875.60K
Category: lawlaw

Захист персональних даних. Захист персональних даних та взаємодія з правоохоронними органами

1.

Захист
персональних даних
Захист персональних даних та взаємодія з
правоохоронними органами
2023

2.

Суб’єкти правовідносин у сфері
персональних даних
Потреба в обробці персональних даних може існувати у
найрізноманітніших ситуаціях, учасником яких виступає фізична особа. Задля
виникнення тих чи інших правових зв’язків (цивільно-правових, трудових,
кримінально-процесуальних, адміністративних тощо) людина надає необхідний
обсяг відомостей особистого характеру (ім’я, прізвище, стан здоров’я, освіта,
сімейний стан тощо) іншим особам, які повинні обробляти таку інформацію
ґрунтуючись на повазі до права особи на недоторканість особистого життя.
Широке використання персональних даних органами державної влади,
комерційними та громадськими організаціями суттєво посилює ризик
несанкціонованого вторгнення сторонніх осіб в особисту сферу людини,
створює загрозу порушення одного з її основоположних природних прав –
права на недоторканність приватного життя.
На сьогодні інформація персонального характеру все частіше
розглядається як економічно вигідний товар і як джерело влади. В той же час,
інформаційна сфера є одним із найважливіших напрямків реалізації інтересів
особи та захисту її прав і законних інтересів.

3.

Правові відносини, пов’язані із захистом і обробкою персональних даних,
регулює Закон України «Про захист персональних даних» (далі – Закон),
який спрямований на захист основоположних прав і свобод людини і
громадянина.
Абзацом третім статті 5 Закону передбачає випадки, за яких персональні
дані не належать до інформації з обмеженим доступом.
Статтею 6 Закону визначено загальні вимоги до обробки персональних
даних. Зокрема, мета обробки персональних даних має бути
сформульована в законах, інших нормативно-правових актах, положеннях,
установчих чи інших документах, які регулюють діяльність володільця
персональних даних, та відповідати законодавству про захист
персональних даних.
Частинами першою, другою статті 32 Конституції України передбачено гарантії
невтручання в особисте і сімейне життя особи та визначено, що збирання,
зберігання, використання та поширення конфіденційної інформації про особу не
допускається без її згоди, крім випадків, визначених законом, і лише в інтересах
національної безпеки, економічного добробуту та прав людини.

4.

Поняття персональні дані та їх обробка
Персональні дані – це будь-які відомості чи сукупність відомостей про фізичну
особу, яка ідентифікована або може бути конкретно ідентифікована.
До персональних даних відносяться:
• ім’я і номер телефону;
• місце проживання;
• дата і місце народження;
• судимість;
• стан здоров’я;
• стать;
• національність;
• освіта;
• сімейний стан;
• релігійні переконання;
• відомості про події та явища, що відбулися або відбуваються у
побутовому, інтимному, товариському, професійному діловому та інших
сферах життя особи тощо.

5.

Закон України «Про захист персональних» поширюється на діяльність з
обробки персональних даних, яка здійснюється повністю або частково із
застосуванням автоматизованих засобів, а також на обробку персональних
даних, що містяться у картотеці чи призначені до внесення до картотеки, із
застосуванням неавтоматизованих засобів.
Персональні дані містяться: в електронній базі даних, комп’ютерах, на
серверах, флеш носіях, - в паперових картотеках, документах, копіях
документів, листах, зверненнях громадян, списках, - на фотографіях,
відеозаписах тощо…

6.

Суб'єкти відносин, пов'язаних із персональними
даними:
Суб’єкт персональних даних – це фізична особа, персональні дані якої
обробляються (стаття 2 Закону). Тобто, фактично це людина, якій
«належать» персональні дані і яка вправі контролювати їх використання.
Володілець персональних даних – це фізична або юридична особа, яка
визначає мету обробки персональних даних, встановлює склад цих даних та
процедури їх обробки. Володільцем персональних даних можуть бути
підприємства, установи і організації усіх форм власності, органи державної
влади чи органи місцевого самоврядування, фізичні особи-підприємці, які
обробляють персональні дані на законних підставах.
Розпорядник персональних даних - є фізична або юридична особа, якій
володільцем персональних даних або законом надано право обробляти ці дані
від імені володільця (стаття 2 Закону).
Третя особа - будь-яка особа, за винятком суб’єкта персональних даних,
володільця чи розпорядника персональних даних та Уповноваженого
Верховної Ради України з прав людини, якій володільцем чи розпорядником
персональних даних здійснюється передача персональних даних.
Уповноважений Верховної Ради з прав людини

7.

Персональними даними можуть вважатися будь-які відомості про людину, що
відображають її фізичну, фізіологічну, генетичну, економічну, соціальну або
культурну ідентичність. Вони діляться на дві категорії: загальні та особливі
(чутливі).

8.

Деталізуючи і роз'яснюючи вимоги до обробки чутливих персональних даних,
Уповноважений Верховної Ради України з прав людини, як контролюючий орган
у сфері захисту персональних даних, до таких даних відносить також інформацію
про:
• місцеперебування та або шляхів пересування особи;
• факти притягнення до адміністративної чи кримінальної відповідальності;
• застосування щодо особи заходів в рамках досудового розслідування та
заходів, передбачених Законом України «Про оперативно-розшукову
діяльність»;
• вчинення щодо особи тих чи інших видів насильства.
Щодо змісту чутливих персональних даних, то відповідно до роз'яснень
Уповноваженого Верховної Ради України з прав людини, їх необхідно розуміти
таким чином
Світоглядні переконання особи – сукупність поглядів, оцінок та життєвих принципів особи, що
визначають загальне розуміння та сприйняття світу та місце кожного у ньому. Йдеться саме про загальноприйнятої
світоглядні переконання. Наприклад: пацифізм, фемінізм, вегетаріанство тощо.
Стан здоров'я особи – тобто медична інформація про особу, що містить не лише свідчення про стан
здоров'я, а й про історію її хвороби, про запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку
захворювання, в тому числі і про наявність ризику для життя і здоров'я. Виняток, у даному разі, становлять медичні
довідки, листи працездатності і т. д., які обробляються володільцем при реалізації трудових відносин.
Статеве життя – будь-яка інформація про особу, що стосується її вибору та поведінки у статевих
відносинах, включаючи інформацію про сексуальну орієнтацію особи.
Біометричні дані – сукупність даних про особу, зібраних на основі фіксації її характеристик, що мають достатню
стабільність та істотно відрізняються від аналогічних параметрів інших осіб. Наприклад, відцифрований підпис особи,
відцифрований образ обличчя особи, відцифровані відбитки пальців рук, відцифрований малюнок сітківки ока тощо.

9.

Генетичні дані – інформація, що стосується всіх даних стосовно спадкових властивостей особи або стосовно
способу успадкування характеристик в межах відповідної групи людей. Також це стосується всіх даних про утримання
будь-якої генетичної інформації (генів), що відноситься до будь-яких аспектів здоров'я або захворювання.
Учинення щодо особи тих чи інших видів насильства – інформація про те, що особа
піддавалась різноманітним видам насилля, катувань, мордування, нелюдського чи такого, що принижує гідність
поводження. Наприклад, інформація вказаного характеру з матеріалів кримінального провадження з матеріалів
кримінального провадження.
Місце перебування та або шляхи пересування особи – це інформація, що дає можливість
визначити місце перебування конкретної особи у певному часовому просторі. Наприклад, зняття готівкових коштів в
банкоматах, використання платіжної чи будь-якої іншої іменної картки при розрахунках за товари та послуги, білінгові
системи мобільних операторів, геолокаційні послуги мобільних операторів, використання іменних квитків. До даної
категорії не належить інформація про місце проживання, місце реєстрації, службові та інші відрядження та поїздки.
Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з
обмеженим доступом.

10.

Обробка персональних даних
Відповідно до статті 2 Закону, ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ – це будь-яка
дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання,
адаптування, зміна, поновлення, використання і поширення (розповсюдження,
реалізація, передача), знеособлення, знищення персональних даних, у тому
числі з використанням інформаційних (автоматизованих) систем.
Склад та зміст персональних даних мають бути відповідними, адекватними та
ненадмірними стосовно визначеної мети їх обробки.
Обробка персональних даних здійснюється для конкретних і законних цілей,
визначених за згодою суб’єкта персональних даних, або у випадках,
передбачених законами України, у порядку, встановленому законодавством.
У частині першій статті 11 Закону визначено вичерпний перелік підстав для
обробки персональних даних особи.

11.

Законні підстави для обробки, збирання та поширення, є:
1. Згода суб’єкта персональних даних на обробку його персональних даних;
2. Дозвіл на обробку персональних даних, наданий володільцю персональних
даних відповідно до закону виключно для здійснення його повноважень;
3. Укладення та виконання правочину, стороною якого є суб’єкт
персональних даних або який укладено на користь суб’єкта персональних
даних чи для здійснення заходів, що передують укладенню правочину на
вимогу суб’єкта персональних даних;
4. Захист життєве важливих інтересів суб’єкта персональних даних;
5. Необхідність виконання обов’язку володільця персональних даних,
передбаченого законом;
6. Необхідність захисту законних інтересів володільця персональних даних
або третьої особи, якій передаються персональні дані, крім випадків, коли
потреби захисту основоположних прав і свобод суб’єкта персональних
даних у зв’язку з обробкою його даних переважають такі інтереси.

12.

Доступ до персональних даних
Стаття 8 Закону визначає, що суб’єкт персональних даних має право на доступ
до своїх персональних даних:
• отримувати відповідь не пізніш як за 30 календарних днів з дня надходження
запиту, крім випадків, передбачених законом, відповідь про те, чи
обробляються його персональні дані, а також отримувати зміст таких
персональних даних;
• частина шоста статті 16 Закону: Суб'єкт персональних даних має право на
одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин,
пов'язаних з персональними даними, за умови надання інформації про
прізвище, ім'я та по батькові, місце проживання (місце перебування) і
реквізити документа, що посвідчує фізичну особу, яка подає запит, крім
випадків, установлених законом;
• запит подається в письмовій або електронній формі;
• запит у письмовій формі подається особисто заявником або уповноваженою
ним у встановленому порядку особою. Заявник під час подання запиту
особисто пред’являє посадовій особі документ, що посвідчує його особу.
Частина п’ята статті 16 Закону - Строк вивчення запиту на предмет його
задоволення не може перевищувати 10 робочих днів з дня його надходження.
Запит задовольняється протягом 30 календарних днів з дня його надходження,
якщо інше не передбачено законом.

13.

За загальним правилом згідно з частиною третьою статті 16
Закону доступ до персональних даних надається у
відповідь на запит третіх осіб, за умови, що він відповідає
вимогам частини четвертої цієї статті.
• поширення персональних даних передбачає дії щодо передачі відомостей
про фізичну особу за згодою суб'єкта персональних даних;
• поширення персональних даних без згоди суб’єкта персональних даних або
уповноваженої ним особи дозволяється у випадках, визначених законом, і
лише (якщо це необхідно) в інтересах національної безпеки, економічного
добробуту, прав людини та для проведення Всеукраїнського перепису
населення.
Має містити обґрунтування повноважень, мети та/або правові підстави для
запиту на отримання запитуваної інформації.

14.

У випадку, якщо у запиті не вказано мету та/або правові підстави для
отримання персональних даних та не обґрунтовано повноваження запитувача,
відповідні персональні дані не підлягають наданню, про що повідомляють
особу, яка подала запит.
Строк вивчення запиту на предмет його задоволення не може перевищувати
десяти робочих днів з дня його надходження. Якщо ж підстав для відмови
немає, запит задовольняється протягом тридцяти календарних днів з дня
його надходження, якщо інше не передбачено законом
Рішення щодо можливості поширення конкретних категорій інформації про
фізичну особу має прийматися в кожному випадку окремо у відповідності з
вимогами законодавства України.
Виконання вимог встановленого режиму захисту персональних даних
забезпечує сторона, що поширює ці дані (частина третя статті 14 Закону).

15.

ДМС як володілець персональних даних
Відповідно до пункту 1 Положення про Державну міграційну службу України,
затвердженого постановою Кабінету Міністрів України від 20.08.2014 № 360
(далі – Положення), ДМС є центральним органом виконавчої влади, діяльність
якого спрямовується та координується Кабінетом Міністрів України через
Міністра внутрішніх справ і який реалізує державну політику у сферах міграції
(імміграції та еміграції), у тому числі протидії нелегальній (незаконній) міграції,
громадянства, реєстрації фізичних осіб, біженців та інших визначених
законодавством категорій мігрантів.
Згідно підпункту 28 пункту 4 Положення, ДМС відповідно до покладених на неї
завдань забезпечує створення, удосконалення, розвиток, супроводження та
підтримку функціонування Єдиного державного демографічного реєстру,
Єдиної інформаційно-аналітичної системи управління міграційними процесами,
Національної системи біометричної верифікації та ідентифікації громадян
України, іноземців та осіб без громадянства, володільцем розпорядником яких є
ДМС, а також здійснює заходи захисту інформації в них.

16.

Згідно з абзацом першим і третім статті 4 Закону України «Про Єдиний
державний демографічний реєстр та документи, що підтверджують
громадянство України, посвідчують особу чи її спеціальний статус» (далі – Закон
про ЄДДР), Єдиний державний демографічний реєстр (далі - Реєстр) це
електронна інформаційно-телекомунікаційна система, призначена для
зберігання, захисту, обробки, використання і поширення визначеної цим
Законом інформації про особу та про документи, що оформлюються із
застосуванням засобів Реєстру, із забезпеченням дотримання гарантованих
Конституцією України свободи пересування і вільного вибору місця
проживання, заборони втручання в особисте та сімейне життя, інших прав і
свобод людини та громадянина.
Реєстр ведеться з метою ідентифікації особи для оформлення, видачі, обміну,
пересилання, вилучення, повернення державі, визнання недійсними та
знищення передбачених цим Законом документів. Реєстр використовується у
межах визначених законодавством про свободу пересування та вільний вибір
місця проживання, також для обліку інформації про зареєстроване або
задеклароване місце проживання (перебування) особи.
Постановою від 18.10.2017 № 784, затверджено Порядок ведення Єдиного
державного демографічного реєстру та надання з нього інформації, взаємодії
між уповноваженими суб'єктами, а також здійснення ідентифікації та
верифікації (далі – Порядок).
Відповідно до частини третьої статті 8, частини другої статті 11 Закону про
ЄДДР внесена до Реєстру інформація є конфіденційною!

17.

Нерозголошення конфіденційної інформації гарантується державою!
Збирання, зберігання, використання та захист інформації, що міститься у ЄДДР,
здійснюються відповідно до закону.
Надання інформації, відомостей або інших персональних даних про особу, що
містяться у Реєстрі, здійснюється виключно у випадках, передбачених
законами України, і лише в інтересах національної безпеки, економічного
добробуту та захисту прав людини або за згодою самої особи.
У відповіді на запит правоохоронного органу, що має доступ до ЄДДР,
слід обов’язково вказувати про наявність такого доступу та можливості
самостійно уточнювати необхідні персональні дані осіб, у разі наявності
відповідних підстав.

18.

Щодо запитів правоохоронних органів
Запити підрозділів, які уповноважені здійснювати контррозвідувальну та
оперативно-розшукову діяльність, має містити, серед іншого, посилання на
заведену оперативно-розшукову або контррозвідувальну справу (її номер,
дату), а також містити належне обґрунтування правових підстав та мети для
отримання персональних даних із посиланням на конкретні положення статей
Закону України «Про оперативно-розшукову діяльність» або Закону України
«Про контррозвідувальну діяльність» відповідно до яких здійснюється збирання
персональних даних.
Окремі повноваження щодо подання запитів правоохоронних органів містяться
також у законах України «Про Державне бюро розслідувань», «Про Національне
антикорупційне бюро України», «Про Службу безпеки України», «Про Бюро
економічної безпеки України», «Про Національну поліцію», «Про розвідку»
тощо.
Запит правоохоронного органу має містити обґрунтування повноважень,
правових підстав та мети отримання запитуваної інформації і розглядається у
кожному випадку окремо.

19.

Отримання персональних даних у рамках досудового розслідування
Відповідно до статті 1 КПК України, порядок кримінального провадження на
території України визначається лише кримінальним процесуальним
законодавством України.
Порядок збирання доказів стороною обвинувачення - передбачений
Кримінальним процесуальним кодексом України, а саме, статтею 162 КПК
України, визначено речі і документи, які містять охоронювану законом
таємницю.
Відповідно до пункту 8 частини першої статті 162 КПК України до охоронюваної
законом таємниці, яка міститься в речах і документах, належить, зокрема,
персональні дані особи, що знаходяться у її особистому володінні або в базі
персональних даних, яка знаходиться у володільця персональних даних.
Згідно з частиною другою статті 159 КПК України та частиною шостою статті 163
КПК України, вказана інформація надається стороні кримінального провадження
особою, у володінні якої, знаходяться така інформація, на підставі ухвали
слідчого судді, суду про тимчасовий доступ до речей і документів, які містять
охоронювану законом таємницю.
Пунктом 207 розділу ХІ КПК України передбачено, що під час дії надзвичайного
або воєнного стану на території України, тимчасовий доступ до речей і
документів, визначених, зокрема, у пункті 8 частини першої статті 162 цього
Кодексу, здійснюється на підставі постанови прокурора, погодженої з
керівником відповідного органу прокуратури (враховуючи зміни, внесені
Законом України від 16.03.2022р. №2137-IX).

20.

Перелік інформації, яка обов’язково зазначається у запиті
від правоохоронних органів
найменування,
місцезнаходження
юридичної особи до якої
адресовано запит
найменування,
місцезнаходження
юридичної особи, яка
подає запит, посада,
прізвище, ім'я та по
батькові особи, яка
засвідчує запит
підтвердження того, що
зміст запиту відповідає
повноваженням
юридичної/фізичної особи
прізвище, ім'я та по
батькові, дата
народження а також інші
відомості, що дають
змогу ідентифікувати
фізичну особу, стосовно
якої робиться запит
відомості про базу
персональних даних,
стосовно якої подається
запит, чи відомості про
володільця чи
розпорядника
персональних даних
перелік персональних
даних, що запитуються
номер, дата оперативнорозшукової або
контррозвідувальної
справи
номер, дата ухвали
слідчого судді, суду про
тимчасовий доступ до
речей і документів /або
постанови прокурора,
погодженої з керівником
відповідного органу
прокуратури
мета та цілі, щодо
отримання та подальшого
використання запитуючих
персональних даних / або
визначені правові
підстави для запиту с
чіткими посиланнями

21.

Законодавчі акти гарантують право людини на захист персональних даних
Конституція України.
Загальна Декларація прав людини.
Міжнародний Пакт про громадянські і політичні права.
Конвенція про захист прав людини і основоположних свобод.
Конвенція Ради Європи про захист осіб у зв’язку автоматичною обробкою
персональних даних.
Закон України «Про захист персональних даних».
Витяг з Кодексу України про адміністративні правопорушення (стаття 188-39
«Порушення законодавства у сфері захисту персональних даних», стаття 18840 «Невиконання законних вимог Уповноваженого Верховної Ради України з
прав людини»).
Витяг з Кримінального кодексу України (стаття 182 «Порушення
недоторканності приватного життя»).
English     Русский Rules