Секретаріат Уповноваженого продовжує виявляти випадки неналежного ставлення до захисту персональних даних при поширенні документів

25/10/2019 15:33

Секретаріат Уповноваженого ВРУ з прав людини продовжує виявляти непоодинокі випадки неналежного ставлення до обов’язку захисту персональних даних при поширенні документів (їх пересиланні, оприлюдненні, наданні доступу до них тощо), які, окрім іншого, містять такі дані.

Найпростіший та найпоширеніший приклад по кроках

1) певна установа (надалі – установа) отримала від громадянина звернення із спірними питаннями, у зв’язку із чим виникла необхідність отримання роз’яснення компетентного органу;

2) для отримання роз’яснення установа готує до компетентного органу лист, до якого додає отримане звернення в якості джерела виникнення спірного питання;

3) надсилаючи зазначений лист установа залишає звернення громадянина в первісному вигляді без знеособлення зазначених у ньому персональних даних та без отримання від такого громадянина згоди на поширення його персональних даних;

4) як наслідок – отримуємо неправомірне поширення персональних даних суб’єкта, що звернувся зі зверненням, а в деяких випадках, також, поширення персональних даних інших осіб, якщо такі були вказані у зверненні.

Важливо! Наведений приклад не стосується випадків надсилання звернень громадян за належністю на виконання статті 7 Закону України «Про звернення громадян», оскільки в таких випадках поширення відбувається цілком на законних підставах та не потребує окремої згоди. До того ж, є очевидним, що без вказаних у зверненні персональних даних, орган, який отримав таке звернення за належністю, не зможе його опрацювати, надати відповідь запитувачу тощо.

Слід наголосити, що поширення персональних даних може відбуватися виключно за наявності належних правових підстав. Зокрема, виходячи з положень статті 14 Закону України «Про захист персональних даних» процес поширення персональних даних передбачає дії щодо передачі відомостей про суб'єкта персональних даних за його згодою.

Поширення персональних даних без згоди відповідного суб’єкта або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

Отже, в тих випадках, коли виникає необхідність поширення документів (їх копій), що містять персональні дані, за відсутності належних правових підстав та обґрунтованої необхідності поширення самих персональних даних, такі дані в поширюваних документах повинні бути знеособлені в такий спосіб (заретушовані, закриті тощо), що унеможливить їх відновлення (розпізнання, зчитування тощо) особами, яким поширюються відповідні документи.

Додатково звертаємо увагу, що в переважній кількості випадків одного лише знеособлення П.І.Б. (чи якоїсь його частини) буде недостатньо. Тобто, знеособленню підлягають усі ті персональні дані (окремі елементи або їх сукупність), які ідентифікують або надають можливість ідентифікувати фізичну особу.

В залежності від конкретного випадку, такими даними можуть бути (у тому числі, але не виключно): адреса проживання/місцеперебування, місце навчання/роботи, реквізити документів, що посвідчують особу, унікальні ідентифікатори (реєстраційний номер облікової картки платника податків, номер запису в Єдиному державному демографічному реєстрі тощо). Крім того, ознаки ідентифікуючих персональних даних можуть носити деякі обставини, викладені у зверненнях/запитах громадян тощо.

Пам’ятайте, що неправомірне поширення персональних даних вважатиметься порушенням прав відповідних суб’єктів персональних даних, за яке чинним законодавством передбачена відповідальність (зокрема статтею 18839 Кодексу України про адміністративні правопорушення, статтею 182 Кримінального кодексу України).

Крім того, суб’єкт персональних даних, якому внаслідок неправомірного поширення персональних даних була нанесена шкода, матиме право на її відшкодування в судовому порядку в рамках цивільного судочинства.