Персональні дані: хто має право їх збирати та використовувати?

Навряд чи ви передаватимете пароль від своєї банківської карти людині, що по телефону назвалась співробітником банку. А от дозвіл на обробку своїх персональних даних при покупках в інтернеті ми даємо майже щодня, просто ставлячи галочку в потрібному місці. Як при цьому убезпечити себе? І хто за законом має право збирати та обробляти наші персональні дані?

Статтею 2 Закону України «Про захист персональних даних» передбачено, що добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних може бути висловлене у письмовій формі або «у формі, що дає змогу зробити висновок про надання згоди». У цій же статті прямо зазначається: «У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки». Тобто, ставлячи галочку навпроти формулювання «погоджуюсь на обробку персональних даних», ми щоразу даємо компанії-власнику сайту правомірну згоду зберігати та використовувати інформацію про нас.

«Під час такої процедури передачі персональних даних, як реєстрація на сайті, мало хто з нас цікавиться, хто і як надалі оброблятиме персональні дані, – зазначає юрист Адвокатського бюро «Ципін і партнери» Кристина Тищенко. – На жаль, запам’ятати, кому і які персональні дані передаються, та спрогнозувати витік цих даних майже неможливо. Саме через це виникає безліч питань правового характеру».

Як використовуються персональні дані

Стаття 10 Закону «Про захист персональних даних» визначає, що використанням персональних даних є будь-які дії володільця щодо їхньої обробки та захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.

А статтею 24 Закону передбачено, що володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних. Для цього вони зобов’язані створити спеціальний структурний підрозділ або призначити відповідальну особу, що організувала б таку роботу.

Випадки, коли поширення персональних даних можливе без згоди суб’єкта персональних даних, визначені у статті 14. Згідно з нею, таке поширення дозволяється лише в інтересах «національної безпеки, економічного добробуту та прав людини».

Контроль за додержанням законодавства про захист персональних даних здійснюють Уповноважений Верховної Ради України з прав людини та суди. Уповноважений може отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних та здійснювати інші повноваження передбачені Законом, які необхідні для здійснення контролю за забезпеченням захисту персональних даних.

Адміністративна відповідальність за порушення законодавства про захист персональних даних

Статтею 188-39 Кодексу України про адміністративні правопорушення встановлено відповідальність за порушення законодавства у сфері захисту персональних даних. Наприклад, неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей тягнуть за собою накладення штрафу на громадян від 100 до 200 неоподатковуваних мінімумів, громадян – суб’єктів підприємницької діяльності – від 200 до 400 неоподатковуваних мінімумів.

А недодержання встановленого законодавством порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, тягне за собою накладення штрафу на громадян від 100 до 500 неоподатковуваних мінімумів, громадян – суб’єктів підприємницької діяльності – від 300 до 1000 неоподатковуваних мінімумів.

Кримінальна відповідальність за порушення законодавства про захист персональних даних

Кримінальним кодексом України, а саме статтею 121, встановлено кримінальну відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації, крім випадків, передбачених іншими статтями КК України, а також визначено покарання у вигляді штрафу від 500 до 1000 неоподатковуваних мінімумів або у вигляді виправних робіт на строк до 2 років, або арешт на строк до 6 місяців, або обмеження волі на строк до 3 років.

Як зауважує Кристина Тищенко, наразі існуючі механізми надання згоди на обробку персональних даних не можуть забезпечити достатнього рівня захисту нашого приватного життя.

«Враховуючи відсутність реального контролю за витоком інформації, випадки незаконного доступу та поширення персональних даних досить розповсюджені, – говорить юрист. – При цьому закон передбачає право фізичної особи на видалення вже наданих персональних даних. Щоправда, для цього потрібно звертатися із заявами до Уповноваженого Верховної Ради з прав людини або до суду. І лише отримавши рішення суду або припис Уповноваженого, можна подати запит про видалення ваших персональних даних».