Захист персональних даних та права громадян

Надійний захист персональних даних є основою безпеки кожної людини в епоху цифрових технологій. Коли ми залишаємо свої контакти, паспортні дані чи навіть адресу електронної пошти в інтернет-магазинах, банках або державних установах, ми розраховуємо на їх повну конфіденційність.

Проте на практиці правила часто порушуються: бази даних зливаються у відкритий доступ, а компанії продовжують надсилати рекламу навіть після розірвання договорів. Розуміння своїх законних прав допомагає ефективно захистити приватність та припинити зловживання з боку володільців інформації.

Головне про захист персональних даних

Безумовне право. Громадянин має право відкликати згоду на обробку даних у будь-який момент.
Заборона примусу. Державні органи та приватні компанії не мають права примусово вимагати згоду на обробку даних.
Штрафні санкції. За незаконне розголошення приватної інформації передбачена адміністративна та кримінальна відповідальність.

Зміст:

Що таке персональні дані та хто є суб’єктами

Персональні дані — це будь-які відомості або сукупність відомостей про фізичну особу, за якими її можна конкретно ідентифікувати. До них належать ПІБ, адреса, телефон, паспортні дані, РНОКПП, фотографії та навіть ІР-адреса.

Суб’єктом відносин є фізична особа, чиї дані обробляються. Також є володілець, який визначає мету обробки, та розпорядник, який обробляє дані за його дорученням.

Велика Палата Верховного Суду у справі №367/1505/20 від 08.04.2024 зазначила: «персональні дані співвласників та інших фізичних осіб, отримані ОСББ в процесі його діяльності, є конфіденційною інформацією з відповідним правовим режимом. ОСББ зобов’язане надавати документи для ознайомлення співвласникам виключно з вилученням (маскуванням) персональних даних інших осіб».

ОСББ зобов’язане приховувати персональні дані мешканців при наданні документів іншим співвласникам.

Наприклад, у побуті часто трапляються випадки, коли голови ОСББ публікують у загальних чатах списки боржників із зазначенням ПІБ та номерів телефонів. Це пряме порушення закону, за яке передбачена відповідальність.

Ваші дані використовують без згоди?

Отримайте допомогу адвоката з цивільного права.

Консультація адвоката

Які права мають громадяни як суб’єкти даних

Кожен громадянин має 13 законодавчих прав щодо своїх персональних даних, закріплених у статті 8 Закону України «Про захист персональних даних». Ці права дозволяють повністю контролювати, хто, як і з якою метою використовує вашу особисту інформацію.

Згідно з ч. 2 ст. 8 Закону України «Про захист персональних даних»: «Суб'єкт персональних даних має право: знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки... пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних... відкликати згоду на обробку персональних даних...»

Ось основні права, які найчастіше захищають громадяни:

Право знати джерела. Ви можете вимагати інформацію про те, звідки компанія отримала ваші контакти.
Право на доступ. Отримання відомостей про те, чи обробляються ваші дані, та ознайомлення з їх змістом.
Право на заперечення. Можливість висунути вимогу проти обробки даних.
Право на захист. Захист від випадкової втрати, незаконної обробки чи поширення недостовірних відомостей, що ганьблять честь і гідність.
Право на відкликання згоди. Можливість забрати свій дозвіл у будь-який момент.

Право на відкликання згоди та видалення даних

Згода на обробку даних не може бути «безстроковою та безвідкличною». Ви маєте право відкликати її у будь-який момент.

Наприклад, якщо колишній клієнт фітнес-центру продовжує отримувати рекламні повідомлення про акції, хоча він розірвав договір пів року тому, він може подати заяву про відкликання згоди. Клуб зобов’язаний видалити номер телефону з розсилок. Також це стосується трудових відносин: роботодавець після звільнення працівника не може залишати його фотографію на сайті без згоди. Це порушує принципи особистих немайнових прав громадянина.

Захист від автоматизованих рішень та право на оскарження

Громадяни мають право на захист від автоматизованого рішення, яке має для них правові наслідки. Велика Палата Верховного Суду у справі №806/3265/17 від 19.09.2018 зазначила, що держава не може примушувати громадян давати згоду на обробку персональних даних для отримання паспорта. Реалізація державних функцій має здійснюватися без примусу.

Наші юристи мають значний досвід у сфері захисту прав громадян, зокрема у складних спорах, таких як процедури захисту прав споживачів проти банку.

Як захистити свої дані у разі їх незаконного використання

Зафіксуйте порушення. Зробіть скріншоти незаконних публікацій, збережіть посилання або запишіть аудіо розмови.
Надішліть письмову вимогу. Зверніться до володільця даних із заявою про припинення обробки та видалення вашої інформації.
Подайте скаргу Омбудсману. Якщо вимогу ігнорують, зверніться до Уповноваженого ВРУ з прав людини для складання адмінпротоколу.
Зверніться до кіберполіції. У разі масштабного витоку або зливу баз даних у мережу подайте заяву про кримінальне правопорушення.

Законні підстави для обробки персональних даних

Обробка персональних даних може здійснюватися лише за наявності чітких законних підстав, визначених статтею 11 профільного закону. Найпоширенішою підставою є добровільна згода особи, проте закон передбає й інші випадки, коли згода не потрібна.

Згідно з ч. 1 ст. 11 Закону України «Про захист персональних даних»: «Підставами для обробки персональних даних є: згода суб'єкта персональних даних... дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень...»

Варто пам’ятати, що під час дії воєнного стану деякі права громадян (наприклад, право на доступ до інформації) можуть бути тимчасово обмежені законом в інтересах національної безпеки чи оборони.

Коли згода особи є обов’язковою

У більшості цивільних та комерційних відносин згода є обов’язковою. Наприклад, інтернет-магазин збирає ПІБ та адреси доставки покупців.

На практиці попередньо встановлений прапорець (чекбокс) «Я згоден…» на вебсайтах є незаконним. Згода вважається належною лише тоді, коли користувач сам свідомо ставить відмітку (активна дія). Також існують особливі правила щодо захисту персональних даних дітей, які потребують підвищеної уваги.

Обробка інформації без згоди у випадках закону

Обробка даних без згоди допускається лише в інтересах національної безпеки, економічного добробуту та прав людини. Наприклад, це необхідно для виконання обов’язків володільця (податкова звітність) або захисту життєво важливих інтересів особи.

Проте державні органи також підлягають контролю. Касаційний адміністративний суд у справі №640/2521/20 від 19.01.2023 підтвердив, що припис Омбудсмана про порушення правил захисту даних є обов’язковим, але його можна оскаржити в суді. Також під час укладення угод важливо уникати прихованих умов обробки даних, що ми довели у справі про визнання пунктів договору недійсними.

Допомога адвоката у сфері захисту персональних даних

Аналіз ситуації. Юрист оцінить законність збору та використання ваших даних конкретною компанією чи органом.
Підготовка претензій. Складання та направлення офіційних вимог про видалення інформації та відкликання згоди.
Супровід скарг. Представництво ваших інтересів перед Уповноваженим ВРУ з прав людини та Національним банком.
Судовий захист. Підготовка позовних заяв про стягнення моральної та матеріальної шкоди за незаконне розголошення відомостей.

Порядок доступу до даних та строки розгляду

Порядок доступу до персональних даних чітко регламентується статтею 16 Закону України «Про захист персональних даних». Будь-яка особа має право подати запит володільцю даних, щоб дізнатися, яка саме інформація про неї зберігається в базі.

Згідно з ч. 1 ст. 16 Закону України «Про захист персональних даних»: «Порядок доступу третіх осіб до персональних даних, які перебувають у володінні володільця персональних даних, визначається цим Законом. Суб'єкт відносин... подає запит про доступ до персональних даних...»

Строк вивчення запиту на предмет його задоволення не може перевищувати 10 робочих днів з дня його надходження. Повна відповідь має бути надана заявнику протягом 30 календарних днів.

Уявімо ситуацію: фізична особа подала запит до приватної клініки з вимогою надати копії її медичних записів, але клініка відмовила, назвавши це «внутрішньою інформацією». Це пряме порушення права на доступ до даних. Клініка зобов’язана безкоштовно надати копії протягом 30 днів.

Володілець даних також зобов’язаний протягом 10 робочих днів повідомити суб’єкта про передачу його даних третій особі, якщо це не було погоджено в первинній згоді.

Зразок заяви про відкликання згоди на обробку даних

Кому: [Назва компанії / установи / ФОП, що обробляє дані]
Адреса: [Юридична або фактична адреса володільця даних]

Від: [ПІБ заявника - суб’єкта персональних даних]
Адреса реєстрації/проживання: [Поштова адреса для надання відповіді]
Номер телефону: [Контактний номер]
E-mail: [Електронна пошта]
РНОКПП: [Номер платника податків для ідентифікації в базі даних]

ЗАЯВА
про відкликання згоди на обробку персональних даних

Я, [ПІБ заявника], відповідно до статей 8 та 11 Закону України «Про захист персональних даних», заявляю про повне відкликання своєї згоди на обробку моїх персональних даних, яка була надана мною раніше [вказати коли або за яких обставин, наприклад: під час підписання договору №__ від __ / під час реєстрації облікового запису на вебсайті].

З урахуванням положень чинного законодавства, після отримання цієї заяви вимагаю:
1. Припинити будь-яку обробку моїх персональних даних, включаючи їхнє збирання, використання, поширення та зберігання.
2. Повністю видалити (знищити) мої персональні дані (у тому числі ПІБ, номер телефону, адресу електронної пошти, паспортні дані, історію операцій тощо) з усіх ваших інформаційних систем, електронних баз даних, а також паперових носіїв.
3. Протягом встановленого законом строку письмово (або на вказану електронну адресу) повідомити мене про результати розгляду цієї заяви та підтвердити факт знищення моїх персональних даних.

Попереджаю, що у разі ігнорування цієї заяви або продовження використання моїх даних без законних підстав, я буду змушений(а) звернутися зі скаргою до Уповноваженого Верховної Ради України з прав людини або із позовом до суду.

[Дата] _________________ [Підпис / ПІБ]

Відповідальність за порушення правил захисту даних

Законодавство передбачає сувору адміністративну та кримінальну відповідальність за порушення у сфері захисту персональних даних. Залежно від тяжкості порушення, винна особа може отримати як значний фінансовий штраф, так і кримінальне покарання.

Адміністративні штрафи за незаконну обробку

За недодержання встановленого порядку захисту даних, що призвело до незаконного доступу до них, стаття 188-39 КУпАП передбачає штраф для громадян від 1 700 до 8 500 грн, а для посадових осіб та підприємців (ФОП) — від 5 100 до 34 000 грн.

Згідно з ч. 1 ст. 188-39 КУпАП: «Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних... недодержання встановленого порядку захисту персональних даних, що призвело до незаконного доступу до них... тягнуть за собою накладення штрафу...»

У разі адміністративних порушень (наприклад, коли колектори незаконно використовують контакти родичів боржника), скаргу слід подавати до Уповноваженого ВРУ з прав людини.

Кримінальна відповідальність за порушення приватності

За порушення недоторканності приватного життя винна особа може бути притягнута до кримінальної відповідальності за статтею 182 Кримінального кодексу України.

Згідно з ч. 1 ст. 182 КК України: «Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації... караються штрафом... або виправними роботами... або обмеженням волі...»

Якщо ви виявили свої паспортні дані в публічному Telegram-каналі, це є серйозним порушенням недоторканності приватного життя. Потрібно зафіксувати факт витоку та звернутися до кіберполіції для порушення кримінальної справи за статтею 182 КК України, яка захищає режим конфіденційної інформації про особу.

Питання про захист персональних даних

Що конкретно належить до персональних даних за законом?

Це будь-які відомості або сукупність відомостей про фізичну особу, за якими її можна ідентифікувати. Сюди відносяться ПІБ, номер телефону, домашня адреса, електронна пошта, паспортні дані, РНОКПП, фотографії, ІР-адреса, геолокація та навіть інформація про банківські рахунки.

Чи можна використовувати мої персональні дані без моєї згоди?

Так, але лише за наявності інших законних підстав, визначених статтею 11 Закону. До них належать: виконання вимог закону (наприклад, податкова звітність), виконання договору, стороною якого ви є, захист ваших життєво важливих інтересів або законних інтересів самого володільця даних.

Куди скаржитися, якщо мої особисті дані незаконно розповсюдили в інтернеті?

Ви маєте право звернутися із письмовою скаргою до Уповноваженого Верховної Ради України з прав людини (Омбудсмана) для проведення перевірки та складання протоколу про адмінпорушення. Також ви можете подати заяву до поліції за статтею 182 КК України або звернутися з позовом до суду.

Які штрафи передбачені за порушення конфіденційності даних в Україні?

Чи маю я право вимагати видалення своїх даних з баз приватної компанії?

Так. Ви маєте право вимагати видалення або знищення своїх персональних даних, якщо вони обробляються незаконно, є недостовірними, якщо мета їхнього збору вже досягнута, або у разі відкликання вашої згоди на обробку.

Захистіть свої персональні дані разом з професійними юристами

Якщо ваші персональні дані використовуються незаконно, ви отримуєте постійні дзвінки від колекторів або ваші контакти потрапили в мережу, не зволікайте. Наші кваліфіковані юристи допоможуть підготувати офіційні вимоги, скласти скаргу до Омбудсмана та захистити вашу приватність у судовому порядку.

Захист персональних даних громадян та правила обробки