Права суб’єкта ПД та шляхи їх реалізації
право знати про обробку ПД
право на доступ до ПД
право вносити застережння щодо обробки ПД
право на заперечення обробки ПД та зміну ПД
право відкликати згоду на обробку ПД
право на захист від незаконної обробки
право на захист від автоматизованого рішення, яке має правові наслідки для суб’єкта ПД
Права суб’єкта персональних даних закріплені ст. 8 ЗУ «Про захист персональних даних». Міжнародні акти деталізованого переліку прав не містять, відображаючи їх більш узагальнено, зосереджуючи основну увагу на шляхах їх реалізації.
Права суб’єкта на персональні дані належать до особистих немайнових прав. Закон характеризує їх як невід’ємні, непорушні та визнає на кожною фізичною особою.
У п.п. 1, 2 ч. 2 ст. 8 ЗУ «Про захист персональних даних» закріплено право суб'єкта знати про обробку своїх персональних даних.
Закон України «Про захист персональних даних»
Стаття 8. Права суб’єкта персональних даних
2. Суб’єкт персональних даних має право:
1) знати про джерела збирання,
місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або
місце проживання (перебування) володільця чи розпорядника персональних даних або
дати відповідне доручення щодо отримання цієї інформації уповноваженим ним
особам, крім випадків, встановлених законом.
Це положення відповідає змісту норми, передбаченої ст. 8 Конвенції 108 РЄ, хоча у нормі Конвенції йдеться, насамперед, про дії суб’єкта, спрямовані на отримання відповідної інформації.
Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних
Стаття 8. Додаткові гарантії для суб'єкта даних
Будь-якій особі надається можливість:
a) з'ясувати існування файлу
персональних даних для автоматизованої обробки, його головн цілі, а також особу
та постійне місце проживання чи головне місце роботи контролера
файлу.
Правом знати про обробку своїх персональних даних забезпечується реалізація
принципу прозорості обробки даних, а відомості про джерела отримання
персональних даних дають змогу з’ясувати дотримання принципу законності їх
обробки.
Відповідно до положень ЗУ «Про захист персональних даних» володілець персональних даних зобов’язаний автоматично надавати суб’єкту повну інформацію про обробку його персональних даних.
Закон України «Про захист персональних даних»
Стаття 12. Збирання персональних даних
2. Суб’єкт персональних даних повідомляється про володільця персональних
даних, склад та зміст зібраних персональних даних, свої права, визначені цим
Законом, мету збору персональних даних та осіб, яким передаються його
персональні дані:
- в момент збору персональних даних, якщо
персональні дані збираються у суб’єкта персональних даних;
- в
інших випадках протягом тридцяти робочих днів з дня збору персональних
даних.
Форму, в якій володілець персональних даних здійснює повідомлення закон не встановлює. Проте ця форма має забезпечити володільцю можливість підтвердження того факту, що повідомлення здійснено.
Закріплення обов’язку володільця повідомляти про обробку персональних даних забезпечує дотримання права суб’єкта знати про обробку своїх персональних даних, в свою чергу, обізнаність суб’єкта щодо обробки його персональних даних конкретним володільцем, дає йому можливість реалізувати решту своїх прав, гарантованих ст. 8 ЗУ «Про захист персональних даних».
Хоча ст. 12 названого Закону не містить застережень, зобов’язання володільця щодо інформування суб’єкта персональних даних має свої винятки. Вони встановлені ст. 25 ЗУ «Про захист персональних даних», згідно з ч. 1 якої обмеження дії статей 6, 7 і 8 цього Закону може здійснюватися у випадках, передбачених законом, наскільки це необхідно у демократичному суспільстві в інтересах національної безпеки, економічного добробуту або захисту прав і свобод суб’єктів персональних даних чи інших осіб.
У наведеній нормі визначено декілька ознак таких обмежень, зокрема:
- обов’язковість закріплення на рівні закону;
- обґрунтованість з точки зору необхідності;
- обумовленість особливими причинами високої публічної або приватної значимості;
- співрозмірність за обсягом тим цілям, для яких вони
передбачаються.
Норма, що встановлює таке обмеження, відповідає міжнародно-правовим зобов’язанням України. Водночас, на відміну від Закону, що досить узагальнено формулює цілі, для досягнення яких допускаються обмеження прав суб’єкта, у п. 2 ст. 9 Конвенції 108 РЄ та особливо у п. 1 ст. 13 Директиви 95/46/ЄС такі цілі конкретизовано, чим забезпечено менше простору для майбутніх зловживань.
Директива 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»
Стаття 13. Винятки та обмеження
1. Держави-члени можуть вживати законодавчих заходів для обмеження обсягів
обов'язків і прав, передбачених у статтях 6 (1), 10, 11 (1), 12 і 21, якщо таке
обмеження є необхідним, щоб гарантувати:
(a) національну безпеку;
(b)
оборону;
(c) суспільну безпеку;
(d) запобігання, розслідування, виявлення
і судове переслідування кримінальних злочинів чи порушень етики визначених
професій;
(e) важливий економічний чи фінансовий інтерес держави-члена чи
Європейського Союзу, включаючи монетарні, бюджетні і податкові питання;
(f)
моніторинг, перевірку чи регулятивну функцію, пов'язану, навіть зрідка, з
виконанням офіційних повноважень у випадках, вказаних у підпунктах (c), (d) і
(e); (g) захист суб'єкта даних чи прав і свобод інших осіб.
Згідно ч. 2 ст. 25 ЗУ «Про захист персональних даних», дозволяється обробка персональних даних без застосування положень цього Закону, якщо така обробка здійснюється:
- фізичною особою виключно для особистих чи побутових потреб;
- виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на повагу до вираження поглядів;
- в процесі отримання архівної інформації репресивних органів.
Про незастосування відповідних положень міжнародних актів при використанні персональних даних для цілей статистики або наукових досліджень йдеться у п. 3 ст. 9 Конвенції 108 РЄ та п. 2 ст. 3 Директиви 95/46/ЄС, за умови, якщо виконуються відповідні правові гарантії. Зокрема, дані не повинні використовуватися для вживання заходів чи прийняття рішень щодо будь-якої конкретної людини та має бути явно відсутній будь-який ризик втручання в особисте життя.
Ці обмеження повною мірою стосуються і права особи знати про обробку її персональних даних. Крім того, положення ст.ст. 10, 11 Директиви 95/46/ЄС безпосередньо вказують на те, що повідомляти про обробку персональних даних не потрібно, якщо у суб’єкта вже є ця інформація, а також при обробці даних у статистичних цілях або з метою історичних чи наукових досліджень, коли надання такої інформації виявляється неможливим чи може спричинити непропорційні зусилля.
У національному законодавстві, що регламентує роботу відповідних державних органів також може закріплюватись право збирати інформацію про особу, не повідомляючи її про це. Зокрема, законодавство регулює процес здійснення оперативно-розшукової, контррозвідувальної, розвідувальної діяльності та проведення певних негласних слідчих (розшукових) дій, в ході яких інформація про особу може збиратися без її згоди та відома.
Поширеним є твердження про необов’язковість інформування суб’єкта щодо обробки персональних даних у разі їх отримання з відкритих джерел. Відкритими джерелами можуть бути державні реєстри персональних даних, друковані засоби масової інформації, засоби телерадіомовлення, інтернет-портали та інші джерела інформації, до яких фізичні та юридичні особи мають вільний, не обмежений законодавством доступ. Але навіть для відкритих джерел персональні дані збирають з конкретною метою, а не для вільного їх використання.
Подальший збір персональних даних з використанням відкритого джерела може мати зовсім іншу мету, яка суперечитиме законним інтересам суб’єкта. Більш того, не будучи поінформованим щодо факту використання персональних даних, суб’єкт позбавляється можливості реалізувати свої права включно з правом на захист.
Право суб'єкта знати про обробку своїх персональних даних згідно ЗУ «Про захист персональних даних» має й іншу складову – можливість знати яким чином отримати доступ до своїх персональних даних.
Закон України «Про захист персональних даних»
Стаття 8. Права суб’єкта персональних даних
2. Суб’єкт персональних даних має право:
2) отримувати інформацію про
умови надання доступу до персональних даних, зокрема інформацію про третіх осіб,
яким передаються його персональні дані.
Це право реалізується через положення ст. 21 Закону, а саме через обов’язок володільця персональних даних повідомляти суб’єкта про передачу персональних даних третій особі протягом десяти робочих днів, якщо цього вимагають умови згоди суб’єкта або інше не передбачено законом.
При цьому ч. 2 ст. 21 ЗУ «Про захист персональних даних» встановлює виключення із вказаного правила у разі:
1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
4) повідомлення суб’єкта персональних даних відповідно до вимог ч. 2 ст. 12 цього Закону.
З правом суб'єкта знати про обробку своїх персональних даних тісно пов’язане право на доступ до інформації про свої персональні дані, якою володіють або яку використовують інші особи (п.п. 3, 4 ст. 8 ЗУ «Про захист персональних даних»).
Це право також обумовлене необхідністю поважати приватне життя.
Закон України «Про захист персональних даних»
Стаття 8. Права суб’єкта персональних даних
2. Суб’єкт персональних даних має право:
3) на доступ до своїх
персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з
дня надходження запиту, крім випадків, передбачених законом, відповідь про те,
чи обробляються його персональні дані, а також отримувати зміст таких
персональних даних.
Реалізується право на доступ до своїх персональних даних шляхом подання володільцю персональних даних запиту щодо доступу до персональних даних (порядок викладено у ст. 16 ЗУ «Про захист персональних даних»).
Ст. 12 Директиви 95/46/ЄС окремо закріплює право суб’єкта персональних даних на доступ, трактуючи його більш розширено порівняно із українським законодавством та включаючи до його змісту такі елементи:
- право на одержання певної інформації про обробку своїх персональних даних;
- право на виправлення, стирання чи блокування даних, обробка яких не відповідає положенням даної Директиви, зокрема через неповноту чи неточність даних;
- право на повідомлення третім сторонам, яким були надані дані, інформації про їх виправлення, стирання чи блокування.
Водночас, відповідно до ст. 13 Директиви 95/46/ЄС, обов’язок володільців давати відповіді на запити суб’єктів персональних даних на отримання доступу може бути обмежений, виходячи з необхідності гарантування національної безпеки, оборони, суспільної безпеки, розслідування кримінальних правопорушень чи порушень етики визначених професій, захисту інтересів суб’єкта персональних даних, а також прав, свобод та інтересів інших осіб, які переважають інтереси захисту персональних даних.
Відповідні обмеження знайшли своє відображення у нормах національного законодавства України, яке регулює різні сфери суспільного життя.
П. 10 ч. 2 ст. 8 ЗУ «Про захист персональних даних» передбачає право суб’єкта вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди.
Загалом, погоджуючись на обробку власних персональних даних, суб’єкт може скоригувати їх склад та зміст на стадії збирання, а також наполягати на конкретних умовах поширення таких персональних даних, що можуть стосуватися мети, обсягу персональних даних, кола осіб, яким вони будуть доводитись (за винятком випадків, коли для такої передачі закон не вимагає згоди суб’єкта персональних даних).
П.п. 5, 6, 11 ч. 2 ст. 8 ЗУ «Про захист персональних даних» закріплюють право суб’єкта на внесення змін та на заперечення проти обробки його персональних даних.
Закон України «Про захист персональних даних»
Стаття 8. Права суб’єкта персональних даних
2. Суб’єкт персональних даних має право:
5) пред’являти вмотивовану вимогу
володільцю персональних даних із запереченням проти обробки своїх персональних
даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх
персональних даних будь-яким володільцем та розпорядником персональних даних,
якщо ці дані обробляються незаконно чи є недостовірними;
11) відкликати згоду
на обробку персональних даних.
П. 5 ч. 2 ст. 8 ЗУ «Про захист персональних даних» надає суб’єктам право пред’являти вимогу із запереченням проти обробки своїх персональних даних. Це положення відповідає п. а) ст. 14 Директиви 95/46/ЄС, якою передбачається можливість для суб’єкта даних заперечувати в будь-який час на безсумнівних законних підставах, пов’язаних з його конкретною ситуацією, проти обробки даних, які його стосуються.
Право заперечувати проти обробки персональних даних стосується випадків, коли така обробка здійснюється на законних підставах, водночас, індивідуальні інтереси суб’єкта не співпадають з інтересами володільця персональних даних щодо їх обробки. Від суб’єкта не вимагається наявність конкретно визначених підстав для такого заперечення, достатньо лише обґрунтувати, пояснити свою мотивацію.
Вказане право може бути обмежене, оскільки у випадках, коли для обробки персональних даних не вимагається згода суб’єкта, заперечення не буде мати правових наслідків.
П. 6 ч. 2. ст. 8 ЗУ «Про захист персональних даних» передбачено право на виправлення або знищення недостовірних даних або таких, що обробляються незаконно.
На практиці виникають ситуації, коли персональні дані вимагають коригування внаслідок допущеної помилки, або внаслідок змін, що відбулися з плином часу. Подальше застосування такої неточної інформації може завдати незручностей або навіть шкоди суб’єкту персональних даних. Обов’язок доведення недостовірності даних покладається на заявника, про що свідчить необхідність вмотивувати вимогу щодо їх зміни.
Залежно від конкретної ситуації, для внесення виправлення може бути достатньо лише вказати на неточність (наприклад, якщо у суб’єкта змінився телефонний номер), або ж володілець має право вимагати надання цьому достатніх підтверджень (зокрема, якщо прохання пов’язане з такими правовими питаннями, як визначення правильного місця проживання суб’єкта для реалізації виборчого права).
Водночас, на заявника не повинен покладатися надмірний тягар доведення того, що персональні дані підлягають зміні, щоб не позбавляти його можливості виправити свої дані.
Відповідно до ч.ч. 1, 3 ст. 20 ЗУ «Про захист персональних даних» володільці чи розпорядники персональних даних зобов’язані вносити зміни до персональних даних на підставі вмотивованої письмової вимоги суб’єкта персональних даних.
Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.
Праву вимагати видалення або знищення персональних даних присвячено й ст. 15 ЗУ «Про захист персональних даних», відповідно до якої персональні дані, зібрані з порушенням вимог Закону, підлягають видаленню або знищенню у встановленому законодавством порядку.
Серед переліку підстав, для видалення персональних даних окремо не передбачена їх недостовірність. Водночас, ч. 2 ст. 6 Закону до загальних вимог щодо обробки персональних даних віднесено точність, достовірність та необхідність оновлення персональних даних в міру потреби, визначної метою їх обробки. Недотримання цієї вимоги має наслідком визнання обробки такої, що суперечить чинному законодавству, тобто, незаконною, наслідком чого може бути знищення персональних даних.
У п. 11 ч. 2 ст. 8 ЗУ «Про захист персональних даних» йдеться про можливість суб’єкта відкликати раніш надану згоду на обробку своїх персональних даних до закінчення строку їх обробки.
Після такого відкликання згоди будь-яка подальша обробка буде незаконною. Винятки становлять випадки, в яких окрім згоди є й інші підстави для обробки персональних даних. У такому разі відкликання згоди не тягнутиме припинення обробки і автоматичного видалення персональних даних.
П.п. 7, 8, 9 ч. 2 ст. 8 ЗУ «Про захист персональних даних» закріплено право суб’єкта на захист своїх персональних даних від незаконної обробки та інших ризиків.
Закон України «Про захист персональних даних»
Стаття 8. Права суб’єкта персональних даних
2. Суб’єкт персональних даних має право:
7) на захист своїх персональних
даних від незаконної обробки та випадкової втрати, знищення, пошкодження у
зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також
на захист від надання відомостей, що є недостовірними чи ганьблять честь,
гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на
обробку своїх персональних даних до Уповноваженого або до суду;
9)
застосовувати засоби правового захисту в разі порушення законодавства про захист
персональних даних.
У п. 7 ч. 2 ст. 8 йдеться про потенційні порушення у сфері персональних даних, при допущенні яких у суб’єкта виникає право на захист.
На відміну від українського законодавства, ст. 17 Директиви 95/46/ЄС безпосередньо передбачено низку технічних та організаційних заходів, яких необхідно здійснювати для забезпечення безпеки обробки персональних даних.
П. 8 ч. 2 ст. 8 ЗУ «Про захист персональних даних» серед засобів захисту, визнаних за суб’єктом, називає звернення до Уповноваженого або до суду. Разом з тим, зі змісту п.п. 5, 6, 11 ч. 2 ст. 8, що розглядалися вище, випливає можливість суб’єкта захищати свої права, звертаючись до володільця персональних даних. Логічно, що таке звернення з вимогою змінити зміст персональних даних або припинити обробку в разі допущення порушень закону має відбуватися в першу чергу. Якщо ж це не дало бажаних результатів і порушення прав суб’єкта не було припинено, він може оскаржити такі дії до Уповноваженого або суду.
Про застосування засобів правового захисту йдеться у розділі про юридичну відповідальність у сфері персональних даних.
У п. 12, 13 ч. 2 ст. 8 ЗУ «Про захист персональних даних» виокремлені права суб’єкта персональних даних, що виникають у зв’язку з автоматичною обробкою останніх.
Закон України «Про захист персональних даних»
Стаття 8. Права суб’єкта персональних даних
2. Суб’єкт персональних даних має право:
12) знати механізм автоматичної
обробки персональних даних;
13) на захист від автоматизованого рішення, яке
має для нього правові наслідки.
Згідно п. (с) ст. 2 Конвенції 108 РЄ термін «автоматизована обробка» включає такі операції, що здійснюються повністю або частково за допомогою автоматизованих засобів: зберігання даних, виконання логічних та (або) арифметичних операцій із цими даними, їхню зміну, знищення, вибірку або поширення.
На сьогодні автоматизовано можуть оброблятися відомості про особу, які містяться у найрізноманітніших масивах даних. За таких умов створюються ситуації, коли отримані у передбаченому законом порядку персональні дані про особу аналізуються і за допомогою певних алгоритмів поступово формуються додаткові дані, що мають іншу мету. Ці дії не будуть правопорушенням, якщо інформація обробляється знеособлено, для формування статистичних даних, наприклад, з метою забезпечення задоволення споживацьких потреб. Водночас, коли при такій обробці особу може бути ідентифіковано, це може призвести до втручання у приватне життя.
Проаналізувавши дані, які вводить користувач, бронюючи через інтернет-сайт готелі, провайдер може зробити висновки щодо платоспроможності суб’єкта, складу його сім’ї, періодичності відряджень або сезону, коли суб’єкт зазвичай має відпустку, місцевості чи країни, куди суб’єкт виїздить на відпочинок.
У різних випадках нові дані можуть стосуватися низки інших особистісних характеристик, зокрема, оцінки працездатності особи, її майнового стану, стану здоров’я, особистих вподобань, поведінки або надійності тощо. Не маючи дозволу на обробку додаткової інформації володілець, водночас, може використовувати її шляхом, що матиме наслідки для суб’єкта.
Отже, оскільки такі дії мають наслідком створення нових персональних даних щодо особи, володілець повинен мати законні підстави для її обробки. А сама обробка повинна відповідати встановленим принципам. Право суб’єкта знати механізм автоматичної обробки даних передбачає, що він повинен бути повідомлений про такий механізм. Обізнаність суб’єкта є запорукою дотримання права на захист від автоматизованого рішення, яке має для нього правові наслідки.
майнових прав
фізичних прав
виключних прав
економічних прав
впродовж трьох робочих днів з моменту збору персональних даних
впродовж десяти робочих днів з дня збору персональних даних
впродовж тридцяти робочих днів з дня збору персональних даних
закон не передбачає обов’язку повідомлення суб’єкта персональних даних у вказаному випадку
у формі акту
зателефонувавши за особистим телефонним номером
у формі смс
закон не встановлює форми такого повідомлення
виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на повагу до вираження поглядів
в процесі отримання архівної інформації репресивних органів
в усіх перелічених випадках
закон не містить такої норми
така дія буде мати правові наслідки лише у разі, якщо володілець персональних даних не має заперечень
будь-яка подальша обробка персональних даних буде незаконною
будь-яка подальша обробка персональних даних буде незаконною, крім випадків, коли продовжують існувати інші підстави для обробки цих персональних даних