Суть справи
26.06.17 р. Соснівський районний суд м. Черкас розглянув протокол та матеріали про адміністративне правопорушення, що надійшли від Секретаріату Уповноваженого Верховної Ради України з прав людини.
Судом було встановлено, що ОСОБА_1 відповідно до рішення виконавчого комітету Черкаської міської ради від 30.12.16 р. № 1801 є заступником голови адміністративної комісії.
Як посадова особа володільця персональних даних ОСОБОЮ _1 не було дотримано вимог законодавства про захист персональних даних, внаслідок чого персональні дані 26 осіб оприлюднені у вільному доступі у мережі Інтернет, що у свою чергу призвело до незаконного доступу до них сторонніх осіб та порушення прав вказаних осіб на захист своїх персональних даних від незаконної обробки.
Так, на сайті «Facebook» у мережі Інтернет у вільному доступі ОСОБОЮ_1 було опубліковано 08.02.17 р. о 10:23 год публікацію щодо результатів роботи адміністративної комісії виконавчого комітету Черкаської міської ради за 25.01.17 р. із зазначенням відомостей про 26 осіб, яких було притягнуто до адміністративної відповідальності: прізвище, ініціали, місце роботи, робоча адреса, обставини правопорушення, вид і розмір адміністративного стягнення.
Тим самим ОСОБА_1 порушив вимоги ч. 3 ст. 10 та ч. 1 ст. 24 Закону України від 01.06.10 р. № 2297-VI «Про захист персональних даних»1.
1 Далі за текстом — Закон № 2297.
У зв’язку із вищевказаним було направлено вимогу Секретаріату Уповноваженого від 21.02.17 р. голові виконавчого комітету Черкаської міської ради щодо вжиття заходів для припинення поширення персональних даних.
У відповідь на вказану вимогу листом виконавчого комітету Черкаської міської ради від 06.03.17 р. за підписом заступника міського голови ОСОБА_2 повідомлено про припинення поширення персональних даних вказаних осіб та повідомлено про вжиття заходів щодо недопущення подібних ситуацій. Однак, у ході огляду електронного документа на сторінці у «Facebook» о 12:00 год 16.03.17 р. було виявлено подальше поширення ОСОБОЮ_1 персональних даних 26 осіб.
У зв’язку з цим було направлено повторну вимогу від 21.03.17 р. З огляду на неотримання Секретаріатом Уповноваженого відповіді у визначений строк будь-якої відповіді, 31.03.17 р. було здійснено огляд електронного документа та встановлено, що поширення персональних даних 26 осіб було припинено.
Факт припинення подальшого розповсюдження персональних даних не звільняє особу від відповідальності за те, що уже було скоєно.
Обґрунтування рішення
Згідно зі ст.68 Конституції України кожен зобов’язаний неухильно додержуватися Конституції України та законів України.
Відповідно до ст. 21 Закону України від 02.10.92 р. № 2657-XII «Про інформацію», ст. 2 Закону № 2297 та Рішення Конституційного Суду України від 20.01.12 р. у справі № 2-рп/2012 сукупність оприлюдненої інформації про вказаних осіб належить до конфіденційної інформації та є персональними даними.
Згідно із ч. 5, 6 ст. 6 Закону № 2297 обробка персональних даних має здійснюватись для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Водночас обробка персональних даних про фізичну особу, які є конфіденційною інформацією, без її згоди не допускається, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Відповідно до ч. 1 ст. 24 Закону № 2297 володілець персональних даних зобов’язаний забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Згідно із ч. 3 ст. 10 Закону № 2297 на працівників суб’єктів відносин, пов’язаних із персональними даними, покладається обов’язок не розголошувати у будь-який спосіб персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, крім випадків, передбачених законом.
Отже, ОСОБА_1, будучи посадовою особою володільця персональних даних, порушив вимоги ч. 3 ст.10 та ч. 1 ст. 24 Закону № 2297, не забезпечив належний рівень захисту персональних даних 26 осіб, тобто вчинив адміністративне правопорушення, передбачене ч.4 ст.18839 Кодексу України про адміністративні правопорушення2, а саме недодержання встановленого законодавством про захист персональних даних, порядку захисту персональних даних, що призвело до незаконного доступу до них та порушення права 26 осіб на захист своїх персональних даних від незаконної обробки.
2 Далі за текстом — КУпАП.
Рішення суду
Соснівський районний суд м. Черкас у справі № 712/7475/17, провадження № 3/712/1879/17, постановив:
| 1 | ОСОБА_1 визнати винним у вчиненні адміністративного правопорушення, передбаченого ч. 4 ст. 18839 КпАП України, і застосувати адміністративне стягнення у вигляді штрафу в розмірі 300 неоподаткованих мінімумів доходів громадян, що складає 5100 (п’ять тисяч сто) грн. |
| 2 | Стягнути з ОСОБА_2 судовий збір в сумі 320 грн. 00 коп. |
Судова практика
В аналогічній судовій справі № 346/200/17, яка розглядалась Коломийським міськрайонним судом Івано-Франківської області, секретаря Коломийської міської ради також було притягнуто до адміністративної відповідальності за те, що у мережі Інтернет у вільному доступі нею було опубліковано 03.11.16 р. публікацію щодо ОСОБА_2 з фотографією звернення ОСОБА_2 на урядову гарячу лінію БА-6002873 від 01.11.16 р., яке містить відомості про ОСОБА_2: прізвище, ім’я, по батькові, адресу проживання, номер мобільного телефону, текст звернення.
Також на вказаному зверненні міститься резолюція щодо необхідності розгляду вказаного звернення Коломийською міською радою від 02.11.16 р. «п. І. Слюзару Прошу розглянути».
У цій справі суд дійшов висновку, що сукупність оприлюднених секретарем ради у мережі Інтернет відомостей про ОСОБА_2 відповідно до Закону № 2297 та Рішення Конституційного Суду України від 20.01.12 р. №2-рп/2012 є персональними даними, відтак на них поширюються загальні вимоги щодо обробки персональних даних, визначені в Законі № 2297.
Потерпіла ОСОБА_2 пояснила суду, що її звернення на урядову лінію від 01.11.16 р., яке надійшло на ім’я міського голови 03.11.16 р., було того ж дня викладено на сайті «Facebook» у групі «Типова Коломия».
Секретар ради заперечувала свою провину та вказувала, що не розміщала подібної інформації, як вона потрапила на її сторінку — вона пояснити не змогла, припустила, що хтось міг зламати її акаунт.
Відповідно до п.п. 4.8, 4.9 Положення про права і обов’язки осіб, які користуються сайтом «Фейсбук», особа несе повну відповідальність за інформацію, яка міститься на її сторінці.
Ретельно вивчивши усі докази у справі, суд дійшов висновку про наявність винної поведінку у діях секретаря ради, а її невизнання вини судом було розцінено як намагання уникнути відповідальності.
Склад правопорушення
Стаття 18839 КпАП містить 3 окремі склади адміністративних правопорушень у сфері захисту персональних даних:
| 1 | неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей |
| 2 | невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних |
| 3 | недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних |
Кваліфікуючою ознакою є вчинення цих адміністративних правопорушень повторно, тобто протягом року з дати, коли особу було піддано адміністративному стягненню за цією ж статтею.
Тож будьте обачні під час роботи із персональними даними.
