Персональные данные: кто имеет право их собирать и использовать?

Вряд ли вы будете передавать пароль от своей банковской карты человеку, который по телефону назвался сотрудником банка. А вот разрешение на обработку своих персональных данных при покупках в интернете мы даем почти ежедневно, просто ставя галочку в нужном месте. Как при этом обезопасить себя? И кто по закону имеет право собирать и обрабатывать наши персональные данные?

Статьей 2 Закона Украины «О защите персональных данных» предусмотрено, что добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных может быть выражено в письменной форме или «в форме, что позволяет сделать вывод о предоставлении согласия». В этой же статье прямо говорится: «В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлено при регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии с сформулированной целью их обработки, при условии, что такая система не создает возможностей для обработки персональных данных до момента проставления отметки». То есть, ставя галочку напротив формулировка «согласен на обработку персональных данных», мы каждый раз даем компании-владельцу сайта правомерное согласие хранить и использовать информацию о нас.

«Во время такой процедуры передачи персональных данных, как регистрация на сайте, мало кто из нас интересуется, кто и как в дальнейшем будет обрабатывать персональные данные, – отмечает юрист Адвокатского бюро «Цыпин и партнеры» Кристина Тищенко. – К сожалению, запомнить, кому и какие персональные данные передаются, и спрогнозировать утечку этих данных почти невозможно. Именно поэтому возникает множество вопросов правового характера».

Как используются персональные данные

Статья 10 Закона «О защите персональных данных» определяет, что использованием персональных данных являются любые действия владельца по их обработке и защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанным с персональными данными, осуществляются с согласия субъекта персональных данных или в соответствии с законом.

А статьей 24 Закона предусмотрено, что владельцы, распорядители персональных данных и третьи лица обязаны обеспечить защиту этих данных от случайных потери или уничтожения, от незаконной обработки, в том числе незаконного уничтожения или доступа к персональным данным. Для этого они обязаны создать специальное структурное подразделение или назначить ответственное лицо, организовавшее бы такую работу.

Случаи, когда распространение персональных данных возможно без согласия субъекта персональных данных, определенные в статье 14. В соответствии с ней, такое распространение разрешается только в интересах «национальной безопасности, экономического благосостояния и прав человека».

Контроль за соблюдением законодательства о защите персональных данных осуществляют Уполномоченный Верховной Рады Украины по правам человека и суды. Уполномоченный может получать на свое требование и иметь доступ к любой информации (документам) владельцев или распорядителей персональных данных и осуществлять другие полномочия, предусмотренные Законом, которые необходимы для осуществления контроля за обеспечением защиты персональных данных.

Административная ответственность за нарушение законодательства о защите персональных данных

Статьей 188-39 Кодекса Украины об административных правонарушениях установлена ответственность за нарушение законодательства в сфере защиты персональных данных. Например, несообщение или несвоевременное сообщение Уполномоченного об обработке персональных данных или об изменении сведений, подлежащих уведомлению согласно закону, сообщение неполных или недостоверных сведений влечет наложение штрафа на граждан от 100 до 200 необлагаемых минимумов, граждан – субъектов предпринимательской деятельности – от 200 до 400 необлагаемых минимумов.

А несоблюдение установленного законодательством порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных влечет за собой наложение штрафа на граждан от 100 до 500 необлагаемых минимумов, граждан – субъектов предпринимательской деятельности – от 300 до 1000 необлагаемых минимумов.

Уголовная ответственность за нарушение законодательства о защите персональных данных

Уголовным кодексом Украины, а именно статьей 121, установлена уголовная ответственность за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, кроме случаев, предусмотренных другими статьями УК Украины, а также определено наказание в виде штрафа от 500 до 1000 необлагаемых минимумов или в виде исправительных работ на срок до 2 лет, либо арест на срок до 6 месяцев, или ограничение свободы на срок до 3 лет.

Как отмечает Кристина Тищенко, на сегодня существующие механизмы предоставления согласия на обработку персональных данных не могут обеспечить достаточного уровня защиты нашей частной жизни.

«Учитывая отсутствие реального контроля за утечкой информации, случаи незаконного доступа и распространения персональных данных встречаются достаточно часто, – говорит юрист. – При этом закон предусматривает право физического лица на удаление уже предоставленных персональных данных. Правда, для этого нужно обращаться с заявлениями к Уполномоченному Верховной Рады по правам человека или в суд. И только получив решение суда или предписание Уполномоченного, можно подать запрос об удалении ваших персональных данных».