Захист персональних даних

обробка «чутливих» ПД

згода суб’єкта ПД

дозвіл, відповідно до закону

укладення та виконання правочину

захист життєво важливих інтересів суб’єкта ПД

обов’язкок володільця ПД, передбачений законом

захист законних інтересів володільців ПД, третіх осіб

Загальновизнаним постулатом правового регулювання у сфері персональних даних є однозначна заборона безпідставної їх обробки. За відсутності належних правових підстав обробка персональних даних вважається порушенням права людини на приватність і є незаконною.

Ст. 11 ЗУ «Про захист персональних даних» визначає вичерпний перелік підстав, за наявності яких обробка персональних даних буде законною.

Закон України «Про захист персональних даних»

Стаття 11. Підстави для обробки персональних даних

1. Підставами для обробки персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;

6) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Вочевидь таке формулювання підстав є максимально узагальненим і стосується обробки всіх категорій персональних даних, зокрема чутливих. Кожною з цих підстав охоплюється певне коло випадків обробки персональних даних, що можуть виникати в реальному житті. При цьому для законної обробки персональних даних достатньо однієї і будь-якої підстави з переліку, визначеного Законом.

На відміну від ЗУ «Про захист персональних даних» європейські правові документи безпосередньо не виділяють підстав обробки як таких, а встановлюють можливості (випадки) обробки персональних даних через систему ключових правил (вимог, критеріїв), що гарантують дотримання принципу законності. Отже підстави обробки персональних даних, визначені національним законодавством України, у будь якому разі необхідно розглядати і тлумачити виходячи з відповідних положень міжнародних документів, імплементацією яких вони є.

Обробка чутливих персональних даних за загальним правилом забороняється і може здійснюватися тільки як виняток, чітко передбачений національним законодавством і забезпечений відповідними правовими гарантіями (див. ст. 6 Конвенції 108 РЄ, ст. 8 Директиви 95/46 ЄС).

Зазначені особливості підстав обробки чутливих персональних даних знайшли своє втілення в особливих вимогах до обробки персональних даних, закріплених у ст. 7 ЗУ «Про захист персональних даних».

Закон України «Про захист персональних даних»

Стаття 7. Особливі вимоги до обробки персональних даних

1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.

2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:

1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;

3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;

4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;

5) необхідна для обґрунтування, задоволення або захисту правової вимоги;

6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю;

7) стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом;

8) стосується даних, які були явно оприлюднені суб'єктом персональних даних.

Критерії законної обробки чутливих персональних даних, фактично визначені у ст. 7 ЗУ «Про захист персональних даних», не виходять поза межі загальних підстав обробки персональних даних, встановлених ст. 11 цього закону, а є їхньою деталізацією стосовно саме чутливих даних у відповідності до вимог ст. 6 Конвенції 108 РЄ.

Загальні підстави обробки персональних даних, перелік яких визначає ст. 11 ЗУ «Про захист персональних даних», можна розділити на дві групи:

1) ті, що базуються на згоді особи, вираженій як у формі окремого документа, так і певними цілеспрямованими правомірними діями цієї особи (підстави 1, 3);

2) ті, які не вимагають отримання згоди і ґрунтуються на правах, обов’язках і законних інтересах інших суб’єктів (підстави 2, 4-6).

1. Згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди (ст. 2 ЗУ «Про захист персональних даних»).

Згода суб’єкта даних означає будь-яке вільно виражене спеціальне і поінформоване зазначення його бажань, за допомогою якого суб'єкт даних дає свою згоду на обробку персональних даних, які його стосуються (п. (h) ст. 2 Директиви 95/46 ЄС).

Отже ключовими рисами згоди особи на обробку персональних даних є:

– добровільність волевиявлення;

– поінформованість;

– можливість підтвердження надання згоди.

Добровільність згоди означає відсутність прямого чи опосередкованого примусу під час її надання. Суб’єкт персональних даних самостійно приймає рішення щодо того, чи давати, чи не давати згоду на обробку своїх персональних даних. Окрім того, надавши згоду, суб’єкт персональних даних має право змінити своє рішення і відкликати її (див. п. 11 ч. 2 ст. 8 ЗУ «Про захист персональних даних»). У такому разі володілець повинен припинити обробку, знищити або видалити персональні дані особи, яка відкликала свою згоду.

Під інформованою згодою варто розуміти добровільне, усвідомлене прийняття особою рішення про надання згоди на обробку її персональних даних, яке ґрунтується на одержанні нею повної, об’єктивної і всебічної інформації стосовно цієї обробки. Уся необхідна інформація повинна безпосередньо надаватися особі до прийняття рішення в доступній, простій, зрозумілій формі.

Основні питання, відповіді на які забезпечують свідоме рішення особи щодо надання згоди на обробку персональних даних:

– Хто оброблятиме персональні дані? (Назва володільця персональних даних, його адреса, контактні телефони, тощо);

– З якою метою оброблятимуться персональні дані? (Мета має бути сформульована чітко та зрозуміло);

– Які персональні дані будуть оброблятися? (Конкретний вичерпний перелік персональних даних особи, який планується обробляти);

– Які дії з персональними даними передбачатиме їх обробка? (Збір, зберігання, передача, оприлюднення, знеособлення тощо);

– Хто є розпорядником персональних даних? Які права і повноваження розпорядника щодо обробки персональних даних?

– Кому можуть бути передані персональні дані? З якою метою? На яких підставах?

– Скільки часу персональні дані будуть зберігатися у володільця?

– Яким чином особа може відкликати згоду на обробку персональних даних та які наслідки такої дії?

Хоча закон не передбачає конкретних засобів надання такої інформації, однак логічно, що володілець повинен забезпечити можливість підтвердження факту її доведення інформації особі, оскільки в протилежному випадку це може розглядатися як порушення вимог ст. 12 ЗУ «Про захист персональних даних».

Закон України «Про захист персональних даних»

Стаття 12. Збирання персональних даних

2. Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані:

в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;

в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

ЗУ «Про захист персональних даних» чітко не визначає й форми надання згоди на обробку персональних даних. Це може бути окремий документ, який підписує суб’єкт персональних даних, чи відповідне позначення в електронному вигляді, одна з умов договору, будь-яка інша форма, яка дасть змогу зробити висновок про однозначне надання згоди (написання заяви, заповнення анкети, реєстрація учасника або користувача тощо). У будь-якому разі володілець, отримавши згоду, повинен мати змогу підтвердити її наявність (на вимогу особи/суду/Уповноваженого) протягом усього періоду обробки персональних даних.

Слід наголосити, що згода на обробку персональних даних також має бути пропорційною меті обробки. Неприпустимим є отримання згоди особи на обробку перебільшеної кількості її персональних даних. Тому, навіть якщо особа надала згоду на обробку персональних даних, частина з яких по своїй суті не забезпечує досягнення поставленої мети обробки, така обробка розглядатиметься як непропорційна і буде порушенням законодавства про захист персональних даних.

2. Дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень.

Оскільки ця підстава виходить з необхідності здійснення повноважень володільця, то цілком логічно що йдеться випадки обробки персональних даних державними органами та іншими уповноваженими особам. Вони як представники державної влади діють від імені суспільства, задля забезпечення суспільних інтересів, у межах повноважень (прав та обов’язків) чітко передбачених законом.

Це підтверджується і аналогічним положенням Директиви 95/46 ЄС, яка визнає обробку законною у випадках, коли вона необхідна «для виконання завдання, здійснюваного в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані» (п. (е) ст. 7).

Відтак, якщо володілець має визначені законом повноваження, реалізація яких потребує обробки персональних даних, то це вже є достатньою законною підставою. При цьому обробці підлягає тільки обсяг персональних даних, який є необхідним і достатнім для досягнення законної мети обробки, тобто для забезпечення виконання конкретних завдань/повноважень володільця, передбачених законом.

Позовна заява до суду зокрема має містити: ім’я позивача і відповідача, їх місце проживання (перебування), поштовий індекс, номери засобів зв’язку, а також іншу інформацію (яка також може містити персональні дані), необхідну для обґрунтування позовних вимог (ст. 119 Цивільного процесуального Кодексу України).

Національне агентство з питань запобігання корупції проводить повну перевірку декларацій, які щорічно подаються особами, уповноваженими на виконання функцій держави або місцевого самоврядування (ст. 48 ЗУ «Про запобігання корупції»)

Звичайно, як і в будь-якому іншому випадку, дотримання принципу законності вимагає належного регламентування процесу обробки персональних даних нормативно-правовими актами, що регулюють діяльність володільця.

3. Укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних.

Ця підстава для обробки персональних даних є однією з найпоширеніших і фактично також базується на згоді особи.

Критерій законності обробки, який найбільше відповідає цій підставі, у Директиві 95/46 ЄС сформульовано як «обробка необхідна для виконання контракту, стороною якого є суб'єкт даних, чи для вживання заходів на прохання суб'єкта даних до підписання контракту» (п. (b) ст. 7).

Використання в ЗУ «Про захист персональних даних» терміну «правочин» зумовлено особливостями цивільного законодавства України, в якому поняттям правочину охоплюються зокрема й цивільно-правові договори.

Цивільний кодекс України визначає:

– правочином є дія особи (узгоджені дії двох і більше осіб), спрямована на набуття, зміну або припинення цивільних прав та обов'язків (ст. 202);

– фізична особа набуває прав та обов'язків і здійснює їх під своїм ім'ям (ст. 28) (при здійсненні окремих цивільних прав фізична особа відповідно до закону може використовувати псевдонім);

– волевиявлення учасника правочину має бути вільним і відповідати його внутрішній волі (ст. 203)

Зміст наведених положень демонструє нерозривний зв'язок між правочином і згодою особи, а саме – укладення правочину фактично містить у собі згоду на обробку всієї необхідної для цього інформації.

Укладаючи різноманітні правочини, особи повинні індивідуалізувати себе як учасники правовідносин (суб’єкти права) за допомогою інформації, яка становить персональні дані. Індивідуалізація фізичної особи є об’єктивною потребою встановлення правових відносин. Без належної індивідуалізації особа не може бути ідентифікована як їх учасник і, відповідно, правочин не може бути укладений.

Перелік інформації, що необхідна для укладення правочинів, ґрунтується на вимогах достатності, залежить від виду й форми конкретного правочину. В Україні уповноважені державні органи нерідко затверджують типові форми договорів та інших правочинів, в яких визначається необхідний обсяг інформації про їх учасників.

Типовий договір оренди землі

Типова форма контракту з працівником

Довіреність на представництво інтересів у суді

Укладення правочину як підстава обробки персональних даних також означає, що перед вчиненням правочину суб’єкту надаватиметься вся необхідна інформація щодо цієї обробки, передбачена ст. 12 ЗУ «Про захист персональних даних», у такому ж вигляді, як і у випадку надання окремої згоди на обробку персональних даних. При чому, якщо йдеться про письмовий договір, то інформація щодо обробки персональних даних може становити частину його змісту, що забезпечить гарантовану фіксацію інформування й згоди суб’єкта персональних даних.

Розглядаючи укладення правочину в системі підстав обробки персональних даних, необхідно звернути увагу на те, що відповідний критерій законності обробки, визначений Директивою 95/46 ЄС (необхідність виконання чи підписання контракту), має значно ширший зміст і очевидно охоплює собою всі контракти (договори), сторонами яких виступають фізичні особи, а не тільки цивільно-правові. Договори, контракти передбачені національним законодавством України також у сфері трудових, сімейних відносин.

При укладенні трудового договору громадянин зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, – також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи (ст. 24 Кодексу законів України про працю).

У контексті регулювання обробки персональних даних укладення таких договорів не відрізняється від укладення цивільно-правового договору або вчинення будь-якого іншого правочину, тому всі вони мають розглядатися в межах однієї підстави обробки персональних даних, що зокрема відповідає і європейському розумінню законності обробки.

Таким чином, вчиняючи правочини, а також укладаючи інші договори (контракти), особа усвідомлює свої правові дії, є поінформованою про їх зміст і наслідки, що фактично є виразом згоди на обробку персональних даних.

4. Захист життєво важливих інтересів суб’єкта персональних даних. Ідентичне формулювання критерію законності обробки персональних даних міститься в п. (d) ст. 7 Директиви 95/46 ЄС.

Ця підстава дозволяє обробку персональних даних без згоди особи, якщо на момент виникнення потреби захисту її життєво важливих інтересів отримати від неї згоду неможливо.

На практиці обставини, що вимагають захисту життєво важливих інтересів особи та, водночас, унеможливлюють отримання від неї згоди на обробку персональних даних, можуть бути різними.

– надання медичним працівником медичної допомоги особі у стані без свідомості;

– здійснення правоохоронними органами розшуку безвісно відсутньої особи;

– вчинення органом опіки і піклування дій, спрямованих на захист інтересів недієздатної особи.

При цьому слід враховувати вимогу ч. 7 ст. 6 ЗУ «Про захист персональних даних», а саме – якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб’єкта персональних даних, обробляти персональні дані без його згоди можна до того часу, коли отримання згоди стане можливим.

Як правило на цій підставі персональні дані обробляються на компетентній основі, тобто володільці здійснюють дії, що вимагають обробки, в межах своєї професійної діяльності, зокрема це може бути їх законним обов’язком. А оскільки такі випадки пов’язані із захистом прав і свобод людини – одним з пріоритетів сучасного суспільства, то вони з позицій права є виправданими.

Закон України «Основи законодавства України про охорону здоров’я»

Стаття 3. Поняття і терміни, що вживаються в законодавстві про охорону здоров’я

… невідкладний стан людини – раптове погіршення фізичного або психічного здоров’я, яке становить пряму та невідворотну загрозу життю та здоров’ю людини або оточуючих її людей і виникає внаслідок хвороби, травми, отруєння або інших внутрішніх чи зовнішніх причин; …

Стаття 37. Надання медичної допомоги в невідкладних та екстремальних ситуаціях

Медичні працівники зобов’язані невідкладно надавати необхідну медичну допомогу у разі виникнення невідкладного стану людини…

Стаття 43. Згода на медичне втручання

… Згода пацієнта чи його законного представника на медичне втручання не потрібна лише у разі наявності ознак прямої загрози життю пацієнта за умови неможливості отримання з об’єктивних причин згоди на таке втручання від самого пацієнта чи його законних представників…

5. Необхідність виконання обов’язку володільця персональних даних, який передбачений законом.

Відповідно до вказаного положення володілець без згоди особи може здійснювати обробку виключно тих персональних даних, які необхідні для виконання ним свого обов’язку, передбаченого законом. Директива 95/46 ЄС аналогічне положення визначає таким чином – «обробка необхідна для дотримання правового зобов'язання, яким зв'язаний контролер» (п. (c) ст. 7).

При цьому слід звернути увагу на такі важливі моменти.

По-перше, цю підставу необхідно розглядати у взаємозв’язку з підставою, передбаченою п. 2 ч. 1 ст. 11 ЗУ «Про захист персональних даних», де йдеться про обробку персональних даних володільцем «відповідно до закону виключно для здійснення його повноважень», що можливо тільки в діяльності державно-владних суб’єктів. У такому разі «необхідність виконання обов’язку володільця персональних даних, який передбачений законом» використовується щодо інших володільців персональних даних, які не є державно-владними суб’єктами.

По-друге, що ця підстава стосується не тільки виконання безпосередньо визначеного законом обов’язку обробляти персональні дані (наприклад, обов’язок надавати інформацію на запит уповноважених органів), а й будь-яких інших обов’язків володільця, визначених законом, виконати які не можливо без обробки персональних даних (наприклад, ведення обліку клієнтів, користувачів, споживачів з метою надання послуг). У другому випадку володілець самостійно, але керуючись усіма вимогами принципу законності, вирішує чи потребує виконання того чи іншого обов’язку обробки персональних даних і яких саме.

– лікарні зобов’язані відповідно до закону зберігати інформацію про лікування хворих протягом певного часу;

– роботодавці повинні обробляти персональні дані своїх працівників з метою соціального забезпечення та оподаткування;

– банки зберігають інформацію про фінансові операції клієнтів (навіть після припинення договору) для забезпечення здійснення фінансового моніторингу.

6. Необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Дане положення ЗУ «Про захист персональних даних» у порівнянні з відповідним положенням Директиви 95/46 ЄС сформульовано значно вужче.

Так, у цьому разі, п. (f) ст. 7 Директиви 95/46 ЄС встановлює, що персональні дані можуть оброблятися, якщо «обробка необхідна в цілях законних інтересів, переслідуваних контролером чи третьою стороною або сторонами, для яких надаються дані, крім випадків, коли над такими інтересами переважають інтереси основних прав і свобод суб'єкта даних, що вимагають захисту».

Отже, п. 6 ч. 1 ст. 11 ЗУ «Про захист персональних даних» припускає обробку персональних даних тільки для захисту законних інтересів володільців і третіх осіб, виключаючи при цьому, на відміну від п. (f) ст. 7 Директиви 95/46 ЄС, можливість обробки персональних даних з метою реалізації законних інтересів, а також захисту й реалізації прав володільців і третіх осіб.

Що стосується другої частини цієї підстави, то вона фактично встановлює обмеження на обробку в тому випадку, коли «суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес».

Однак трактовка європейським правом цієї підстави ґрунтується на достатніості для припинення обробки вже того факту, що потреби захисту персональних даних переважають інтерес володільця (третьої особи) та не передбачає такої умови як вимога суб’єкт персональних даних припинити обробку. Це означає, що потреби захисту основоположних прав і свобод осіб в процесі обробки персональних даних апріорі важливіші за законні інтереси володільців і третіх осіб, задля реалізації й захисту яких здійснюється така обробка. За європейським розумінням володілець самостійно повинен адекватно визначати баланс інтересів та за необхідності не розпочинати або припиняти обробку, не чекаючи заперечення з боку суб’єкта персональних даних.

Класичним прикладом законного інтересу у сфері захисту персональних даних є прямий маркетинг. Прагнення просувати свої товари шляхом відправлення повідомлень потенційним споживачам не є правом, гарантованим законом, але й не є ним заборонено, тому воно є інтересом щодо якого може застосовуватися остання підстава.