Як захистити свої персональні дані?
На адресу «ПВ» надійшов лист від
Уповноваженого ВРУ з прав людини Людмили Денісової. Омбудсман звернулася до редакції
«ПВ», щоб з метою забезпечення інформування та правової обізнаності громадян, а
також для сприяння належному захисту ними свого права на приватне життя, опублікувати
на шпальтах газети роз’яснення щодо деяких питань взаємодії Уповноваженого ВРУ
з прав людини стосовно порушень у сфері захисту персональних даних.
З
адля забезпечення єдиної практики застосування
законодавства у сфері захисту персональних даних, сприяння належному захисту
прав громадян на приватність, Уповноваженим ВРУ з прав людини надаються
наступні роз’яснення та практичні рекомендації.
НАЯВНІСТЬ/ВІДСУТНІСТЬ ПРАВОВИХ ПІДСТАВ ДЛЯ
ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
З метою встановлення того, чи
мало місце порушення прав людини внаслідок неправомірної обробки її персональних
даних, насамперед необхідно з’ясувати факт наявності/відсутності у особи, що
здійснює обробку таких даних (володільця або розпорядника персональних
даних), належних правових підстав для цього.
Загальні вимоги до обробки
персональних даних передбачено статтею 6 ЗУ «Про захист персональних даних». У
частині п’ятій цієї статті зазначено, що обробка персональних даних здійснюється
для конкретних і законних цілей, визначених за згодою суб’єкта персональних
даних, або у випадках, передбачених законами України, у порядку, встановленому
законодавством.
Своєю чергою, у статті 11
Закону закріплено вичерпний перелік підстав для обробки персональних даних,
якими є: згода суб’єкта персональних даних на обробку його персональних даних;
дозвіл на обробку персональних даних, наданий володільцю персональних даних
відповідно до закону виключно для здійснення його повноважень; укладення та
виконання правочину, стороною якого є суб’єкт персональних даних або який
укладено на користь суб’єкта персональних даних чи для здійснення заходів, що
передують укладенню правочину на вимогу суб’єкта персональних даних; захист
життєво важливих інтересів суб’єкта персональних даних; необхідність виконання
обов’язку володільця персональних даних, який передбачений законом;
необхідність захисту законних інтересів володільця персональних даних або
третьої особи, якій передаються персональні дані, крім випадків, коли потреби
захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з
обробкою його даних переважають такі інтереси.
Відповідно до переліку, згода
суб’єкта персональних даних не єдина підстава для обробки його персональних
даних, оскільки такі дані можуть оброблятися, у тому числі, на підставі
укладеного правочину з відповідним суб’єктом, правочином, укладеним на його
користь, тощо.
Також необхідно
усвідомлювати, що чинне законодавство передбачає можливість укладення
правочину через процедуру приєднання до публічного договору (публічної оферти).
Приєднання може бути реалізовано, зокрема, шляхом завантаження мобільного додатку,
заповнення певної форми на веб- сайті або вчиненням якихось конклюдентних дій
(отримання грошових коштів, здійснення розрахунків тощо), які можуть свідчити
про таке приєднання.
Оскільки процедура приєднання
та умови використання персональних даних у таких випадках мають бути врегульовані
умовами правочину (договору), радимо ретельно вивчати його умови.
ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
Відповідно до частини другої
статті 8 Закону суб’єкт персональних даних має право:
1) знати про джерела
збирання, місцезнаходження своїх персональних даних, мету їх обробки,
місцезнаходження або місце проживання (перебування) володільця чи
розпорядника персональних даних або дати відповідне доручення щодо отримання
цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про
умови надання доступу до персональних даних, зокрема інформацію про третіх
осіб, яким передаються його персональні дані;
3) на доступ до своїх
персональних даних;
4) отримувати не пізніш як за
30 календарних днів з дня надходження запиту, крім випадків, передбачених
законом, відповідь про те, чи обробляються його персональні дані, а також
отримувати зміст таких персональних даних;
5) пред’являти вмотивовану
вимогу володільцю персональних даних із запереченням проти обробки своїх персональних
даних;
6) пред’являти вмотивовану
вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем
та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є
недостовірними;
7) на захист своїх
персональних даних від незаконної обробки та випадкової втрати, знищення,
пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням,
а також на захист від надання відомостей, що є недостовірними чи ганьблять
честь, гідність та ділову репутацію фізичної особи;
8) звертатися зі скаргами на обробку своїх
персональних даних до Уповноваженого або до суду;
9) застосовувати засоби правового захисту у разі
порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права
на обробку своїх персональних даних під час надання згоди;
11) знати механізм автоматичної обробки
персональних даних;
12) на захист від автоматизованого рішення, яке
має для нього правові наслідки.
До моменту звернення до Уповноваженого із скаргою
на порушення в сфері захисту персональних даних суб’єкту персональних даних
необхідно звернутися до особи, яка, на його думку, здійснює неправомірну
обробку персональних даних із запитом/вимогою в межах реалізації своїх
законних прав.
У такому зверненні/вимозі необхідно вимагати
надання інформації стосовно джерел отримання персональних даних, правових
підстав їх обробки, з наданням належно засвідчених копій підтверджуючих
документів. Зауважуємо, що запит має відповідати вимогам статті 16 Закону, а
саме містити інформацію про прізвище, ім’я та по батькові, місце проживання
(місце перебування) і реквізити документа, що посвідчує фізичну особу, яка
подає запит, крім випадків, установлених законом (ч. 6 ст. 16).
КОМУНІКАЦІЯ З ОСОБОЮ, ЩО ЗДІЙСНЮЄ ОБРОБКУ
ПЕРСОНАЛЬНИХ ДАНИХ
Насамперед необхідно звернути увагу на те, що
незалежно від обраного способу спілкування з особою, що здійснює обробку
персональних даних, варто забезпечити належну фіксацію його результатів,
зокрема шляхом:
– надсилання письмових запитів рекомендованими
листами з описом вкладення, збереження корінців поштових повідомлень,
відомостей щодо трекінгу поштового відправлення, а також отриманих відповідей;
– виготовлення та збереження знімків екрана
(скриншотів) у разі здійснення електронного листування/обміну повідомленнями
в месенджерах, чатах, мобільних додатках;
– здійснення фото-, аудіо- та відеофіксації при
телефонних розмовах та при особистому спілкуванні тощо.
Також залежно від конкретних обставин може
знадобитися підтвердження того, що засіб зв’язку (номер телефону, електронна
адреса тощо), використаний під час спілкування, належить саме особі, яка
звертається із скаргою до Уповноваженого. Зокрема, в тих випадках, коли
спілкування суб’єкта персональних даних відбувалося анонімно або з
використанням псевдоніма.
Особа, що здійснює обробку персональних даних,
зобов’язана надати відповідь на належно оформлений запит суб’єкта персональних
даних з урахуванням строків, передбачених Законом (30 календарних днів).
Відсутність відповіді/своєчасної відповіді особи,
що здійснює обробку персональних даних, на обґрунтовану вимогу/звернення
суб’єкта персональних даних, за умови наявності підтвердження факту
надсилання такої вимоги/звернення, також може бути підставою для здійснення
Уповноваженим функцій контролю.
МЕЖІ КОМПЕТЕНЦІЇ ОМБУДСМАНА
Звернення до Уповноваженого щодо вчинених порушень
у сфері захисту персональних даних має бути обґрунтованим і ґрунтуватися на
фактичних обставинах, які мають бути документально підтвердженими. Адже на Уповноваженого
не покладено слідчих чи розшукових функцій, а також пошуку і фіксації фактичних
даних про протиправні діяння окремих осіб.
До компетенції Уповноваженого не належить
вирішення цивільно-правових та фінансових спорів, а також врегулювання
відносин, що вбачаються з укладених правочинів, у тому числі договорів займу,
позики, кредиту тощо, якщо такі спори та відносини безпосередньо не пов’язані
з порушеннями законодавства, допущеними під час обробки персональних даних.
Підставою для здійснення позапланових перевірок
суб’єктів, що здійснюють обробку персональних даних, зокрема, є обґрунтовані
звернення фізичних та юридичних осіб з повідомленням про порушення вимог
законодавства про захист персональних даних.
Крім того, Уповноважений не може втручатися в хід
досудового слідства та/або судовий процес між третіми особами, в тому числі за
умов, що слідство/судовий процес безпосередньо пов’язані з порушеннями в сфері
захисту персональних даних.
Уповноважений не зможе допомогти, якщо заявник
справді перебував/ перебуває у правовідносинах з особою, що обробляє
персональні дані, на підставі чинного правочину (його окремих положень):
отримав та не повернув кредит/позику або має непогашену заборгованість за
будь-які інші отримані роботи/послуги. Тобто, якщо персональні дані заявника
обробляються на законних підставах.
Також необхідно розуміти, що факт відкликання
заявником згоди на обробку його персональних даних не носитиме правового
навантаження, якщо для обробки таких персональних даних будуть наявні інші
законні підстави. Наприклад, відкликання згоди на обробку персональних даних
не звільняє особу від виконання своїх зобов’язань за договором позики та не
позбавляє кредитора права обробки персональних даних з метою стягнення
заборгованості за таким договором.
Натомість Уповноважений зможе належним чином
виконати свої функції в сфері захисту персональних даних за умови надання
суб’єктом звернення належного обґрунтування своїх порушених прав разом з
достатньою кількістю підтверджуючих матеріалів (доказів).
ВИСНОВКИ
Ураховуючи викладене вище, необхідно:
– уважно ознайомлюватися з умовами правочинів (у
тому числі публічних) при їх укладенні/приєднанні до них, а також ретельно
вивчати ліцензійні умови використання програмних продуктів (зокрема мобільних
додатків), угоди користувача, політики конфіденційності, реєстраційні форми на
веб-сайтах тощо, оскільки умови обробки ваших персональних даних можуть бути
закріплені саме в зазначених документах;
– повною мірою користуватися правами суб’єкта
персональних даних, передбачених шляхом надсилання запитів/вимог/заперечень
тощо до осіб, які обробляють персональні дані, з метою з’ясування фактичних
обставин та припинення обробки персональних даних без належних правових
підстав;
– збирати і зберігати фактичні підтвердження
(докази) вашої взаємодії з потенційними порушниками та обов’язково долучати їх
до звернень/ скарг, які надсилаєте до Уповноваженого, з метою вжиття заходів
реагування.
У будь-якому
випадку всі скарги буде розглянуто Уповноваженим у межах його компетенції, проте
разом із цим ефективність їх розгляду безпосередньо залежить від чіткості викладення
обставин та доданих підтверджуючих матеріалів.
|
