Чи задавали Ви собі запитання, де можна знайти Ваші персональні дані?

З розвитком ІТ-технологій та появою великих, впорядкованих баз даних, маючи при цьому доступ до таких баз цілком можливо без зайвих зусиль ідентифікувати практично будь-кого. Не складно буде також дізнатися де він чи вона працює, яким майном володіє, сімейний стан особи та багато іншої інформації, яку не бажано знати широкому загалу.

У зв’язку з цим, виникла ще більша необхідність в захисті та регламентації порядку оброблення та доступу до інформації, що містить персональні дані.

Шляхи витоку персональних даних

Будь-якому власнику інформації, що містить персональні дані, потрібно розуміти які потенційні шляхи витоку персональних даних.

• персональні дані може бути викрадено зловмисниками, які зламали базу даних в якій вони зберігаються;
• несумлінний працівник організації, який має доступ до бази даних, може продати персональні дані;
• державні органи можуть отримати інформацію, що містить персональні дані, використовуючи надані їм законом повноваження.

Саме з правом отримувати персональні дані одним з державних органів пов’язане одне з останніх рішень Конституційного суду України.

Питання законності закрив Конституційний суд

Так, 11 жовтня 2018 року, Конституційний суд визнав неконституційним положення пункту 40 Бюджетного кодексу України щодо права Міністерства фінансів України отримувати інформацію, що містить персональні дані. Вказані положення втрачають чинність з моменту проголошення цього рішення.

Що це означає?

Тепер Міністерство фінансів України не має права на доступ до персональних даних громадян під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат без їх дозволу та достатніх підстав.

Мотивуючи своє рішення Конституційний суд чітко зазначив, що:

«Міністерство фінансів України може бути наділене повноваженнями щодо отримання та обробки інформації, що містить персональні дані, лише для досягнення легітимної цілі», проте законом такі цілі не визначалися і норму можна було використовувати для необмеженого непідконтрольного доступу до персональних даних мільйонів українців.

Як це рішення кореспондується з правами рядових громадян України, учасниками ІТ-ринку та захистом персональних даних загалом?

Обмеження прав такого потужного державного органу як Міністерство фінансів України на доступ до персональних даних громадян без крайньої необхідності – це крок вперед у побудові держави, в якій поважають право особи на захист її персональних даних.

Що ж стосується ІТ-ринку, то тут зв’язок очевидний. На сьогоднішній день найбільший обсяг персональних даних збирається, зберігається, обробляється та поширюється в базах даних, і той факт, що доступ до таких баз значно обмежується, підвищує їх безпеку, хоча б за рахунок меншої кількості запитів для отримання даних, не кажучи вже про зникнення можливості зловживати правом на доступ до персональних даних.

Захист персональних даних в Україні, Угода про Асоціацію та GDPR

Відповідно до Угоди про асоціацію між Україною та ЄС, Україна зобов’язується поступово впровадити в українське законодавство загальноєвропейські норми що регулюють захист персональних даних, зокрема Регламент Європейського Парламенту і Ради про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних (англійською General Data Protection Regulation або просто GDPR).

Важливо зазначити, що цей документ встановлює набагато жорсткіші, ніж українське законодавство, вимоги до будь-якої особи чи державного органу, який хоче отримати доступ до персональних даних та містить значно ширший перелік таких даних.

Так, згідно Закону України «Про захист персональних даних», – персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Те ж саме визначення згідно GDPR:

«Персональні дані – це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи».

Як видно з порівняння двох статей, Закон України «Про захист персональних даних» не конкретизує які відомості безпосередньо відносяться до персональних даних.

В той же час GDPR дає розгорнутий список даних, в тому числі зазначає, що до персональних даних відносяться онлайн-ідентифікатори, якими є IP та ID адреси особи, тобто інформація яка дає змогу ідентифікувати особу в мережі інтернет.

Що GDPR каже з приводу доступу державних органів до інформації, що містить персональні дані?

Оскільки кожна держава-член ЄС сама законодавчо встановлює повноваження державних органів з доступу до персональних даних, GDPR не містить переліку таких установ та їх повноважень.

При цьому, відповідно до GDPR:

«Запити на розкриття, які надають органи публічної влади, повинні завжди бути оформлені в письмовій формі, вмотивовані та призначені для спеціального випадку; Такі органи публічної влади повинні здійснювати опрацювання персональних даних відповідно до застосовних норм щодо захисту даних та цілей опрацювання».

Тобто при розробленні GDPR законодавець виходив з тих самих міркувань, що й Конституційний суд України, визнаючи неконституційним право Міністерства фінансів на нічим необмежений доступ до персональних даних громадян. 

А саме з положень про те, що доступ до персональних даних – це крайня міра, яка використовується у виключних випадках, а не інструмент, який держслужбовець може використовувати коли йому заманеться.

А що ж з транскордонною передачею персональних даних?

Порівнюючи норми Українського законодавства та GDPR, важливо згадати про можливість безперешкодної транскордонної передачі даних до країн з, так званим, «належним» рівнем захисту передбаченим GDPR.

На даний момент таких країн 10. Україна до їх числа не належить і тому всі українські контролери (тобто всі, хто встановлюють цілі збору і обробки персональних даних) змушені діяти на підставі контрактів з іноземними контролерами персональних даних.

В той же час, імплементація норм Європейського законодавства, а також скасування норм, які дають необмежені повноваження державним органам у доступі до персональних даних, можуть вказувати на рух України в напрямку до визнання її країною з «належним» рівнем захисту.

Для чого нам вся ця інформація і як з нею жити далі?

Гігантський стрибок в розвитку систем збору та переробки персональних даних призвів до того, що ми ввійшли в епоху, коли кожна особа постійно вступає в правові відносини, пов’язані з обігом персональних даних, часто навіть, не розуміючи цього. Через такий стрімкий розвиток законодавці просто не встигають за технологічним прогресом та часто допускаються помилок при розробці законів.

Визнання неконституційною норми Бюджетного кодексу України, якою регулювався доступ до інформації, що містить персональні дані, показав прагнення до вдосконалення законодавства в напрямку захисту персональних даних фізичних осіб.

Можливо, Рішення Конституційного суду є лише першою вісточкою фундаментальних змін законодавства в сфері регулювання доступу до персональних даних та визнання України країною з «належним» рівнем захисту.

Однак, поки що цей процес не завершено, і якщо ви зіткнулися зі зловживанням державними органами своїм правом на доступ до персональних даних, потрібно займати активну позицію та за необхідності оспорювати такі дії у суді.

---