Закон про захист персональних даних. Кого він захищає?

Your browser doesn’t support HTML5

Олексій Мервінський, голова держслужби з питань захисту персональних даних Мін'юсту України

Голова держслужби з питань захисту персональних даних Мін'юсту України Олексій Мервінський пояснив, хто і навіщо може збирати Ваші персональні дані.

– Захист персональних даних. Закон не новий. Набрав чинності 1 січня минулого року. А з 1 липня цього року було створено спеціальний центральний орган виконавчої влади – Державну службу України з питань захисту персональних даних, який розпочав реєстрацію баз персональних даних у Державному реєстрі баз персональних даних.

З 1 січня нинішнього року набув чинності закон «Про захист персональних даних», про внесення змін до закону, який дещо регулює. Що саме? Чого бояться на підприємствах?

Олексій Мервінський


– З 1 січня вступив закон про внесення змін до деяких законодавчих актів щодо несення адміністративної і кримінальної відповідальності за порушені вимоги законодавства у сфері захисту персональних даних.

Насамперед я хочу сказати про те, що деякі положення цього закону дещо спотворюються, тому що випинає насамперед порушення вимог щодо реєстрації. І, може, навмисне, може, випадково, але трохи замовчується той факт, що насамперед відповідальність передбачається для кожного громадянина, що є важливим.

Це неповідомлення або несвоєчасне повідомлення про суб’єкта персональних даних, про його права у зв’язку зі включення його персональних даних до відповідної бази персональних даних на кожному підприємстві, установі, організації, про його мету збору цих даних, а також про осіб, яким ці дані передаються.

Тобто, насамперед ведеться мова про захист прав людини саме в інформаційній сфері. Ця сфера була найбільш незахищена до теперішнього часу в Україні.

– Але між тим інформаційної сфери він не зовсім стосується, тому що журналістів він не стосується.

– Так. Я маю на увазі інформаційну сферу, яка стосується інформаційної діяльності. Процеси інформатизації та автоматизації нашої життєдіяльності набувають дуже великих масштабів. І ця діяльність трішечки йде швидше, ніж захищаються права і свободи кожного громадянина.

– Люди у «Фейсбук» запитують навіть таке: що таке «обробка персональних даних»? Люди і цього не знають. Хоча є це в законі і написано чітко. Але питають: у якому виді обробка здійснюється і де ця обробка використовується?

– Те, що стосується обробки, цей закон стосується тільки обробки персональних даних.

Що взагалі передбачає процес обробки? Це збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання, поширення, знищення. Причому поширення передбачає і розповсюдження, і реалізацію, а також передачу іншим особам.

Я хочу також акцентувати увагу, що саме за незаконну дію всіх цих передбачених дій належить у тому числі відповідальність.

– З іншого боку, може бути так, що фізична особа може потерпіти від цього.

Мені потрапила на очі в інтернеті розповсюджена одним зі співробітників одного з банків угода на обробку персональних даних. Це було зроблено у нього на роботі. Він зобов’язаний підписати: я, такий-то, даю згоду на обробку персональних даних. І тут написано: я даю згоду на обробку такій-то установі моїх персональних даних про расове або етнічне походження, а також даних, що стосуються мого здоров’я та членства у політичних партіях та професійних спілках, тощо.

Стаття 7 цього закону забороняє подібне. Журнал кадровика, коли пишеш, там написано: заборонено це. Стосовно здоров’я, то коли це стосується працедавця, то це може бути. Але для чого до цієї установи, яка економічного характеру, не релігійна установа, дані про віросповідання, національну та расову належність? Це порушення чи ні?
Вона (громадянин – ред.) має право підписати або вимагати, щоб чітко сказали, з якою метою. Вона може внести застереження

– Я хочу Вам сказати, що Ви розпочали з того, що співробітнику пропонується. А Ви сказали, що його зобов’язують підписати. Це право вибору кожної людини. Вона (громадянин – ред.) має право підписати або має право все-таки у відповідності до закону вимагати, щоб їй чітко сказали, з якою метою.

У закону «Про захист персональних даних» мета обробки – це основна складова. Якщо буде чітко сформулювана мета, то відповідно до мети вже формулюються ті відомості, які пропонуються кожному громадянину надати про себе. І це його право. Він може скористатися ним, а може не скористатися.

Причому закон також передбачає чітко, що вона може внести застереження. Застереження можуть стосуватися різних питань. У тому числі і термінів зберігання, де повинні чітко бути визначені терміни. Навіть якщо він надає згоду…

– Але якщо це типова згода-папірець, і прийде співробітник…? Ну, добре, що він юрист. А якщо це співробітник без вищої освіти?

– Та діяльність, яка ведеться Державною службою України захисту персональних даних, направлена на роз’яснення прав і свобод кожного громадянина. І ми у всіх своїх документах, у всіх своїх роз’ясненнях чітко формулюємо, що він має право скористатися або внести застереження. Для цього йому надані усі права і повноваження.

Я вже казав, що загалом у нашому законі «Про захист персональних даних» згода суб’єкта згадується 27 разів. Тобто, всі питання тільки за згодою суб’єкта.

– Як порада для цієї людини конкретної чи якоїсь іншої людини. У випадку, якщо на роботі вам пропонують заповнити те, що у вас викликає якісь заперечення, ви повинні написати куди? У державну службу..

– Так, у Державну службу України з питань захисту персональних даних.

– Що потрібно написати?

– Чітко викласти факт, хто, за яких обставин і які пропозиції зробив щодо надання пропозиції по обробці його персональних даних.

– Ще запитання з мережі «Фейсбук».

«Відповідно до закону, клієнту має видаватися величезна кіпа довідок. Спочатку про внесення до бази даних, потім підтвердження про внесення до бази – вам лісу не шкода? Окрім того, як буде з клієнтом сервісного центру, який здав техніку в ремонт, а дані свої не дає? Як його повідомити про готовність техніки, що вимагає інший закон?»

Колізія?

– Ні, ніякої колізії немає. На мій погляд, все досить раціонально. Причому, якщо сервісний центр дійсно збирає персональні дані, то він отримує свідоцтво про державну реєстрацію бази персональних даних і відповідним чином поводиться з цими персональними даними.

Ніякої колізії немає, на мій погляд. Саме основне, що…

– Але у людей виходить, що є.

– …у процесі реєстрації власник бази персональних даних підтверджує зобов’язання щодо використання персональних даних відповідно до сформульованої мети, з якою була сформована ця база персональних даних. Тобто, він бере на себе зобов’язання використовувати тільки для надання послуг сервісного обслуговування. І ніяка інша мета. Виключається передача іншим особам або надання тієї інформації щодо своїх клієнтів в якісь інші державні установи і не тільки в державні, а й в інші.

– Ще один дописувач пише, що, на його думку, цей закон нікого не захищає, оскільки, наприклад, мережі магазинів, які надають усім охочим накопичувальні картки, мають персональні дані сотень тисяч людей. І, за його твердженням, не брали у нього письмовий дозвіл.

– Мережі магазинів, напевне, найперші, хто правильно відреагував на вступ у дію закону про захист персональних даних. Чому? Тому що, зверніть увагу, коли вам вже зараз пропонують заповнити якусь картку, то там десь у певному місці, може, там дрібними літерами, але написано, що ви цим самим нараєте згоду і у відповідності до закону України «Про захист персональних даних», тобто ви автоматично даєте згоду на те, що ваші персональні дані будуть оброблятися.

Тепер треба тільки уважно відслідкувати мету, з якою ця обробка буде здійснюватися. І ви маєте право скористатися нею або відмовити.

Ви маєте також право написати відповідного листа до державної служби, і нами будуть вжиті відповідні заходи. Вже проведено цілу низку заходів. І на такі запити наших громадян були здійснені позапланові перевірки і припинена діяльність щодо збору персональних даних наших громадян.Така діяльність нами ведеться постійно.

– Але, бачите, люди пишуть, що можна звернутися до «компетентних людей» (сходити на радіоринок) – і матимеш базу з паспортними даними, ідентифікаційними номерами, номерами телефонів усієї України за відносно невелику плату на диску.

– Це зовсім інше питання.

– Значить, люди плутають.
Буде на кожному підприємстві, установі, організації призначена відповідальна особа, яка буде відповідати за захист персональних даних

– Його відмінність полягає у тому, що раніше до цього взагалі процесу реєстрації баз персональних даних не існувало в державі. На теперішній час, коли здійснюється державна реєстрація, зокрема відповідними компетентними державними органами, то вони, коли оформлюють заяву на державну реєстрацію, чітко там теж зазначають, що виконують вимоги закону «Про захист персональних даних», які забезпечують збереження тих персональних даних.

Я думаю, що це буде додатковим важелем для того, щоб нести відповідальність. Буде на кожному підприємстві, установі, організації призначена відповідальна особа, яка буде відповідати за захист персональних даних. І тому це буде сприяти належному ставленню до тих персональних даних, які обробляються.

– З іншого боку, якщо в організації працює 2, 3, 5 осіб, то призначити відповідальну особу – це…

– У таких випадках ми чітко знаємо, що найбільш…

– Директор? Відповідальний – директор?

– Так, директор, який бере всю відповідальність на себе. І тут же ж я передбачаю питання щодо надання згоди кожним працівником.

Але є випадки, коли скаржаться, що працівники не дають згоду. А я відповідаю з того досвіду, який уже набутий, що просто неправильно формулюється мета. Якщо працівнику чітко пояснити, що він надає згоду на обробку його персональних даних для, по-перше, нарахування його зарплати, врегулювання трудових відносин, то я думаю, що жоден працівник не відмовиться у наданні згоди.Кожна людина повинна розуміти, знати, для якої мети надає цю згоду.

– Мало не у преамбулі написано, що цей закон не стосується журналістів. Однак народні депутати, наприклад, секретар Комітету з питань свободи слова Юрій Стець занепокоєний цим законом.

Юрій Стець: Він дасть можливість усім силовим структурам тиснути на видання, на інтернет-ресурси, на телеканали дуже простим способом. Якщо будь-яка людина подасть скаргу на те, що її персональні дані були якимось чином використані виданням, то посадовці можуть організувати перевірку і вимагати доступу до бази персональних даних та до приміщень, де вони зберігаються.

– Навіть у разі надходження скарги, доступ буде тільки до персональних даних тієї фізичної особи, яка подала скаргу. Не до всієї бази персональних даних. І не загалом до всього приміщення. А тільки до конкретної особи, яка подала скаргу у конкретному питанні, яке вона порушила.

– Наприклад, ми в редакції маємо Ваші персональні дані, мобільний телефон. З одного боку, ми брали його у Вас, а з іншого боку, ми могли його взяти у Ваших колег. І це було б порушенням?

– Це залежить від того, які наслідки, і що спричинило цю дію, яку Ви згадали.

– Так. І?

– Якщо в результаті цього доступу до телефонного номеру, який належить вам особисто, будуть нанесені збитки, то державна служба відповідним чином відреагує. І я думаю, що ті результати, які будуть нами озвучені після проведення відповідної перевірки, нададуть можливість максимально захистити ваші права і свободи.

– У нас є слухач.

Слухачка: Цей збір цих даних – це вже щось почалася цікава річ. Дитина приходить з музичної школи і приносить папір: треба її заповнити. Дитина у музичній школі вчиться у Києві. Є батько, є мама. Ті дані, які треба для музичної школи, є.

Це взагалі що це таке? Що це сталося? Чому скрізь збираються ці дані?

– Я хочу Вам запропонувати написати нам офіційне звернення.

А загалом для всіх, хто нас слухає, я хочу нагадати, з чого ми починали. Основне питання полягає у тому, з якою метою збираються ті дані, на які вам запропоновано дати відповіді, заповнити відповідну анкету. Якщо мета сформульована таким чином, що вона передбачає саме надання таких відомостей, які ви зазначили, то воно відповідає законодавству. Якщо ж ні, то державна служба має всі права, щоб врегулювати ці питання.

– Перед ефіром ми з Вами розмовляли про одну з банківських установ, власне, більшість банків пропонують своїм клієнтам заповнити анкети, перелік на дві сторінки. Там дуже багато конфіденційної інформації, яку не мав би банк вимагати від зарплатного клієнта або від людини, яка не бере у нього кредит, а дає йому свій депозит.

Що робити людям у таких випадках?

– Це ваше право: або заповнювати, давати відповіді, або не заповнювати і скористатися послугами іншої установи.

– Але, з іншого боку, держава втрачає від цього, тому що клієнти йдуть з банківської системи і тримають гроші у «панчохах».

– Держава нічого не втрачає. Та діяльність, яка взагалі відбувається, відбувається не тільки в нашій державі. Діяльність, яка відбувається у кожній країні ЄС. Питання захисту персональних даних – це була одна з найважливіших умов для вступу до ЄС. Я хочу на цього особливо наголосити! Тому захист прав і свобод людей в інформаційному середовищі, зокрема у зв’язку з автоматизованою обробкою їх персональних даних – це є обов’язковою умовою для реалізації плану щодо безвізового режиму.
Питання захисту персональних даних – одна з найважливіших умов для вступу до ЄС. Це є обов’язковою умовою для реалізації плану щодо безвізового режиму

Це завдання було виконане у такі стислі терміни, що відповідні експерти Ради Європи, які прибували до нас у складі відповідних експертних комісій, були вражені тим, що зроблено буквально за півроку.

Що стосується банківських установ, то на теперішній час уже державною службою розроблений і затверджений типовий порядок обробки персональних даних у базах персональних даних. Відповідно до нашого типового порядку НБУ розробить свій типовий порядок обробки персональних даних, який буде повністю відповідати вимогам законодавства.

Також те, що нам вдалося зробити за цей стислий час, – це є положення про надання послуг у сфері телекомунікацій. Там чітко теж проведені всі вимоги закону «Про захист персональних даних». Це стосується тих дзвінків, які надходять на ваші телефони. Це буде чітко прописано і постановою Кабміну затверджено. Тобто, ваші права будуть захищені.

Нами проведено дуже активну роботу щодо розробки корпоративних кодексів поведінки. Зокрема це стосується сфери прямого маркетингу.

– Мережевий маркетинг.

– Так.

– У нас ще один слухач.

Слухач: По якому телефону можна зателефонувати, якщо порушуються ваші права?

– Телефон «гарячої» лінії на нашому сайті. Будь ласка, там два телефони: один для довідок, другий – «гарячої» лінії, а третій – факс, який працює у постійному режимі. Ви можете, крім цього, направити лист електронною поштою.

Я вас переконую у тому, що жодне ваше звернення не залишиться без розгляду.

Слухач: І ще одне запитання. Яку відповідальність несе служба за розповсюдження персональних даних, наприклад, якщо вони будуть використані для підтасування виборів, наприклад?
Служба не має доступу до жодної бази персональних даних. Ми ведемо реєстр, в якому зазначається назва установи і назва бази без змісту

– У нас служба взагалі не має доступу до жодного змісту, до жодної бази персональних даних. Ми ведемо тільки реєстр, в якому зазначається назва установи, підприємства і назва тільки винятково бази без змісту.

– Але було запитання: хто нестиме відповідальність?

– Безумовно, голова державної служби.

– На виборах?
Завдяки нашій діяльності ЦВК зареєструвала базу виборців. Громадянин може офіційно звернутися і протягом 30 днів отримати відповідь від ЦВК щодо відомостей про конкретну особу

– Ні, я маю на увазі все, що стосується діяльності державної служби, то нестиме відповідальність особисто голова.

Те, що стосується виборів, то я хочу сказати, що завдяки нашій діяльності ЦВК зареєструвала базу виборців. І кожен громадянин може тепер офіційно звернутися і на підставі закону «Про захист персональних даних» протягом 30 днів отримати відповідь від ЦВК щодо відомостей про конкретну особу, а саме, які конкретні відомості про кожну особу там містяться.

І це стосується не тільки ЦВК. Загалом у Державному реєстрі вже понад три тисячі зареєстрованих баз. А загалом прийнято до реєстрації більше півмільйона баз персональних даних.

– Стосовно питання мережевого маркетингу, я думаю, воно набридло багатьом людям. Які будете дії чинити?

– Ніяких дій ми не чинимо. Взагалі наш підхід відповідає європейському.Нами налагоджена тісна співпраця. І завдяки нашій, чітко налагодженій, інформаційній роботі, вже директ-маркетинг сам розробив типовий порядок обробки персональних даних у сфері прямого директ-маркетингу. І в цьому плані те ж саме, на ключове місце поставлена згода суб’єкта.Всі дії будуть відбуватися тільки винятково за згодою.

Я очікую, що вже найближчим часом цей типовий порядок буде опублікований, і він набуде чинності.

– Ця згода у випадку, якщо ти укладаєш угоду з цією мережею, так? А якщо це якісь телевізійні або телефонні додзвони тобі щось пропонують?

– За кожним конкретним фактом у вас тепер є можливість захищати свої права і свободи. Тому звертайтеся, будь ласка, до державної служби. І ми спільними зусиллями по кожному конкретному факту вживемо відповідних заходів.

– Є кримінальна відповідальність, є штрафи... Або налякайте, або заспокойте людей, роз’ясніть.
Кримінальна відповідальність за незаконне (!) збирання, реєстрацію, накопичення, зберігання, адаптацію, зміну, поширення і розповсюдження

– Я просто хочу, щоб кожна людина зрозуміла. Напевне, комусь вигідно, щоб випинати саме ту норму закону, яка передбачає накладання штрафів за нереєстрацію або відсутність реєстрації.

Насамперед адміністративна відповідальність за несвоєчасне повідомлення кожного громадянина про включення його до відповідних баз персональних даних, про права його у зв’язку зі включенням до бази персональних даних, про тих осіб, якими ці дані передбачаються для наступної передачі. Також передбачена відповідальність за порушення правил доступу до бази персональних даних. Також передбачена відповідальність за порушення встановлених вимог щодо персональних даних. І тільки потім я на останнє місце поставив би відповідальність за порушення вимог щодо реєстрації.

А кримінальна відповідальність чітко прописує відповідальність за незаконне (!) збирання, реєстрацію, накопичення, зберігання, адаптацію, зміну,розповсюдження.

Тобто, на мій погляд, треба ставити в такій послідовності, як я назвав. Не можна випинати тільки відсутність реєстрації – і відразу будуть накладатися штрафи. Ні! Це на останньому місці. І в тому разі, коли призвело до відповідних негативних наслідків.

– Якщо у наших слухачів будуть виникати якісь проблеми, то вони можуть вам писати листи, і їх буде захищено.

– Так.