ЗУ «Про захист персональних даних» може бути:
фізична та юридична особа
фізична особа
фізична особа, юридична особа та фізична особа-підприємець
законом не це питання не врегульоване
Фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки це:
володілець персональних даних
суб’єкт персональних даних
розпорядник персональних даних
оператор персональних даних
У міжнародних нормативно-правових актах поняттю «володілець персональних даних» відповідає термін:
розпорядник
контролер
оператор
управна сторона
Володільцем персональних даних можуть бути:
підприємства, установи державної і комунальної форми власності
органи державної влади чи органи місцевого самоврядування
фізичні особи
юридичні особи та фізичні особи-підприємці
усі відповіді правильні
Зобов’язання забезпечити захист персональних даних від випадкових втрати, знищення, незаконної обробки чи незаконного доступу:
поширюється на всіх володільців, розпорядників персональних даних, третіх осіб
покладено на державу
поширюється на розпорядників персональних даних
покладено на суб’єкта персональних даних
Працівники володільця зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням функціональних обов’язків:
протягом дії трудового контракту з роботодавцем
й після припинення ними діяльності, пов’язаної з персональними даними протягом строку і в межах встановлених законодавством
протягом строку, передбаченого зобов’язанням працівника про нерозголошення персональних даних
протягом одного року, з моменту початку обробки персональних даних
Уповноваженим органом у сфері контролю за додержанням законодавства про захист персональних даних визначено:
Кабінет Міністрів України
Верховну Раду України
Уповноваженого Верховної Ради України з прав людини
Міністерство інформаційної політики України

© О.О. Тихомиров та ін. | Право, суспільство, держава, безпека: інформаційний вимір | tihoma-law.at.ua