Статтею 32 Конституції України закріплено право людини на невтручання в її особисте життя. Не допускаються збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Законодавство у сфері роботи з інформацією про особу складається із Закону України від 02.10.1992 № 2657-XII «Про інформацію»1 та Закону України від 01.06.2010 № 2297-VI «Про захист персональних даних»2 та деяких інших законів, які визначають порядок доступу до інформації в порядку звернення громадян, депутатів, адвокатів, нотаріусів, в порядку доступу до публічної інформації.
1 Далі за текстом — Закон № 2657.
2 Далі за текстом — Закон № 2297.
Конституційне та законодавче регулювання права на невтручання в особисте та сімейне життя узгоджується із міжнародно-правовими актами.
Так, у статті 12 Загальної декларації прав людини 1948 року встановлено, що ніхто не може зазнавати безпідставного втручання у його особисте і сімейне життя, безпідставного посягання на недоторканність його житла, таємницю його кореспонденції або на його честь і репутацію. Кожна людина має право на захист законом від такого втручання або таких посягань.
У Конвенції про захист прав людини і основоположних свобод 1950 року визначено, що кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції; органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб (ст. 8).
Міжнародним пактом про громадянські і політичні права 1966 року встановлено, що ніхто не повинен зазнавати свавільного чи незаконного втручання в його особисте і сімейне життя, свавільних чи незаконних посягань на недоторканність його житла або таємницю його кореспонденції чи незаконних посягань на його честь і репутацію (п. 1 ст.17).
За Цивільним кодексом України3 зміст права на недоторканність особистого і сімейного життя як одного з видів особистого немайнового права полягає в тому, що фізична особа вільно, на власний розсуд визначає свою поведінку у сфері свого приватного життя і можливість ознайомлення з ним інших осіб та має право на збереження у таємниці обставин свого особистого життя (ст. 270, 271, 301). Фізична особа не може відмовитися від особистих немайнових прав, а також не може бути позбавлена цих прав (ч. 3 ст. 269 Цивільного кодексу України).
3 Далі за текстом — ЦК.
Особистим життям фізичної особи є її поведінка у сфері особистісних, сімейних, побутових, інтимних, товариських, професійних, ділових та інших стосунків поза межами суспільної діяльності, яка здійснюється, зокрема, під час виконання особою функцій держави або ОМС.
Сімейне життя — це особисті майнові та немайнові відносини між подружжям, іншими членами сім’ї, які здійснюються на засадах, визначених у Сімейному кодексі України: кожна особа має право на повагу до свого сімейного життя; ніхто не може зазнавати втручання в його сімейне життя, крім випадків, встановлених Конституцією України; регулювання сімейних відносин здійснюється з урахуванням права на таємницю особистого життя їх учасників, їхнього права на особисту свободу та недопустимості свавільного втручання у сімейне життя та інше.
Конституційний Суд України у своєму рішенні від 20.01.2012 № 2-рп/2012 у справі № 1-9/2012 зазначив таке:
Неможливо визначити абсолютно всі види поведінки фізичної особи у сферах особистого та сімейного життя, оскільки особисті та сімейні права є частиною природних прав людини, які не є вичерпними‚ і реалізуються в різноманітних і динамічних відносинах майнового та немайнового характеру, стосунках, явищах, подіях тощо. Право на приватне та сімейне життя є засадничою цінністю, необхідною для повного розквіту людини в демократичному суспільстві, та розглядається як право фізичної особи на автономне буття незалежно від держави, ОМС, юридичних і фізичних осіб.
Визначення поняття
Визначення поняття «персональні дані» наводиться в абз. 8 ст. 2 Закону № 2297, відповідно до якого персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Відповідно до ст. 11 Закону № 2657 «інформація про фізичну особу» та «персональні дані» є тотожними поняттями. Згідно з ч. 2 цієї ж статті не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини.
До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата і місце народження.
Але законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону № 2657 до різноманітних ситуацій, у тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.
Отже, вказаний перелік не є вичерпним. Так, наприклад, у рішенні Конституційного Суду України від 30.10.1997 № 5-зп вказано, що до конфіденційної інформації про фізичну особу належать також відомості про її майновий стан та інші персональні дані.
База персональних даних
Поняття «база персональних даних» визначене абз. 2 ст. 2 Закону № 2297, відповідно до якого база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
З огляду на це база персональних даних є упорядкованою сукупністю логічно пов’язаних даних про фізичних осіб:
| 1 | що зберігаються та обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі |
| 2 | що зберігаються та обробляються на паперових носіях інформації, є базою персональних даних у формі картотек |
Картотекою персональних даних є будь-який структурований масив персональних даних, що є доступним з визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах.
Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.
ОМС та інформація про фізичну особу
Суб’єктом персональних даних є фізична особа, персональні дані якої обробляються.
Обробка персональних даних — будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
З огляду на те, що в ОМС ведуться різноманітні журнали (звернень громадян, прийому громадян, наданих послуг тощо), створюються та/або оновлюються різноманітні реєстри (наприклад, територіальної громади), в рамках Закону № 2297 ОМС виступає в тій чи іншій конкретній ситуації або володільцем, або розпорядником персональних даних. Так, наприклад, інформація про найманих працівників є базою персональних даних, оскільки особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем.
Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи ОМС, фізичні особи — підприємці, які обробляють персональні дані відповідно до закону.
Розпорядником персональних даних, володільцем яких є орган державної влади чи ОМС, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
Володілець персональних даних — фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. Так, наприклад, відповідно до Закону України від 11.12.2003 № 1382-IV «Про свободу пересування та вільний вибір місця проживання» органом реєстрації для обліку осіб, які проживають на території відповідної адміністративно-територіальної одиниці, створюється та ведеться реєстр територіальної громади.
Розпорядник персональних даних — фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця (як приклад вашої ролі як розпорядника — робота з Державним реєстром речових прав на нерухоме майно).
Згідно з ч. 5, 6 ст. 6 Закону № 2297 обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.
Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом (ч. 2 ст. 21 Закону № 2657).
Таким чином, лише фізична особа, якої стосується конфіденційна інформація, відповідно до конституційного та законодавчого регулювання права особи на збирання, зберігання, використання та поширення конфіденційної інформації має право вільно, на власний розсуд визначати порядок ознайомлення з нею інших осіб, держави та ОМС, а також право на збереження її у таємниці.
Статтею 11 Закону № 2297 визначений перелік підстав для обробки персональних даних. Ними є:
| 1 | згода суб’єкта персональних даних на обробку його персональних даних |
| 2 | дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень |
| 3 | укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних |
| 4 | захист життєво важливих інтересів суб’єкта персональних даних |
| 5 | необхідність виконання обов’язку володільця персональних даних, який передбачений законом |
| 6 | необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси |
Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що надає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем впродовж часу обробки таких даних.
Разом із тим із наведеного вище у таблиці випливає, що не завжди від особи — суб’єкта персональних даних слід отримувати згоду на обробку його персональних даних. У випадках, визначених законом, та з метою виконання обов’язків, які покладені на вас у зв’язку із службою в ОМС, згода від суб’єкта не потрібна.
Окремо слід звернути увагу на дуже розповсюджене явище — відібрання згоди особи на обробку її персональних даних у зв’язку із працевлаштуванням. Така тема навіть неодноразово була предметом пильної уваги Уповноваженого Верховної Ради України з прав людини4. Так, у щорічній доповіді Уповноваженого про стан додержання та захисту прав і свобод людини і громадянина в Україні зазначено таке:
4 Далі за текстом — Уповноважений.
Відповідно до положень Закону № 2297 обробка персональних даних працівників у сфері трудових відносин та соціального захисту здійснюється володільцем персональних даних на підставі дозволу, наданого володільцю персональних даних відповідно до закону виключно для здійснення його повноважень. Водночас поширеним є явище, коли роботодавці, ігноруючи зазначене положення Закону, продовжують отримувати у працівників згоду на обробку їх персональних даних з метою ведення кадрового діловодства, забезпечення реалізації трудових відносин.
Тому безпідставне вимагання від особи підписати згоду на обробку її персональних даних фактично є перешкодою цій особі у реалізації її прав та свобод та захисту її інтересів.
08.01.2014 наказом Уповноваженого № 1/02-14 було затверджено Типовий порядок обробки персональних даних5, яким визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
5 Далі за текстом — Типовий порядок.
Важливо розуміти, що володільці, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, ураховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог, визначених чинним законодавством.
Володілець згідно з п. 2.1 Типового порядку має визначити:
| 1 | мету та підстави обробки персональних даних |
| 2 | категорії суб’єктів персональних даних |
| 3 | склад персональних даних |
| 4 | спосіб збору, накопичення персональних даних |
| 5 | строк та умови зберігання персональних даних |
| 6 | умови та процедуру зміни, видалення або знищення персональних даних |
| 7 | умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані |
| 8 | порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних |
| 9 | заходи забезпечення захисту персональних даних |
| 10 | процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них |
У випадках роботи з персональними даними, які становлять особливий ризик правам людини, володілець також визначає обов’язки та права осіб, відповідальних за організацію роботи, пов’язаної із захистом персональних даних під час їх обробки.
Процедури обробки, строк обробки та склад персональних даних повинні бути пропорційними меті обробки. А мета обробки персональних даних повинна бути чіткою і законною, більше того — має бути визначена до початку їх збору.
У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних, окрім випадків, визначених законодавством, повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до нової мети.
Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк не більше, ніж це необхідно відповідно до мети їх обробки. В будь-якому разі вони обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства.
Повідомлення про роботу з базою персональних даних
Відповідно до ст. 9 Закону № 2297 володілець персональних даних має повідомити Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки.
Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим.
Згідно з Порядком повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації від 08.01.2014 № 1/02-14 обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів, — це будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про:
| 1 | расове, етнічне та національне походження |
| 2 | політичні, релігійні або світоглядні переконання |
| 3 | членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості |
| 4 | стан здоров’я |
| 5 | статеве життя |
| 6 | біометричні дані |
| 7 | генетичні дані |
| 8 | притягнення до адміністративної чи кримінальної відповідальності |
| 9 | застосування щодо особи заходів у рамках досудового розслідування |
| 10 | вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність» |
| 11 | вчинення щодо особи тих чи інших видів насильства |
| 12 | місце перебування та/або шляхи пересування особи |
08.01.2014 Уповноваженим також було надано Роз’яснення основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних. З метою правильного розуміння, які ж дані належать до тих, що становлять особливий ризик для прав і свобод, Уповноваженим було надані такі роз’яснення термінів:
— світоглядні переконання особи — сукупність поглядів, оцінок та життєвих принципів особи, що визначають загальне розуміння та сприйняття світу та місце кожного у ньому. У цьому пункті йдеться саме про загальноприйняті світоглядні переконання. Наприклад, пацифізм, фемінізм, вегетаріанство тощо;
— стан здоров’я особи — тобто медична інформація про особу, що містить свідчення не лише про стан здоров’я, а й про історію її хвороби, про запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку захворювання, в тому числі і про наявність ризику для життя і здоров’я (виняток становлять медичні довідки, листи непрацездатності тощо, які обробляються володільцем при реалізації трудових відносин);
— статеве життя — будь-яка інформація про особу, що стосується її вибору та поведінки у статевих відносинах (включається інформація про сексуальну орієнтацію особи);
— біометричні дані — сукупність даних про особу, зібраних на основі фіксації її характеристик, що мають достатню стабільність та істотно відрізняються від аналогічних параметрів інших осіб (наприклад, відцифрований підпис особи, відцифрований образ обличчя особи, відцифровані відбитки пальців рук, відцифрований малюнок сітківки ока тощо);
— генетичні дані — інформація, що стосується всіх даних стосовно спадкових властивостей особи або стосовно способу успадкування характеристик у межах відповідної групи людей, також це стосується всіх даних про утримання будь-якої генетичної інформації (генів), що відноситься до будь-яких аспектів здоров’я або захворювання;
— вчинення щодо особи тих чи інших видів насильства — інформація про те, що особа піддавалась різноманітним видам насилля, катувань, мордування, нелюдського чи такого, що принижує гідність, поводження. Наприклад, інформація вказаного характеру з матеріалів кримінального провадження;
— місце перебування та або шляхи пересування особи — це інформація, що дає можливість визначити місце перебування конкретної особи у певному часовому просторі. Наприклад: зняття готівкових коштів у банкоматах, використання платіжної чи будь-якої іншої іменної картки при розрахунках за товари та послуги, білінгові системи мобільних операторів, геолокаційні послуги мобільних операторів, використання іменних квитків. У таку категорію не потрапляє інформація про місце проживання, місце реєстрації, службові та інші відрядження та поїздки.
Отже, як бачимо, далеко не всі персональні дані належать до групи з ознаками ризику для прав суб’єктів персональних даних, як наслідок не про всі бази даних необхідно повідомляти Уповноваженого, а лише про ті, які, зокрема, містять і названі вище дані.
Повідомлення про обробку персональних даних подається за формою та в порядку, визначеними Уповноваженим. Володілець персональних даних зобов’язаний повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж десяти робочих днів з дня настання такої зміни. Інформація, що повідомляється відповідно до цієї статті, підлягає оприлюдненню на офіційному веб-сайті Уповноваженого в порядку, визначеному Уповноваженим.
Права суб’єкта персональних даних
Статтею 8 Закону № 2297 визначені права суб’єкта персональних даних, а саме:
| 1 | знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом |
| 2 | отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані |
| 3 | на доступ до своїх персональних даних |
| 4 | отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних |
| 5 | пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних |
| 6 | пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними |
| 7 | на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи |
| 8 | звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду |
| 9 | застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних |
| 10 | вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди |
| 11 | відкликати згоду на обробку персональних даних |
| 12 | знати механізм автоматичної обробки персональних даних |
| 13 | на захист від автоматизованого рішення, яке має для нього правові наслідки. Суб’єкт персональних даних має право пред’являти вмотивовану вимогу володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається володільцем впродовж 10 днів з моменту отримання |
Щодо пред’явлення вмотивованої вимоги володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається володільцем впродовж 10 днів з моменту отримання. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) обробляються незаконно, володілець припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це суб’єкта персональних даних.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб’єкта (їх частина) є недостовірними, володілець припиняє обробку персональних даних суб’єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб’єкта персональних даних.
У разі якщо вимога не підлягає задоволенню, суб’єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.
Згідно з п. 2.15 Типового порядку суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб’єкта персональних даних. З моменту відкликання згоди володілець зобов’язаний припинити обробку персональних даних.
Видалення та знищення персональних даних здійснюються у спосіб, що виключає подальшу можливість поновлення таких персональних даних (п. 2.16 Типового порядку). Згідно зі ст. 15 Закону № 2297 підставами для видалення чи знищення персональних даних є закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом; припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом; видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого; набрання законної сили рішенням суду щодо видалення або знищення персональних даних.
Захист персональних даних
Володілець, розпорядник персональних даних вживають заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів. Володілець, розпорядник персональних даних самостійно визначають перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрат або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Перелік організаційних заходів визначений п. 3.4 Типового порядку. Так, організаційні заходи охоплюють:
| 1 | визначення порядку доступу до персональних даних працівників володільця/розпорядника |
| 2 | визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них |
| 3 | розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій |
| 4 | регулярне навчання співробітників, які працюють із персональними даними |
Володілець/розпорядник має вести облік працівників, які мають доступ до персональних даних суб’єктів. Володілець/розпорядник визначає рівень доступу зазначених працівників до персональних даних суб’єктів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) суб’єктів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.
Усі інші працівники володільця/розпорядника мають право на повну інформацію лише стосовно власних персональних даних.
Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.
Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними суб’єктів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.
Окрім зазначеного, володілець/розпорядник веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них (п. 3.11 Типового порядку).
З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються, та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
В органах державної влади, ОМС, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до Закону, створюється (визначається) структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці. Інформація про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, повідомляється Уповноваженому.
Доступ до персональних даних
Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України від 13.01.2011 № 2939-VI «Про доступ до публічної інформації», крім даних, які отримує Міністерство фінансів України від інших органів під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат.
Суб’єкт відносин, пов’язаних з персональними даними, подає запит щодо доступу до персональних даних володільцю персональних даних.
У запиті має бути зазначено:
| 1 | П. І. Б., місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи — заявника) |
| 2 | найменування, місцезнаходження юридичної особи, яка подає запит, посада, П .І. Б., яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи — заявника) |
| 3 | П. І. Б., а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит |
| 4 | відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних |
| 5 | перелік персональних даних, що запитуються |
| 6 | мета та/або правові підстави для запиту |
Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.
Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті. Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, за умови надання інформації, визначеної у пункті 1 таблиці, крім випадків, установлених законом.
Відстрочення доступу суб’єкта персональних даних до своїх персональних даних не допускається. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п’яти календарних днів.
Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз’ясненням порядку оскарження такого рішення.
Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом, причина відмови має бути детально прописана.
Разом із тим рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до Уповноваженого або суду.
