До набуття чинності Закону «Про захист персональних даних» основні положення щодо необхідності захисту інформації, у тому числі й інформації про фізичну особу, в Україні вже були достатньо повно врегульовані Законами України «Про інформацію», «Про захист інформації в інформаційнотелекомунікаційних системах», «Про телекомунікації», а для органів державної влади та місцевого самоврядування, а також підприємств, установ та організації, що належать до сфери їх управління також Положенням про Реєстр інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем органів виконавчої влади, затвердженим постановою Кабінету Міністрів України від 03.08.2005 року №688. Проте, найважливішою та суспільно значимою особливістю Закону «Про захист персональних даних» (далі – Закон) є те, що норми, які Закон містить, не тільки ще раз законодавчо закріпили необхідність захисту персональних даних як інформації про фізичну особу, а насамперед надали та чітко визначили права суб’єкта персональних даних у зв’язку з обробкою його персональних даних. 1. Важливою особливістю Закону є те, що він визначає кожного громадянина як суб’єкта персональних даних та ставить його на перше місце у визначеному Законом переліку суб’єктів відносин, пов’язаних з персональними даними (пункт 1 статті 4 Закону). 2. Законом визначено, що: Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством (пункт 5 статті 6 Закону). 3. Права суб’єкта персональних даних визначені окремою статтею 8 Закону «Права суб’єкта персональних даних», а основними способами реалізації наданих суб’єкту прав є: - надання згоди на обробку персональних даних окрім випадків, де обробка здійснюється володільцями чи розпорядниками баз персональних даних у відповідності до закону виключно для здійснення повноважень; - надання можливості вносити застереження при наданні згоди на обробку персональних даних; - отриманням доступу до інформації про зареєстрованих Уповноваженим Верховної Ради України з прав людини володільців чи розпорядників персональних даних, які обробляють персональні дані, що становлять особливий ризик для прав та свобод суб’єктів персональних даних, а також інформацію про структурні підрозділи або відповідальну особу, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці; - отриманням доступу до своїх персональних даних та правом пред’являти відповідні вмотивовані вимоги щодо обробки своїх персональних даних; - звернення до органів державної влади, до повноважень яких належить здійснення захисту персональних даних;
- застосування засобів правового захисту у разі порушення законодавства про захист персональних даних. 4. Надання згоди на обробку персональних даних є законодавчо визначеною підставою для виникнення права на використання персональних даних та одним із найважливіших чинників, який є вагомим важелем у сфері захисту персональних даних. Згода суб’єкта персональних даних на обробку його персональних даних надається у випадках, що не передбачені законодавством, винятково для реалізації володільцем чи розпорядником бази його повноважень Також статтею 11 Закону визначено, що підставою виникнення права на використання персональних даних може бути дозвіл на обробку персональних даних (без згоди на це суб’єкта персональних даних), який надається володільцю чи розпоряднику персональних даних відповідно до закону виключно для здійснення його повноважень. Органи державної влади та місцевого самоврядування мають право обробляти персональні дані без згоди на це суб’єкта персональних даних виключно для здійснення своїх повноважень, чітко визначених законодавством України. При цьому кожний суб’єкт персональних даних має право знати який саме закон чи нормативно-правовий акт надав органу державної влади або місцевого самоврядування право та/або обов’язок щодо обробки персональних даних, а також які саме категорії персональних даних обробляються у конкретній базі персональних даних у відповідності до законодавства. Саме тому згода на обробку персональних даних для цілей податкового, бухгалтерського, статистичного та інших видів обліку, які визначені законодавством України, не потрібна. Особливо слід наголосити на тему, що навіть у разі надання згоди суб’єктом персональних даних на обробку його персональних даних він має право внести застереження стосовно обмеження права на обробку своїх персональних даних (підпункт 1 пункту 1 статті 11 Закону). 5. Законом визначено, що будь-які інші дії володільців чи розпорядників, пов’язані за збиранням, накопиченням, зберіганням, поширенням персональних даних і які не передбачені законодавством, повинні відбуватися винятково за наявності письмової згоди суб’єкта персональних даних. Слід зазначити також те, що при цьому без наявності законодавчих підстав, надання письмової згоди суб’єкта персональних даних на обробку його персональних даних не є обов’язком, а є винятковим правом кожного громадянина. Кожний громадянин самостійно вирішує питання щодо необхідності або доцільності надання такої згоди, але з урахуванням того, що прийняття ним рішення щодо надання згоди на обробку його персональних даних: - повинно бути виваженим, - охоплювати чіткий, зрозумілий та конкретний перелік дій у відповідності до зрозуміло викладеної володільцем чи розпорядником персональних даних мети їх подальшої обробки.
Основним принципом при наданні згоди суб’єктом персональних даних повинно бути добровільне волевиявлення та відповідність інтересам кожної фізичної особи, а особливо у разі подальшої автоматизованої обробки персональних даних. У випадку, якщо фізичній особі пропонують надати письмову згоду на обробку персональних даних, то означає насамперед те, що її (згоду) при цьому можна і не надавати. Проте, навіть скориставшись власним волевиявленням, у разі прийняття суб’єктом персональних даних добровільного рішення щодо надання згоди, Закон також надає кожній фізичній особі права контролювати значну кількість питань та процесів, пов’язаних з обробкою його персональних даних. Іншими словами, це права, які кожний громадянин може реалізувати в межах «умови згоди», що надається у відповідності до Закону. 6. Крім того, що у відповідності до законодавчо встановлених вимог до складу та змісту персональних даних, які містяться у базі персональних даних, і які мають бути відповідними та не надмірними стосовно визначеної мети їх обробки (пункт 2 статті 6 Закону), Законом також визначено, що у разі, якщо обробка персональних даних здійснюється не у випадках, передбачених законами України, а відбувається за згодою суб’єкта персональних даних, то суб’єкт в умовах своєї згоди з володільцем чи розпорядником персональних даних може визначати також обсяг персональних даних стосовно себе, і які можуть бути включені до відповідної бази персональних даних (пункт 3 статті 6 Закону); 7. Як вже було наголошено раніше, права кожного громадянина у зв’язку з обробкою його персональних даних володільцями чи розпорядниками персональних даних чітко викладені у окремій статті 8 Закону: «суб’єкт персональних даних має право: - Знати місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом; - Отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних; - На доступ до своїх персональних даних , що містяться у відповідній базі персональних даних; - Отримувати не пізніше як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персоналі дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються; - Пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом; - Пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
- На захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи; - Звертатися з питань захисту своїх прав щодо захисту персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних; - Застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних». 8. Реалізація суб’єктом персональних даних права на інформацію про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази здійснюється з використанням інформації, яка відповідно до статті 9 Закону «Про захист персональних даних» підлягає оприлюдненню на офіційному веб-сайті Уповноваженого Верховної Ради України з прав людини. 9. Законом визначено вимоги до обробки персональних даних володільцями та/або розпорядниками персональних даних, у тому числі і у випадку обробки персональних даних, що відбувається за згодою суб’єкта персональних даних: - Загальні вимоги до обробки персональних даних (стаття 6 Закону); - Особливі вимоги до обробки персональних даних (стаття 7 Закону); Особливо необхідно наголосити на тому, що обробка персональних даних, до яких Законом висуваються особливі вимоги (про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та профспілкових спілках, а також даних, що стосуються здоров’я чи статевого життя), здійснюється за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних та урахуванням інших вимог, визначених частиною 2 статті 7 Закону. 10. Законом також визначено вимоги до дій володільців та/або розпорядників персональних даних, які повинні відбуватися за згодою суб’єкта персональних даних у разі надання ним такої згоди: - Використання персональних даних (стаття 10 Закону); - Збирання персональних даних (стаття 12 Закону); - Накопичення та зберігання персональних даних (стаття 13 Закону); - Поширення персональних даних (стаття 14 Закону); - Знищення персональних даних (стаття 15 Закону); - Порядок доступу до персональних даних (стаття 16 Закону); - Відстрочення або відмова у доступі до персональних даних (стаття 17 Закону); - Зміни та доповнення до персональних даних (стаття 20 Закону); - Повідомлення про дії з персональними даними (стаття 21 Закону). 11. Надані суб’єкту персональних даних права у зв’язку з обробкою їх персональних даних також закріплюються відповідними законодавчими нормами, які вимагають від володільців та/або розпорядників персональних даних наступне:
-
У разі зміни визначеної мети обробки персональних даних суб’єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети (абзац 2 пункту 1 статті 6 Закону); - протягом десяти робочих днів з дня включення персональних даних суб’єкта до бази персональних даних повідомляти його про права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані (пункт 2 статті 12 Закону). Виключенням з цього обов’язку є підтверджений володільцем персональних даних факт отримання персональних даних із загальнодоступних джерел (пункт 3 статті 12 Закону); - зібрані відомості про суб’єкта персональних даних, а також інформація про їх джерела повинні надаватися володільцем та/або розпорядником за вимогою суб’єкта персональних даних, крім випадків, установлених законом (пункт 4 статті 12 Закону). 12. Законом також визначено цілу низку прав суб’єктів персональних даних, які включені до бази персональних даних і які пов’язані з питаннями поширення персональних даних та порядку доступу до персональних даних. У разі, коли включення відомостей про фізичну особу до бази персональних даних здійснювалося не згідно з законом (для виконання своїх повноважень), а на підставі згоди суб’єкта персональних даних: поширення персональних даних (дії щодо передачі відомостей) здійснюється за згодою суб’єкта персональних даних (пункт 1 статті 14 Закону). порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю персональних даних на обробку цих даних (пункт 1 статті 16 Закону); наданням права суб’єкту персональних даних прописувати в умовах згоди та вимагати від володільця персональних даних повідомлення про передачу персональних даних третій особі протягом десяти робочих днів (пункт 1 статті 21 Закону). При цьому вимога щодо отримання повідомлення у цьому випадку не може стосуватися передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом; виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом, а також здійснення обробки персональних даних в історичних, статистичних чи наукових цілях (пункт 2 статті 21 Закону). 13. Законом також визначені окремо права суб’єкта персональних даних стосовно процедур обробки персональних даних володільцями та/або розпорядниками персональних даних: - персональні дані в базах персональних даних підлягають знищенню, у тому числі, у разі закінчення строку зберігання даних, який може визначатися згодою суб’єкта персональних даних на обробку цих даних, (абзац 1 пункту 2 статті 15 Закону); - на підставі вмотивованої письмової вимоги зобов’язувати володільців чи розпорядників персональних даних вносити зміни до персональних даних (пункт 1 статті 20 Закону); - вимагати невідкладної зміни персональних даних, які не відповідають дійсності, з моменту встановлення невідповідності (пункт 3 статті 20 Закону);
- обов’язково отримувати повідомлення від володільців чи розпорядників персональних даних про зміну чи знищення персональних даних або обмеження доступу до них протягом десяти робочих днів (пункт 3 статті 21 Закону). 14. Ціла низка прав надається суб’єкту персональних даних щодо доступу до персональних даних: - у випадку, коли обробка персональних здійснюється володільцем не у відповідності до права, наданого законом, а за згодою суб’єкта персональних даних, суб’єкт має право при наданні згоди визначати порядок доступу до персональних даних третіх осіб (пункт 1 статті 16 Закону); - суб’єкт персональних даних має право подавати запит щодо доступу до персональних даних володільцю персональних даних (пункт 3 статті 16 Закону); - суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даним, без зазначення мети запиту, крім випадків, установлених законом (пункт 6 статті 16 Закону); 15. У зв’язку з наданими суб’єкту персональних даних правами щодо доступу до персональних даних Закон також чітко врегульовує питання, пов’язані із діями володільців персональних даних щодо задоволення запиту: - відстрочення доступу суб’єкта персональних даних до своїх персональних даних не допускається (пункт 1 статті 17 Закону); - відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п’яти календарних днів (пункт 2 статті 17 Закону); - повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз’ясненням порядку оскарженні такого рішення (абзац 2 пункту 2 статті 17 Закону); - строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження (пункт 5 статті 16 Закону); - запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом (абзац 3 пункту 5 статті 16 Закону); 16. Закон також надає кожному суб’єкту персональних даних право на оскарження рішення про відстрочення або відмову в доступі до персональних даних (стаття 18 Закону). Рішення про відстрочення або відмову в доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних – Уповноваженого Верховної Ради України з прав людини. Якщо запит зроблено суб’єктом персональних даних щодо даних про себе, обов’язок доведення в суді законності відмови у доступі покладається на володільця персональних даних, до якого подано запит (пункт 2 статті 18 Закону). Законодавчо встановлено, що доступ суб’єкта персональних даних про себе здійснюється безоплатно (пункт 1 статті 19 Закону).
Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень (пункт 4 статті 19 Закону).