Роз’яснення щодо порядку доступу до персональних даних за запитами державних органів

05/08/2020 16:57

До Уповноваженого Верховної Ради України з прав людини надходять численні звернення/листи щодо правомірності надання персональних даних у відповідь на запити тих чи інших державних органів.

Необхідно зазначити, що статтею 8 Конвенції про захист прав людини і основоположних свобод встановлено, що кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб.

Відповідно статті 19 Конституції України органи державної влади та органи місцевого самоврядування, їх посадові особи зобов’язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України.

Статтею 32 Конституції України передбачено, що ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

В Україні правові відносини, пов’язані із захистом і обробкою персональних даних, регулює Закон України «Про захист персональних даних» (далі – Закон), який спрямований на захист основоположних прав і свобод людини і громадянина. Лише обробка, що відповідає його положенням, розглядатиметься як така, що відповідає принципу законності.

Європейський суд з прав людини у своїх рішеннях визнає втручання в приватне життя законним, якщо воно передбачено у положеннях національного законодавства, що має ознаку «якісного закону». Тобто, закони повинні бути доступними для зацікавлених осіб і передбачуваними щодо наслідків їх дії. Норма є «передбачуваною», якщо вона сформульована з достатньою чіткістю, що дає змогу кожному, хто потребує, вивіряти свою поведінку.
Статтею 6 Закону визначено загальні вимоги до обробки персональних даних. Зокрема, обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Отже, обробка персональних даних державними органами має бути передбачена законодавством та переслідувати законну мету.

Статтею 14 Закону передбачено, що поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

Таким чином, доступ до персональних даних третіх осіб (зокрема, державних органів) залежить від наявності у них законних підстав для цього.

Відповідно до статті 16 Закону суб’єкт відносин, пов’язаних з персональними даними, подає запит щодо доступу до персональних даних володільцю персональних даних.
У запиті зазначаються:
1) прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
3) прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
5) перелік персональних даних, що запитуються;
6) мета та/або правові підстави для запиту.
З огляду на зазначене, враховуючи вимоги статті 16 Закону, запит щодо доступу до персональних даних має містити інформацію, яка підтверджує, що зміст запиту відповідає повноваженням певного державного органу відповідно до законодавства. Також має бути вказано конкретну мету запиту та/або зазначено правові підстави для отримання запитуваної інформації.

Таким чином, запит має бути достатнім чином конкретизований, містити чіткі посилання на повноваження, в рамках виконання яких запитуються персональні дані. Конкретні повноваження, в рамках виконання яких здійснюється обробка персональних даних, мають бути з достатньою чіткістю передбачені законодавством України.

Ураховуючи викладене, рішення щодо поширення інформації про фізичну особу має прийматися в кожному випадку окремо, за умови відповідності змісту запиту вимогам статті 16 Закону та з урахуванням встановлених законодавством вимог.

Варто звернути увагу, що згідно зі статтею 10 Закону працівники суб’єктів відносин, пов’язаних з персональними даними, зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, крім випадків, передбачених законом. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані (частина третя статті 14 Закону).

Також необхідно наголосити, що відповідно до статті 24 Закону володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

Наголошуємо на необхідності неухильного дотримання законодавства України у сфері захисту персональних даних.