ДОКУМЕНТИ СТАТТІ
Конституція — Конституція України від 28.06.96 р. № 254к/96-ВР (із змінами).
Закон № 2297 — Закон України від 01.06.10 р. № 2297-VI «Про захист персональних даних».
КУпАП — Кодекс України про адміністративні правопорушення.
Закон № 2657 — Закон України від 02.10.92 р. № 2657-XII «Про інформацію».
СУТЬ СПРАВИ
26 червня 2017 року Соснівський районний суд м. Черкас розглянув протокол та матеріали про адміністративне правопорушення, що надійшли від Секретаріату Уповноваженого Верховної Ради України з прав людини. Судом було встановлено, що ОСОБА_1 відповідно до рішення виконавчого комітету Черкаської міської ради від 30.12.16 р. № 1801 є заступником голови адміністративної комісії.
Як посадовою особою — володільцем персональних даних ОСОБОЮ_1 не було дотримано вимог законодавства про захист персональних даних, внаслідок чого персональні дані 26 осіб були оприлюднені у вільному доступі у мережі Інтернет, що у свою чергу призвело до незаконного доступу до них сторонніх осіб та порушення прав вказаних осіб на захист своїх персональних даних від незаконної обробки.
Так, на сайті «Facebook» у мережі Інтернет у вільному доступі ОСОБОЮ_1 було опубліковано 08.02.17 р. о 10:23 год. публікацію щодо результатів роботи адміністративної комісії виконавчого комітету Черкаської міської ради за 25.01.17 р. із зазначення відомостей про 26 осіб, яких було притягнуто до адміністративної відповідальності: прізвище, ініціали, місце роботи, робоча адреса, обставини правопорушення, вид і розмір адміністративного стягнення.
Тим самим ОСОБА_1 порушив вимоги ч. 3 ст. 10 та ч. 1 ст. 24 Закону № 2297.
У зв’язку із вищевказаним було направлено вимогу Секретаріату Уповноваженого від 21.02.17 р. до голови виконавчого комітету Черкаської міської ради щодо вжиття заходів для припинення поширення персональних даних.
У відповідь на вказану вимогу листом виконавчого комітету Черкаської міської ради від 06.03.17 р. за підписом заступника міського голови ОСОБА_2 повідомлено про припинення поширення персональних даних вказаних осіб та повідомлено про вжиття заходів щодо недопущення подібних ситуацій. Однак, в ході огляду електронного документа на сторінці у «Facebook» о 12:00 год. 16.03.17 р. було виявлено подальше поширення ОСОБОЮ_1 персональних даних 26 осіб.
У зв’язку з цим було направлено повторну вимогу від 21.03.17 р. З огляду на неотримання Секретаріатом Уповноваженого відповіді у визначений строк будь-якої відповіді, 31.03.17 р. було здійснено огляд електронного документа та встановлено, що поширення персональних даних 26 осіб було припинено.
Факт припинення подальшого розповсюдження персональних даних не звільняє особу від відповідальності за те, що уже було скоєно.
ОБҐРУНТУВАННЯ РІШЕННЯ
Згідно зі ст. 68 Конституції України кожен зобов’язаний неухильно додержуватися Конституції України та законів України.
Відповідно до ст. 21 Закону № 2657, ст. 2 Закону № 2297 та Рішення Конституційного Суду України від 20.01.12 р. у справі № 2-рп/2012 сукупність оприлюдненої інформації про вказаних осіб відноситься до конфіденційної інформації та є персональними даними.
Згідно із ч. 5, 6 ст. 6 Закону № 2297 обробка персональних даних має здійснюватись для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Водночас обробка персональних даних про фізичну особу, які є конфіденційною інформацією, без її згоди не допускається, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
У відповідності до ч. 1 ст. 24 Закону № 2297 володілець персональних даних зобов’язаний забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Згідно із ч. 3 ст. 10 Закону № 2297 на працівників суб’єктів відносин, пов’язаних із персональними даними, покладається обов’язок не розголошувати у будь-який спосіб персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, крім випадків, передбачених законом.
Отже, ОСОБА_1, будучи посадовою особою володільця персональних даних, порушив вимоги ч. 3 ст. 10 та ч. 1 ст. 24 Закону № 2297, не забезпечив належний рівень захисту персональних даних 26 осіб, тобто вчинив адміністративне правопорушення, передбачене ч. 4 ст. 188-39 КУпАП.
Соснівський районний суд м. Черкас у справі № 712/7475/17, провадження № 3/712/1879/17 постановив: ОСОБА_1 визнати винним у вчиненні адміністративного правопорушення, передбаченого ч. 4 ст. 188-39 КпАП України, і застосувати адміністративне стягнення у вигляді штрафу в розмірі 300 неоподаткованих мінімумів доходів громадян, що складає 5100 (п’ять тисяч сто) гривень.
СУДОВА ПРАКТИКА
В аналогічній судовій справі № 346/200/17, яка розглядалась Коломийським міськрайонним судом Івано-Франківської області, секретаря Коломийської міської ради також було притягнуто до адміністративної відповідальності за те, що у мережі Інтернет у вільному доступі нею було розміщено 03.11.16 р. публікацію щодо ОСОБА_2 з фотографією звернення ОСОБА_2 на урядову гарячу лінію БА-6002873 від 01.11.2016 р., яке містить відомості про ОСОБА_2: прізвище, ім’я, по батькові, адресу проживання, номер мобільного телефону, текст звернення.
Також на вказаному зверненні міститься резолюція щодо необхідності розгляду вказаного звернення Коломийською міською радою від 02.11.2016 р. «п. І. Прошу розглянути».
У цій справі суд дійшов висновку, що сукупність оприлюднених секретарем ради у мережі Інтернет відомостей про ОСОБА_2 відповідно до Закону № 2297 та Рішення Конституційного Суду України від 20.01.12 р. №2-рп/2012 є персональними даними, відтак на них поширюються загальні вимоги щодо обробки персональних даних, визначені в Законі № 2297.
Потерпіла ОСОБА_2 пояснила суду, що її звернення на урядову лінію від 01.11.16 р., яке надійшло на ім’я міського голови 03.11.16 р., було того ж дня викладено на сайті "Facebook" у групі «Типова Коломия».
Секретар ради заперечувала свою провину та вказувала, що не розміщала подібної інформації, як вона потрапила на її сторінку — вона пояснити не змогла, припустила, що хтось міг зламати її акаунт.
Відповідно до п.п. 4.8, 4.9 Положення про права і обов’язки осіб, які користуються сайтом «Facebook», особа несе повну відповідальність за інформацію, яка міститься на її сторінці.
Ретельно вивчивши усі докази у справі, суд дійшов висновку про наявність винної поведінку у діях секретаря ради, а її невизнання вини судом було розцінено як намагання уникнути відповідальності.
СКЛАД ПРАВОПОРУШЕННЯ
Стаття 188-39 КУпАП містить 3 окремі склади адміністративних правопорушень у сфері захисту персональних даних:
| Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей |
| Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних |
| Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних |
Кваліфікуючою ознакою є вчинення цих адміністративних правопорушень повторно, тобто протягом року з дати, коли особу було піддано адміністративному стягненню за цією ж статтею.
Тож будьте обачні під час роботи із персональними даними.
