Защита персональных данных граждан и правила обработки

Надежная защита персональных данных является основой безопасности каждого человека в эпоху цифровых технологий. Когда мы оставляем свои контакты, паспортные данные или даже адрес электронной почты в интернет-магазинах, банках или государственных учреждениях, мы рассчитываем на их полную конфиденциальность.

Однако на практике правила часто нарушаются: базы данных сливаются в открытый доступ, а компании продолжают присылать рекламу даже после расторжения договоров. Понимание своих законных прав помогает эффективно защитить приватность и прекратить злоупотребления со стороны владельцев информации.

Что такое персональные данные и кто является субъектами

Персональные данные — это любые сведения или совокупность сведений о физическом лице, по которым его можно конкретно идентифицировать. К ним относятся ФИО, адрес, телефон, паспортные данные, РНОКПП, фотографии и даже IP-адрес.

Субъектом отношений является физическое лицо, чьи данные обрабатываются. Также есть владелец, который определяет цель обработки, и распорядитель, который обрабатывает данные по его поручению.

Большая Палата Верховного Суда в деле №367/1505/20 от 08.04.2024 указала: «персональные данные совладельцев и других физических лиц, полученные ОСББ в процессе его деятельности, являются конфиденциальной информацией с соответствующим правовым режимом. ОСББ обязано предоставлять документы для ознакомления совладельцам исключительно с изъятием (маскированием) персональных данных других лиц».

ОСББ обязано скрывать персональные данные жильцов при предоставлении документов другим совладельцам.

Например, в быту часто бывают случаи, когда председатели ОСББ публикуют в общих чатах списки должников с указанием ФИО и номеров телефонов. Это прямое нарушение закона, за которое предусмотрена ответственность.

Какие права имеют граждане как субъекты данных

Каждый гражданин имеет 13 законодательных прав относительно своих персональных данных, закрепленных в статье 8 Закона Украины «О защите персональных данных». Эти права позволяют полностью контролировать, кто, как и с какой целью использует вашу личную информацию.

Згідно з ч. 2 ст. 8 Закону України «Про захист персональних даних»: «Суб'єкт персональних даних має право: знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки... пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних... відкликати згоду на обробку персональних даних...»

Вот основные права, которые чаще всего защищают граждане:

• Право знать источники. Вы можете требовать информацию о том, откуда компания получила ваши контакты.
• Право на доступ. Получение сведений о том, обрабатываются ли ваши данные, и ознакомление с их содержанием.
• Право на возражение. Возможность выдвинуть требование против обработки данных.
• Право на защиту. Защита от случайной утраты, незаконной обработки или распространения недостоверных сведений, порочащих честь и достоинство.
• Право на отзыв согласия. Возможность забрать свое разрешение в любой момент.

Право на отзыв согласия и удаление данных

Согласие на обработку данных не может быть «бессрочным и безотзывным». Вы имеете право отозвать его в любой момент.

Например, если бывший клиент фитнес-центра продолжает получать рекламные сообщения об акциях, хотя он расторг договор полгода назад, он может подать заявление об отзыве согласия. Клуб обязан удалить номер телефона из рассылок. Также это касается трудовых отношений: работодатель после увольнения работника не может оставлять его фотографию на сайте без согласия. Это нарушает принципы личных неимущественных прав гражданина.

Защита от автоматизированных решений и право на обжалование

Граждане имеют право на защиту от автоматизированного решения, которое имеет для них правовые последствия. Большая Палата Верховного Суда в деле №806/3265/17 от 19.09.2018 отметила, что государство не может принуждать граждан давать согласие на обработку персональных данных для получения паспорта. Реализация государственных функций должна осуществляться без принуждения.

Наши юристы имеют значительный опыт в сфере защиты прав граждан, в частности в сложных спорах, таких как процедуры защиты прав потребителей против банка.

Законные основания для обработки персональных данных

Обработка персональных данных может осуществляться только при наличии четких законных оснований, определенных статьей 11 профильного закона. Наиболее распространенным основанием является добровольное согласие лица, однако закон предусматривает и другие случаи, когда согласие не требуется.

Згідно з ч. 1 ст. 11 Закону України «Про захист персональних даних»: «Підставами для обробки персональних даних є: згода суб'єкта персональних даних... дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень...»

Стоит помнить, что во время действия военного положения некоторые права граждан (например, право на доступ к информации) могут быть временно ограничены законом в интересах национальной безопасности или обороны.

Когда согласие лица является обязательным

В большинстве гражданских и коммерческих отношений согласие является обязательным. Например, интернет-магазин собирает ФИО и адреса доставки покупателей.

На практике предварительно установленный флажок (чекбокс) «Я согласен…» на вебсайтах является незаконным. Согласие считается надлежащим только тогда, когда пользователь сам сознательно ставит отметку (активное действие). Также существуют особые правила относительно защиты персональных данных детей, которые требуют повышенного внимания.

Обработка информации без согласия в случаях, предусмотренных законом

Обработка данных без согласия допускается только в интересах национальной безопасности, экономического благосостояния и прав человека. Например, это необходимо для выполнения обязанностей владельца (налоговая отчетность) или защиты жизненно важных интересов лица.

Однако государственные органы также подлежат контролю. Кассационный административный суд в деле №640/2521/20 от 19.01.2023 подтвердил, что предписание Омбудсмана о нарушении правил защиты данных является обязательным, но его можно обжаловать в суде. Также при заключении соглашений важно избегать скрытых условий обработки данных, что мы доказали в деле о признании пунктов договора недействительными.

Порядок доступа к данным и сроки рассмотрения

Порядок доступа к персональным данным четко регламентируется статьей 16 Закона Украины «О защите персональных данных». Любое лицо имеет право подать запрос владельцу данных, чтобы узнать, какая именно информация о нем хранится в базе.

Згідно з ч. 1 ст. 16 Закону України «Про захист персональних даних»: «Порядок доступу третіх осіб до персональних даних, які перебувають у володінні володільця персональних даних, визначається цим Законом. Суб'єкт відносин... подає запит про доступ до персональних даних...»

Срок рассмотрения запроса на предмет его удовлетворения не может превышать 10 рабочих дней со дня его поступления. Полный ответ должен быть предоставлен заявителю в течение 30 календарных дней.

Представим ситуацию: физическое лицо подало запрос в частную клинику с требованием предоставить копии его медицинских записей, но клиника отказала, назвав это «внутренней информацией». Это прямое нарушение права на доступ к данным. Клиника обязана бесплатно предоставить копии в течение 30 дней.

Владелец данных также обязан в течение 10 рабочих дней уведомить субъекта о передаче его данных третьему лицу, если это не было согласовано в первоначальном согласии.

Ответственность за нарушение правил защиты данных

Законодательство предусматривает строгую административную и уголовную ответственность за нарушения в сфере защиты персональных данных. В зависимости от тяжести нарушения виновное лицо может получить как значительный финансовый штраф, так и уголовное наказание.

Административные штрафы за незаконную обработку

За несоблюдение установленного порядка защиты данных, что привело к незаконному доступу к ним, статья 188-39 КУоАП предусматривает штраф для граждан от 1 700 до 8 500 грн, а для должностных лиц и предпринимателей (ФОП) — от 5 100 до 34 000 грн.

Згідно з ч. 1 ст. 188-39 КУпАП: «Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних... недодержання встановленого порядку захисту персональних даних, що призвело до незаконного доступу до них... тягнуть за собою накладення штрафу...»

В случае административных нарушений (например, когда коллекторы незаконно используют контакты родственников должника), жалобу следует подавать к Уполномоченному ВРУ по правам человека.

Уголовная ответственность за нарушение приватности

За нарушение неприкосновенности частной жизни виновное лицо может быть привлечено к уголовной ответственности по статье 182 Уголовного кодекса Украины.

Згідно з ч. 1 ст. 182 КК України: «Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації... караються штрафом... або виправними роботами... або обмеженням волі...»

Если вы обнаружили свои паспортные данные в публичном Telegram-канале, это является серьезным нарушением неприкосновенности частной жизни. Нужно зафиксировать факт утечки и обратиться в киберполицию для возбуждения уголовного дела по статье 182 УК Украины, которая защищает режим конфиденциальной информации о лице.