Порядок передавання ПД. Транскордонний обмін даними

доступ уповноважених органів до ПД

відмова та відстрочення доступу до ПД

повідомлення про передачу ПД третім особам

На практиці процеси обробки персональних даних тими чи іншими володільцями досить часто передбачають необхідність передавання персональних даних іншим особам. Передавання інформації, що містить персональні дані суб’єкта персональних даних можливе лише за наявності законних підстав для цього.

ЗУ «Про захист персональних даних» врегульовує передавання персональних даних в порядку:

1) поширення (ст. 14)

2) доступу (ст. 16).

Поширення персональних даних

Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних.

Передача персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється тільки у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини. Фактично такі випадки є правомірним обмеженням прав суб’єкта персональних даних.

У сучасному світі, в розмаїтті суспільних правовідносин, інтереси третіх осіб та суб’єктів персональних даних можуть не співпадати, більш того мають місце випадки використання приватної інформації про особу для задоволення економічних, політичних, фінансових та інших суб’єктивних потреб третіх осіб, що призводить до втручання в особисте життя суб’єкта персональних даних.

Зважаючи на це, дії щодо поширення даних персонального характеру повинні мати належні правові, організаційні, технічні засоби захисту від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати даних під час їх обробки.

Основні правила поширення персональних даних закріплені ЗУ «Про захист персональних даних». Так, будь-які дії, внаслідок яких треті особи в той чи інших спосіб ознайомлюються з персональними даними суб’єкта, повинні відповідати принципам, визначеним у ст. 6 Закону та здійснюватися за наявності підстав, передбачених ст. 7, 11 Закону.

Відповідно до вимог законодавства та згідно їз своїми повноваженнями у сфері захисту персональних даних кожен володілець персональних даних зобов’язаний визначити та документально закріпити умови, процедуру передачі персональних даних та скласти перелік третіх осіб, яким вони можуть передаватися. Зокрема, володілець із врахуванням змісту персональних даних, що ним обробляються, визначає:

суб’єктів, яким передаються або можуть передаватися персональні дані;
підстави передачі (поширення) персональних даних, залежно від статусу третьої особи (запит, договір, закон тощо);
порядок розгляду запитів щодо доступу до персональних даних, вимоги щодо встановлення (ідентифікації) особи запитувача інформації, вимоги до договору про передачу персональних даних;
у випадках здійснення ним транскордонної передачі даних – підстави та умови такої передачі, вимоги до отримувача інформації що містить персональні дані, його зобов’язання щодо її збереження.

Треті особи мають право отримати персональні дані на умовах та в порядку визначених згодою суб’єкта персональних даних або відповідно до вимог законодавства.

Слід зазначити, що обов’язок по забезпеченню виконання вимог щодо захисту персональних даних покладено на сторону, яка поширює персональні дані.

Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо захисту інформації, яка містить персональні дані, а саме, з одного боку вжити активних дій, спрямованих на запобігання незаконній обробці персональних даних, а з іншого – утриматися від дій, що становлять незаконну обробку.

Рівень заходів захисту, що повинні вживатися особами, визначаються ними самостійно та залежать в основному від «чутливості» персональних даних, які обробляються. У випадку, якщо третя особа відмовляється взяти на себе таке зобов’язання або неспроможна забезпечити його виконання, доступ до персональних даних їй не надається.

Доступ до персональних даних

Наразі найбільш розповсюдженим способом передавання персональних даних третім особам є процедура «запит-відповідь», яку регламентовано ст. 16, 17 ЗУ «Про захист персональних даних». При цьому порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, є особливим і визначається ЗУ «Про доступ до публічної інформації».

Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин (володільця, розпорядника), пов’язаних з персональними даними (крім випадків, установлених законом), за запитом, який містить прізвище, ім’я та по батькові, місце проживання та реквізити документа, що його посвідчує.

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних

Стаття 8. Додаткові гарантії для суб'єкта даних

Будь-якій особі надається можливість:

... b) отримувати через обґрунтовані періоди та без надмірної затримки або витрат підтвердження або спростування факту зберігання персональних даних, що її стосуються, у файлі даних для автоматизованої обробки, а також отримувати такі дані в доступній для розуміння формі;

Органи державної влади та органи місцевого самоврядування мають право на безперешкодний доступ до персональних даних відповідно до їх повноважень.

Специфіка передачі персональних даних правоохоронним органам роз’яснена у листі Представника Уповноваженого Верховної Ради України з прав людини від 28.12.2015 року «Щодо правових підстав передачі персональних даних правоохоронним органам». Зокрема в контексті діяльності прокуратури, оперативно-розшукової та контррозвідувальної діяльності, мета, підстави та порядок доступу третіх осіб до персональних даних регламентується низкою законодавчих та підзаконних нормативно-правових актів: Кримінальним процесуальним кодексом України, ЗУ «Про Службу безпеки України», «Про оперативно-розшукову діяльність», «Про контррозвідувальну діяльність», «Про прокуратуру» та ін.

Належною підставою для отримання правоохоронними органами доступу до персональних даних в рамках кримінального провадження є ухвала слідчого судді, суду про тимчасовий доступ до речей і документів. (ч.2 ст. 159, 163 КПК України)

Закон України «Про оперативно-розшукову діяльність»

Стаття 8. Права підрозділів, які здійснюють оперативно-розшукову діяльність

Оперативним підрозділам для виконання завдань оперативно-розшукової діяльності … надається право: … 4) ознайомлюватися з документами та даними, що характеризують діяльність підприємств, установ та організацій, вивчати їх, …витребовувати документи та дані, що характеризують діяльність підприємств, установ, організацій, а також спосіб життя окремих осіб, підозрюваних у підготовці, або вчиненні злочину… із залишенням копій таких документів та опису вилучених документів особам, в яких вони витребувані, та забезпеченням їх збереження і повернення в установленому порядку.

Закон України «Про прокуратуру»

Стаття 23. Представництво інтересів громадянина або держави в суді

… 6. Під час здійснення представництва інтересів громадянина або держави у суді прокурор має право в порядку, передбаченому процесуальним законом та законом, що регулює виконавче провадження: … 7) з дозволу суду ознайомлюватися з матеріалами справи в суді та матеріалами виконавчого провадження, робити виписки з них, отримувати безоплатно копії документів, що знаходяться у матеріалах справи чи виконавчого провадження

Інші суб’єкти відносин, пов’язаних з персональними даними, з метою отримання інформації, яка містить персональні дані, подають письмовий запит щодо доступу до персональних даних володільцю (розпоряднику) персональних даних, в якому зазначаються:

для фізичної особи – заявника: прізвище, ім'я та по-батькові, місце проживання, реквізити документа, що посвідчує фізичну особу, яка подає запит;
для юридичної особи – заявника: найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по-батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (відповідно до законодавства, або установчих документів юридичної особи);
прізвище, ім'я та по-батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно персональних даних якої робиться запит;
відомості про володільця чи розпорядника персональних даних, стосовно яких робиться запит;
перелік персональних даних, що запитуються (поширення персональних даних осіб третім особам допускається у мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причині передавання відповідних даних);
мета та/або правові підстави для запиту (аналіз саме цих відомостей дає змогу володільцю (розпоряднику) прийняти обґрунтоване рішення щодо передачі персональних даних третій особі, або про відмову в такій передачі).

До Мукачівської обласної лікарні надійшов лист з Департаменту охорони здоров’я з вимогою надати до інформаційно-аналітичного відділу Департаменту охорони здоров’я у визначений термін списки хворих на бронхіальну астму (імена, прізвища, по батькові, адреси проживання, дати народження та контактні телефони осіб), що перебувають на обліку у лікарні.

Зазначений лист не містить визначених законодавством необхідних реквізитів (мета, підстави обробки). внаслідок чого не може вважатися належно оформленим запитом третьої особи та не підлягає задоволенню.

Володілець (розпорядник) персональних даних протягом десяти днів зобов’язаний відпрацювати поданий запит та довести до відома особи, яка подає запит, рішення щодо задоволення або відмови від задоволення. Відповідь повинна містити обґрунтовані підстави у відхилені запиту із посиланням на відповідний нормативно-правовий акт.

Запит задовольняється шляхом надсилання відповіді (у письмовій формі, із використанням засобів телекомунікацій чи електронної пошти) на адресу третьої особи протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом. Якщо необхідні дані не можуть бути надані протягом встановленого строку (в силу організаційних, технічних причин тощо) допускається відстрочення доступу до персональних даних третіх осіб.

Повідомлення про відстрочення доступу до персональних даних у письмовій формі доводиться до відома третьої особи, яка подала запит.

У повідомленні про відстрочення зазначаються:

прізвище, ім'я та по батькові посадової особи, відповідальної за розгляд запиту;
дата відправлення повідомлення про відстрочення;
причина відстрочення;
строк, протягом якого буде задоволено запит.

При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.

Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом та у інших випадках, передбачених документами володільця персональних даних.

Зокрема, відмовити у передані персональних даних володілець має право, якщо:

задоволення запиту третьої особи порушить права та законні інтереси інших осіб;
на особу заявника, або особу, персональні дані якої запитуються, відкрито кримінальне провадження і задоволення запиту може мати негативний вплив на проведення досудових слідчих та оперативно-розшукових дій;
задоволення запиту суперечить задекларованій меті обробки персональних даних володільцем тощо.

Відповідно до ст. 9 Конвенції 108 РЄ та ст. 13 Директиви 95/46/ЄС, обов’язок контролера надавати відповіді на запити суб’єктів персональних даних щодо отримання доступу може бути обмежений в результаті наявності переважаючих законних інтересів інших осіб (державні інтереси, такі як національна безпека, громадська безпека і розслідування кримінальних правопорушень; приватні інтереси, які переважають інтереси захисту персональних даних).

У повідомленні про відмову зазначаються:

прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;
дата відправлення повідомлення;
причина відмови.

Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до Уповноваженого Верховної Ради України з прав людини або суду.

Якщо запит зроблено суб’єктом персональних даних щодо даних про себе, обов’язок доведення в суді законності відмови у доступі покладається на володільця персональних даних, до якого подано запит.

Про факт передачі персональних даних третій особі володілець персональних даних зобов’язаний протягом десяти робочих днів повідомити суб’єкта персональних даних.

Ст. 21 ЗУ «Про захист персональних даних» передбачає випадки, коли таке повідомлення не здійснюється:

1) у разі передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

2) в процесі виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

3) якщо обробка персональних даних здійснюється в історичних, статистичних чи наукових цілях;

4) коли суб’єкта персональних даних вже повідомленно під час збору даних щодо третіх осіб, яким передаватимуться персональні дані (відповідно до вимог ч. 2 ст. 12 ЗУ «Про захист персональних даних»).

Ст. 12 Директиви 95/46/ЄС про захист персональних даних містить елементи права суб’єктів на отримання від володільця «підтвердження того, чи обробляються дані, які їх стосуються, та інформації, принаймні, про цілі обробки, категорії розглянутих даних і про одержувачів чи категорії одержувачів, яким надаються дані», а також «виправлення, стирання чи блокування даних, обробка яких не відповідає положенням даної Директиви, зокрема через неповноту чи неточність даних».

Доступ суб’єкта персональних даних до даних про себе здійснюється безоплатно.

Доступ інших суб’єктів відносин, пов’язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним у разі додержання умов, визначених у законодавстві.

Оплаті підлягає робота, пов’язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних.

Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України.

Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.

Транскордонний обмін даними

Окремого розгляду потребує процедура передачі персональних даних іноземним суб’єктам, що називають транскордонним обміном даними.

Розвиток науково-технічного співробітництва і узгоджене введення нових телекомунікаційних мереж полегшують здійснення та збільшують обсяги транскордонних потоків персональних даних. Це призводить до виникнення нових потенційних загроз недоторканності приватного життя.

Ст. 2 (1) Додаткового протоколу до Конвенції 108 РЄ визначає транскордонний обмін персональними даними як передачу персональних даних одержувачу, який знаходиться під іноземною юрисдикцією.

Ст. 25 (1) Директиви 95/46/ЄС про захист персональних даних регулює «передачу третій країні персональних даних, що проходять обробку чи призначені для проходження обробки після їх передачі ...».

Національне законодавство України не містить дефініції «транскордонний обмін даними», а використовує конструкцію «передача персональних даних іноземним суб’єктам». Співробітництво з іноземними суб’єктами відносин, пов’язаних із персональними даними, регулюється Конституцією України, ЗУ «Про захист персональних даних» (ст. 29), іншими нормативно-правовими актами України та міжнародними договорами.

Так, Конвенцією 108 РЄ закріплено найважливіші елементи регулювання правовідносин, пов’язаних із транскордонною передачею персональних даних Сторонами Конвенції, а Додатковим протоколом до Конвенції 108 РЄ визначено систему нагляду за таким обміном.

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних

Глава III. Транскордонні потоки даних

Стаття 12. Транскордонні потоки персональних даних та внутрішнє законодавство

1. Стосовно передачі через національні кордони за допомогою будь-яких засобів персональних даних, що піддаються автоматизованій обробці або зібраних з метою їхньої автоматизованої обробки, застосовуються такі положення.

2. Сторона не може лише з метою захисту недоторканості приватного життя забороняти чи обумовлювати спеціальними дозволами транскордонні потоки персональних даних, що передаються на територію іншої Сторони.

3. Однак кожна Сторона має право відступати від положень пункту 2:
a) якщо її законодавство містить конкретні положення для певних категорій персональних даних або файлів персональних даних для автоматизованої обробки, у зв'язку з особливостями цих даних або файлів, за винятком випадків, коли положення іншої Сторони забезпечують аналогічний захист;
b) якщо передача даних здійснюється з її території на територію Держави, що не є Договірною Державою, через територію іншої Сторони, для запобігання порушенню такою передачею законодавства Сторони, зазначеної на початку цього пункту.

Додатковий протокол до Конвенції 108 РЄ

Стаття 2. Транскордонні потоки персональних даних до користувача, який не підпадає під юрисдикцію Сторони Конвенції

1. Кожна Сторона передбачає, що передача персональних даних користувачу, що знаходиться під юрисдикцією Держави чи організації, яка не є Стороною Конвенції. може здійснюватися, тільки якщо така Держава чи організація забезпечує адекватний рівень захисту відповідної передачі даних.

Директива 95/46/ЄС передбачає вільну передачу персональних даних між державами-членами ЄС, однаковий для всіх держав-членів ЄС рівень захисту прав і свобод фізичних осіб при обробці персональних даних задля усунення перешкод на шляху їх передачі, та визначає вимоги до передачі персональних даних третім країнам, які не є членами ЄС.

Директива 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»

Глава IV. Передача персональних даних третім країнам

Стаття 25. Принципи

1. Держави-члени передбачають, що передача третій країні персональних даних, що проходять обробку чи призначені для проходження обробки після передачі, може відбуватися за умови, що розглянута третя країна гарантує адекватний рівень захисту, без шкоди для виконання національних положень, прийнятих відповідно до інших положень даної Директиви.

2. Адекватність рівня захисту, наданого третьою країною, розглядається у світлі всіх обставин операції з передачі даних чи сукупності операцій з передачі даних; особливу увагу варто звернути на характер даних, ціль і тривалість запропонованої операції чи операцій із обробки, країну походження даних і країну кінцевого призначення даних, загальні і галузеві норми права, що діють у розглянутій третій країні, і професійні правила та заходи безпеки, що виконуються в цій країні.

Таким чином, передача персональних даних іноземним суб’єктам здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних. Держави – учасниці Європейського економічного простору, а також держави, які підписали Конвенцію 108 РЄ, визнаються такими, що забезпечують належний рівень захисту персональних даних.

Відповідно до права ЄС будь-яке обмеження або заборона вільного обміну персональними даними між державами-членами з міркувань захисту персональних даних забороняються (ст. 1 Директиви 95/46/ЄС).

Зону вільного обміну персональними даними було розширено Угодою про створення Європейського економічного простору, яка включила Ісландію, Ліхтенштейн і Норвегію у внутрішній ринок.

Угода про співробітництво між Україною та Європейською організацією з питань юстиції

Стаття 9. Обмін інформацією

1. У відповідності із цією Угодою Сторони можуть обмінюватися всією інформацією, яка є необхідною, відповідною і не надмірною, для досягнення мети цієї Угоди

Стаття 11. Приватність і захист даних

1. Сторони визнають, що належне та адекватне опрацювання і обробка персональних даних , які вони отримують одна від одної, є критично важливим для збереження довіри щодо застосування цієї Угоди.

2. Сторони гарантують рівень захисту персональних даних, наданих іншою Стороною, принаймні еквівалентній тому, що випливає із застосування принципів, що містяться у Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних

3. Стосовно персональних даних, обмін якими здійснюється відповідно до цієї Угоди, Сторони забезпечують, що:
а) персональні дані сумлінно обробляються;
b) надані персональні дані є адекватними, відповідними та не надмірними по відношенню до конкретних цілей запиту або передачі;
с) персональні дані зберігаються виключно протягом періоду часу, необхідного для досягнення мети, з якою дані були надані або у подальшому оброблені у відповідності до Угоди; …

Не вважається транскордонною передачею опублікування, оприлюднення інформації, що містить персональні дані в будь-який спосіб, що надає доступ до неї невизначеному колу осіб (зокрема за допомогою глобальних телекомунікаційних мережам), а не спрямоване конкретному одержувачеві.

Специфіка захисту персональних даних у кіберпросторі регулюється низкою міжнародних правових актів.

Передавання володільцем/розпорядником персональних даних третім особам – іноземним суб’єктам відносин, пов’язаних з персональними даними, здійснюється на загальних підставах обробки персональних даних, визначених ЗУ «Про захист персональних даних» та відповідними міжнародними актами.

Закон України «Про захист персональних даних»

Стаття 29. Міжнародне співробітництво та передача персональних даних

3. Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.

Держави - учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних.

Кабінет Міністрів України визначає перелік держав, які забезпечують належний захист персональних даних.

Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.

« на початок сторінки »

Захист персональних даних