Аналітика

Законодавство про захист персональних даних породило звичку підписувати не читаючи численні згоди на обробку персональних даних та поклало додатковий тягар на добросовісний бізнес у вигляді обов’язкового збору письмових згод на обробку персональних даних, що, разом із тим, практично не допомагає захистити персональні дані від незаконної обробки. Є ознаки того, що, порівняно з періодом до прийняття цього законодавства, захищеність персональних даних знизилась, у тому числі внаслідок простимульованої новими нормами вкоріненої звички тиснути на «погоджуюсь». Разом із цим, не відчувається зменшення активності тих, хто, використовуючи персональні дані пересічних громадян, намагається дістатися до їх гаманців і сердець.

Як боротися з «витоками інформації» з баз даних?

Ще з 2011 року діє Закон України «Про захист персональних даних». У пояснювальній записці до його проєкту було зазначено, що законом має бути конкретизоване право на недоторканність особистого життя (у т.ч. щодо збирання інформації про особу), яке гарантоване згідно зі ст. 32 Конституції України, та встановлені технології його виконання. Розробники законопроєкту вказували, що чимало фізичних та юридичних осіб формують бази персональних даних про своїх клієнтів, а «витоки інформації» з цих баз даних наносять значну шкоду та потребують законодавчого врегулювання. Що ж зрештою вийшло?

Закон України «Про захист персональних даних» рясніє термінологією щодо розпорядників та володільців, суб’єктів та об’єктів персональних даних, розрізняє збирання, накопичення та зберігання персональних даних, їх обробку та використання. Разом із тим, «захист» персональних даних згідно із законом обмежується нормою-декларацією («володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних» – ч. 1 ст. 24 Закону України «Про захист персональних даних»). При цьому, у володільців баз персональних даних немає обов’язку повідомляти регулятор про факти витоку даних, а доведення вини (у т.ч. у формі необережності) володільця у витоку даних може бути проблематичним.

Справа «Нової пошти». Навесні 2018 року була поширена інформація про витік баз даних (у т.ч. скріншоти таблиць із нібито паспортними даними клієнтів). Позапланова перевірка регулятора (Уповноваженого Верховної Ради з прав людини) не змогла підтвердити інформацію про витік даних, оскільки не знайшла у базах служби доставки інформації про заявників, щодо яких начебто був витік даних. Виходячи з публічно доступної інформації, регулятор не підіймав питання, чи є пропорційним обсяг персональних даних, які збирає та використовує сервіс доставки «Нова пошта» (зокрема, паспортні дані відправника та одержувача), в той час як все більшого поширення набувають сервіси доставки, в яких одержувачеві не потрібно демонструвати свій паспорт чи надавати його для сканування і збереження в клієнтських базах. Достатньо повідомити телефон, на який приходить номер та код доступу до найближчої скриньки самообслуговування (поштомату), де можна отримати своє замовлення. Також не вдалося знайти інформації про інші дії, вчинені регулятором для встановлення та притягнення до відповідальності осіб, винних у витоку персональних даних.

Обробка персональних даних: згода без згоди

Надання суб’єктом персональних даних письмової згоди на збір, обробку, використання таких даних, яка була впроваджена згідно із Законом України «Про захист персональних даних», на перший погляд є логічним кроком, коли особа сама вирішує, хто, коли і в якому обсязі зможе обробляти її персональні дані. Проте поточна практика ставить питання в доцільності застосування такої згоди (принаймні, у тому форматі, що передбачений чинним законодавством) та пошуках більш оптимальних механізмів. Далі наводимо основні зауваження до практики застосування згоди на обробку персональних даних.

• Безальтернативність згоди

У особи зазвичай немає можливості змінити текст «згоди на обробку персональних даних», наприклад, обмеживши можливість передачі інформації третім особам або визначивши час, після якого персональні дані мають бути видалені. Крім цього, у більшості випадків немає можливості скористатися відповідною послугою, так би мовити, «анонімно», взагалі без надання згоди на обробку персональних даних.

• Непропорційність обсягу персональних даних та повноважень на їхню обробку

Компаніям, які збирають та ведуть бази персональних даних своїх клієнтів, зручно просити надати згоду «одразу на все», щоб у випадку реорганізації чи змін у бізнес-процесах (наприклад, передача функцій із ведення клієнтської бази на аутсорсинг), робота з базами даних залишалась формально санкціонованою.

Законодавство і рекомендації регулятора вказують на те, що згода на обробку персональних даних повинна бути пропорційною меті обробки; і навіть якщо особа надала згоду на обробку персональних даних, частина з яких по своїй суті не потрібна для досягнення поставленої мети обробки, то така обробка розглядатиметься як непропорційна та становитиме порушення законодавства про захист персональних даних (наприклад, див. Роз’яснення Уповноваженого Верховної Ради України з прав людини до Типового порядку обробки персональних даних від 08.01.2014 року). Разом із тим, враховуючи, що суди часто схиляються до формалізму, буде важко довести незаконність обробки надмірного обсягу персональних даних в умовах, коли особа добровільно надала свою згоду, підписавши відповідний бланк.

• Надмірність та неможливість відслідкувати надані згоди

Замовляючи товари і послуги, пересічна особа вимушена регулярно підписувати бланки згоди на обробку своїх персональних даних. У результаті, практично кожен опиняється в ситуації, коли його рукою підписані сотні «згод на обробку персональних даних», часто з надмірним обсягом повноважень щодо їхньої обробки та використання, проте немає жодної можливості згадати і встановити всіх суб’єктів, яким така згода була надана.

• Паперова бюрократія

Чимало компаній добросовісно витрачають час і ресурси на розробку бланків, оформлення та зберігання заяв про надання згоди на обробку персональних даних та намагаються вести власні персональні бази даних у відповідності до вимог законодавства. Проте, з урахуванням попередніх пунктів, відповідні витрати бізнесу не є виправданими та не посилюють захист персональних даних.

• Персональні дані залишаються незахищеними

Існування вимоги закону про підписання згоди на обробку персональних даних не заважає недобросовісному поширенню персональних даних. У публічному доступі безперешкодно циркулюють т.зв. «телефонні довідники», в яких можна знайти повне ім’я, адресу, телефон та дату народження фактично будь-якого громадянина України. Залишається актуальною проблемою розсилка небажаних повідомлень (через SMS-повідомлення, електронну пошту).

Слід звернути увагу, що часто у відносинах щодо надання згоди на обробку персональних даних виступають нерівні за економічною силою суб’єкти (наприклад, окремий громадянин із однієї сторони, та популярна соціальна мережа – з іншої). У таких випадках завданням законодавства є встановити умови та запобіжники зловживанням із боку більш економічно сильної сторони, аналогічно до того, як передбачені умови договорів із суб’єктами природних монополій, регульовані ціни тощо.

Що стосується захисту персональних даних, то доцільно законодавчо визначити критерії пропорційності між змістом згоди на обробку персональних даних та метою їх обробки (за відсутності дотримання яких згода на обробку персональних даних не буде вважатись дійсною), передбачити допустимі напрямки використання персональних даних, встановити стандарти доведення вини та методики визначення завданої шкоди у випадках «витоку інформації» чи іншого незаконного використання персональних даних.

Інакше в сьогоденних умовах «добровільна згода на обробку персональних даних» є ілюзорною. На жаль, нам не відомі фахові дослідження щодо того, який відсоток громадян свідомо припинили користування популярними сервісами через відмову надати згоду на обробку персональних даних та/або незгоду з правилами їх використання, проте, вірогідно, що таких було дуже небагато. То в чому сенс «добровільної згоди», яка насправді не захищає недоторканість особистого життя?

Практика застосування законодавства про захист персональних даних

Судових рішень щодо предметного розгляду справ про витоки інформації з баз персональних даних, про несанкціонований збір та використання персональних даних, про оскарження непропорційності та надмірності існуючих баз персональних даних вкрай мало. В той же час практика застосування законодавства про захист персональних даних інколи вражає винахідливістю заявників. Нижче наводимо деякі приклади.

• Захист персональних даних як підстава для оскарження чинності та виконання господарських договорів

У справі № 760/27582/17 ухвалою Солом’янського районного суду міста Києва від 15.12.2017 року в якості забезпечення позову Ігоря Коломойського було заборонено ПАТ КБ «ПриватБанк», Міністерству фінансів України, їхнім консультантам та юридичним радникам виконувати умови договорів між ними, які прямо чи опосередковано стосуються інтересів І. Коломойського. Рішення було мотивоване тим, що продовження виконання таких договорів «може призвести до подальшої обробки та використання персональних даних позивача без його згоди, а отже, існує ризик утруднення та унеможливлення виконання рішення суду у даній справі». Наразі постановою Верховного Суду від 29.05.2019 року застосування заходів забезпечення позову було скасовано, з урахуванням неспівмірності обраного способу забезпечення позову позовним вимогам. Тим не менше, розгляд справи по суті продовжується.

• Захист персональних даних як підстава для скасування або зупинення дії регуляторних актів

Постановою Шостого апеляційного адміністративного суду від 12.02.2019 року у справі № 826/17804/18 було визнано, що виконання окремих пунктів Положення про покладення спеціальних обов’язків на суб’єктів ринку природного газу для забезпечення загальносуспільних інтересів у процесі функціонування ринку природного газу (постанова Кабінету Міністрів України від 19.10.2018 року, № 867), буде порушувати порядок збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди. Незважаючи на зрозумілий мотив регулятора встановити механізм контролю за обсягами та цільовим призначенням постачання газу, постачальникам вдалося (принаймні, на сьогодні, поки справа ще розглядається у Верховному Суді) уникнути необхідності розкриття інформації, посилаючись на необхідність захисту персональних даних побутових споживачів.

• На необхідність захисту персональних даних нерідко посилаються держслужбовці, намагаючись уникнути виконання обов’язку розголошення інформації та оприлюднення документів.

Відповідно до Постанови Верховного Суду від 08.02.2019 року № 855/17/19; № А/9901/15/19, судами було відмовлено в задоволенні позову кандидата на пост Президента України Гриценка А.С. до Центральної виборчої комісії про визнання протиправними дій стосовно надання електронної копії бази даних Реєстру з можливістю доступу лише в приміщенні та з обладнанням Центральної виборчої комісії, а також дій Центральної виборчої комісії щодо зобов’язання кандидата на пост Президента України Гриценка А.С. перевіряти повноту та достовірність персональних даних Реєстру виключно в приміщенні та з обладнанням Комісії, зобов’язання Центральної виборчої комісії надати кандидату на пост Президента України Гриценку А.С. електронної копії бази даних Реєстру з можливістю доступу до такої з його обладнанням у будь-якому місці (приміщенні). Суд дійшов висновку, що надання позивачу електронної копії бази даних Реєстру разом із програмним забезпеченням для перегляду цієї копії у неконтрольованому та незахищеному просторі, поза межами приміщення Комісії, унеможливить забезпечення нею як розпорядником Реєстру законності і пріоритету прав людини, а також захищеності його відомостей, а отже, призведе до порушення вимог Конституції України, законів про захист інформації, а також міжнародних договорів у цій сфері.

В іншій справі згідно з Постановою Київського апеляційного адміністративного суду від 26.04.2018 року, справа № 826/15225/17, були визнані правомірними дії Адміністрації Президента України, що відмовилася надати Указ Президента України про втрату громадянства України (вірогідно, йдеться про Міхеіла Саакашвілі), посилаючись на необхідність захисту персональних даних. Суд встановив, що станом на час надіслання позивачем запиту на отримання публічної інформації (липень 2017 року), особа, про яку йшлося в запиті, не займала посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування; інформація про згоду особи на оприлюднення її персональних даних відсутня. Також суд врахував, що обмеженню доступу підлягає інформація, а не документ (тобто, якщо документ містить інформацію з обмеженим доступом, для ознайомлення надається інформація, доступ до якої необмежений). Разом із тим, було зазначено, що в Указах Президента України про прийняття до громадянства України або припинення громадянства України за вирахуванням персональних даних про осіб, яких вони стосуються, не залишається іншої публічної інформації, що могла б бути оприлюднена.

* * *

За відсутності реального контролю та невідворотної відповідальності за «витоки інформації» з баз персональних даних, випадки незаконного доступу і поширення персональних даних продовжуються. В цих умовах встановлений законом механізм надання «згоди на обробку персональних даних» не досягає запланованої мети обмежити втручання у приватне життя особи, натомість, навпаки створює додаткові проблеми, покладаючи зайві обов’язки на бізнес та санкціонуючи (за формальної згоди самої особи) загалом невизначене коло суб’єктів на найширші повноваження щодо збирання та обробки персональних даних.

Звертаємо Вашу увагу на те, що наведений вище коментар не є консультацією і пропонується з інформаційною метою. В конкретних ситуаціях рекомендується отримання повної фахової консультації. 

З повагою,

© WTS Consulting LLC, 2019

Прокоментувати