УПОВНОВАЖЕНИЙ ВЕРХОВНОЇ РАДИ УКРАЇНИ З ПРАВ ЛЮДИНИ
ЛИСТ-РОЗ’ЯСНЕННЯ

від 11.03.2020 № 26.4/1365-20

Щодо деяких питань взаємодії з Уповноваженим Верховної Ради України з прав людини
стосовно порушень у сфері захисту персональних даних

З метою забезпечення єдиної практики застосування законодавства в сфері захисту персональних даних, сприяння на лежному захисту прав громадян на приватність, Уповноваженим Верховної Ради України з прав людини надаються такі роз’яснення та практичні рекомендації.

1. Встановлення факту наявності/відсутності правових підстав для обробки персональних даних

З метою встановлення того, чи мало місце порушення прав людини внаслідок неправомірної обробкиїї персональних даних, насамперед необхідно з’ясувати факт наявності/відсутності у особи, що здійснює обробку таких даних (володільця або розпорядника персональних даних),належнихправових підстав для цього.

Загальні вимоги до обробки персональних даних передбачено статтею 6 Закону України «Про захист персональних даних» (далі — Закон).

У частині п’ятій цієї статті зазначено, що обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Своєю чергою у статті 11 Закону закріплено вичерпний перелік підстав для обробки персональних даних, якими є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;

6) необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

Відповідно до переліку згода суб’єкта персональних даних не єдина підстава для обробки його персональних даних, оскільки такі дані можуть оброблятися, у тому числі на підставі укладеного правочину з відповідним суб’єктом, правочином, укладеним на його користь тощо.

Також необхідно усвідомлювати, що чинне законодавство передбачає можливість укладення правочину через про­цедуру приєднання до публічного договору (публічної оферти). Приєднання може бути реалізовано, зокрема, шляхом завантаження мобільного додатку, заповнення певної форми на веб-сайті або вчиненням якихось конклюдентних дій (отримання грошових коштів, здійснення розрахунків тощо), які можуть свідчити про таке приєднання.

Оскільки процедура приєднання та умови використання персональних даних в таких випадках мають бути врегульовані умовами правочину (договору), радимо ретельно вивчати його умови.

2. Реалізація гарантованих законом права суб’єкта персональних даних

Відповідно до частини другої статті 8 Закону суб’єкт персональних даних має право:

1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

3) на доступ до своїх персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого або до суду;

9) застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних;

10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

11) знати механізм автоматичної обробки персональних даних;

12) на захист від автоматизованого рішення, яке має для нього правові наслідки.

Отже, до моменту звернення до Уповноваженого зі скаргою на порушення в сфері захисту персональних даних суб’єкту персональних даних необхідно звернутися до особи, яка, на його думку, здійснює неправомірну обробку персональних даних із запитом/вимогою в межах реалізації своїх законних прав.

Зокрема, у такому зверненні/вимозі необхідно вимагати надання інформації стосовно джерел отримання персональних даних, правових підстав їх обробки, з наданням належно засвідчених копій підтверджуючих документів. Зауважуємо, що запит має відповідати вимогам статті 16 Закону, а саме містити інформацію про прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит, крім випадків, установлених законом (частина шоста статті 16).

3. Організація спілкування з особою, що здійснює обробку персональних даних з метою реалізації свої прав та отримання підтвердження неправомірної обробки персональних даних

Насамперед необхідно звернути увагу на те, що незалежно від обраного способу спілкування з особою, що здійснює обробку персональних даних, варто забезпечити належну фіксацію його результатів, зокрема шляхом:

надсилання письмових запитів рекомендованими листами з описом вкладення, збереження корінців поштових повідомлень, відомостей щодо трекінгу поштового відправлення, а також отриманих відповідей;

виготовлення та збереження знімків екрана (скриншотів) у разі здійснення електронного листування/обміну повідомленнями в месенджерах, чатах, мобільних додатках;

здійснення фото-, аудіо- та відеофіксації при телефонних розмовах та при особистому спілкуванні тощо.

Також залежно від конкретних обставин може знадобитися підтвердження того, що засіб зв’язку (номер телефону, електронна адреса тощо), використаний під час спілкування, належить саме особі, яка звертається зі скаргою до Уповноваженого. Зокрема, в тих випадках, коли спілкування суб’єкта персональних даних відбувалося анонімно або з використанням псевдоніма.

У будь-якому разі особа, що здійснює обробку персональних даних, зобов’язана надати відповідь на належно оформлений запит суб’єкта персональних даних з урахуванням строків, передбачених Законом (30 календарних днів).

При цьому відсутність відповіді/своєчасної відповіді особи, що здійснює обробку персональних даних, на обґрунтовану вимогу/звернення суб’єкта персональних даних, за умови наявності підтвердження факту надсилання такої вимоги/звернення, також може бути підставою для здійснення Уповноваженим функцій контролю.

Факти, підтверджуючі відмову у задоволенні законних вимог суб’єкта персональних даних, у тому числі шляхом ігнорування його вимог/запитів, надання неповної/недостовірної інформації тощо, мають бути долучені до звернень/скарг, адресованих Уповноваженому як докази.

Також в якості доказів можуть долучатися копії правочинів (угод, договорів) за умов, якщо вони містять положення, якими врегульовуються процеси обробки персональних даних, а також права та обов’язки сторін щодо таких процесів. При цьому договірні умови, які не стосуються процесів обробки персональних даних, за бажанням скаржника можуть бути заретушовані, оскільки не становлять практичної цінності для Уповноваженого при з’ясуванні фактичних обставин в контексті порушених питань.

4. Межі компетенції Уповноваженого в процесі розгляду звернень/скарг, пов’язаних із порушеннями в сфері захисту персональних даних

Необхідно наголосити, що збір матеріалів, що можуть підтвердити порушення, допущені в процесі обробки персональних даних, має першочергове значення, адже згідно з положеннями статті 4 Закону України «Про Уповноваженого Верховної Ради України з прав людини» діяльність Уповноваженого доповнює існуючі засоби захисту конституційних прав і свобод людини, не відміняє їх і не тягне перегляду компетенції державних органів, які забезпечують захист і поновлення порушених прав і свобод.

Відповідно до частини першої статті 17 Закону України «Про Уповноваженого Верховної Ради України з прав людини» Уповноважений приймає та розглядає звернення громадян України, іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, відповідно до Закону України «Про звернення громадян», статтею 12 якого визначено, що його дія не поширюється на порядок розгляду заяв і скарг громадян, встановлений, серед іншого, кримінальним процесуальним, цивільно-процесуальним, трудовим законодавством, Кодексом адміністративного судочинства України тощо.

Тобто звернення до Уповноваженого щодо вчинених порушень у сфері захисту персональних даних має бути обґрунтованим і ґрунтуватися на фактичних обставинах, які мають бути документально підтвердженими. Адже на Уповноваженого не покладено слідчих чи розшукових функцій, а також пошуку і фіксації фактичних даних про протиправні діяння окремих осіб.

До компетенції Уповноваженого не належить вирішення цивільно-правових та фінансових спорів, а також врегулювання відносин, що вбачаються з укладених правочинів, у тому числі — договорів займу, позики, кредиту тощо, якщо такі спори та відносини безпосередньо не пов’язані з порушеннями законодавства, допущеними під час обробки персональних даних.

Підставою для здійснення позапланових перевірок суб’єктів, що здійснюють обробку персональних даних, зокрема, є обґрунтовані звернення фізичних та юридичних осіб з повідомленням про порушення вимог законодавства про захист персональних даних (пункт 2 частини першої статті 23 Закону, пункт 4.1 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних, затвердженого наказом Уповноваженого від 08.01.2014 № 1/02-14).

Крім того, Уповноважений не може втручатися в хід досудового слідства та/або судовий процес між третіми особами, у тому числі за умов, що слідство/судовий процес безпосередньо пов’язані з порушеннями в сфері захисту персональних даних.

Уповноважений не зможе допомогти, якщо заявник справді перебував/перебуває у правовідносинах з особою, що обробляє персональні дані, на підставі чинного правочину (його окремих положень) — отримав та не повернув кредит/позику або має непогашену заборгованість за будь-які інші отримані роботи/послуги. Тобто, якщо персональні дані заявника обробляються на законних підставах.

Також необхідно розуміти, що факт відкликання заявником згоди на обробку його персональних даних не носитиме правового навантаження, якщо для обробки таких персональних даних будуть наявні інші законні підстави. Наприклад, відкликання згоди на обробку персональних даних не звільняє особу від виконання своїх зобов’язань за договором позики та не позбавляє кредитора права обробки персональних даних з метою стягнення заборгованості за таким договором.

Натомість Уповноважений зможе належним чином виконати свої функції в сфері захисту персональних даних за умови надання суб’єктом звернення належного обґрунтування своїх порушених прав разом із достатньою кількістю підтверджуючих матеріалів (доказів).

5. Підсумки/висновки:

Ураховуючи викладе невище, необхідно:

1) уважно ознайомлюватися з умовами правочинів (у тому числі публічних) при їх укладенні/приєднанні до них, а також ретельно вивчати ліцензійні умови використання програмних продуктів (зокрема мобільних додатків), угоди користувача, політики конфіденційності, реєстраційні форми на веб-сайтах тощо, оскільки умови обробки ваших персональних даних можуть бути закріплені саме в зазначених документах;

2) повною мірою користуватися правами суб’єкта персональних даних, передбачених шляхом надсилання запитів/вимог/заперечень тощо до осіб, які обробляють персональні дані з метою з’ясування фактичних обставин та припинення обробки персональних даних без належних правових підстав;

3) збирати і зберігати фактичні підтвердження (докази) вашої взаємодії з потенційними порушниками та обов’язково долучати їх до звернень/скарг, які надсилаєте до Уповноваженого, з метою вжиття заходів реагування.

У будь-якому випадку всі скарги буде розглянуто Уповноваженим у межах його компетенції, проте разом із цим ефективність їх розгляду безпосередньо залежить від чіткості викладення обставин та доданих підтверджуючих матеріалів.

6. Відповідальність за порушення в сфері захисту персональних даних

За порушення законодавства в сфері захисту персональних даних відповідальність передбачена низкою законодавчих актів.

Кодекс України про адміністративні правопорушення (далі — КУпАП) передбачає відповідальність за порушення законодавства у сфері захисту персональних даних за статтею 188-39 в розмірі від ста до двох тисяч неоподатковуваних мінімумів доходів громадян (1700-34 000 грн — залежно від тяжкості правопорушення та наявності фактів його повтору).

Також порушник може бути притягнутий до відповідальності за статтею 188-40 КУпАП за невиконання законних вимог Уповноваженого або його представників у розмірі від ста до двохсот неоподатковуваних мінімумів доходів громадян (1700—3400 грн — наприклад, за невиконання припису про усунення порушень в сфері захисту персональних даних).

Крім того, за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу передбачена кримінальна відповідальність за частиною першою статті 182 Кримінального кодексу України (порушення недоторканності приватного життя) у вигляді штрафу від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян (8500—17 000 грн) або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

За ті самі дії, вчинені повторно, або якщо ними було заподіяно істотну шкоду охоронюваним законом правам, свободам та інтересам особи, передбачена відповідальність у вигляді арешту на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п’яти років, або позбавленням волі на той самий строк.

Водночас, ураховуючи положення частини першої статті 477 Кримінального процесуального кодексу України, кримінальне провадження за статтею 182 Кримінального кодексу України здійснюється у формі приватного обвинувачення, яке може бути розпочате слідчим, прокурором лише на підставі заяви потерпілого щодо кримінального правопорушення.

Отже, рішення про відкриття кримінального провадження може бути прийнято органом досудового розслідування виключно на підставі заяви про вчинення злочину, поданої саме потерпілим. Необхідно зазначити, що Уповноважений не може ініціювати відкриття кримінального провадження та не може з цією метою звернутися до органів досудового розслідування.