Зміст
Що таке особисті дані?
Персональні дані — це інформація, за допомогою якої можна ідентифікувати людину: ПІБ, місце та рік народження, адресу прописки, паспортні дані тощо.
Історія питання захисту особистих (персональних) даних починається в 1976 році, коли комітет міністрів Ради Європи прийняв рішення розробити Конвенцію «Про захист фізичних осіб при обробці персональних даних, що здійснюється на міжнародному рівні», яка у 1981 році була відкрита для підписання країнами Європи. В Україні ця Конвенція була підписана та ратифікована лише на початку двохтисячних років, після чого розпочалося формування нормативно-законодавчої бази у сфері використання та захисту персональних даних. У 2010 році було прийнято Закон «Про захист персональних даних», який чітко регламентував усі питання щодо отримання, використання, передачі та інших дій з персональними даними, а також питання їх захисту.
Відповідно до Закону персональними даними є абсолютно будь-яка інформація, яка відноситься до певної чи визначеної (прямо чи опосередковано) фізичної особи. Основними персональними даними, що зустрічаються у повсякденному житті, є прізвище, ім’я, по батькові суб’єкта (фізичної особи), дата народження, адреса місця проживання або реєстрації, соціальний, майновий, сімейний стан, відомості про доходи, освіту, професію тощо.
Законодавством не встановлено та не може бути встановлено чіткий перелік відомостей про фізичну особу, які є персональними данимиз метою можливості застосування положень Закону до різних ситуацій, у тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, які можуть виникнути в майбутньому, у зв’язку зі зміною у технологічній, соціальній, економічній та інших сферах суспільного життя .
Види персональних даних
Виділяють чотири види персональних даних, які поділяються за ступенем інформативності:
Перший вигляд – Спеціальні категорії персональних даних, які включають інформацію про національну і расову приналежність суб’єкта, про релігійні або філософські переконання, інформацію про здоров’я та інтимне життя суб’єкта.
Другий вигляд містить інформацію, за якою можна ідентифікувати людину та отримати про неї додаткові відомості, наприклад, ПІБ, адресу та відомості про заробітки.
Персональні дані третього виду — це інформація, що дозволяє лише визначити суб’єкта, тобто, наприклад, прізвище, ім’я та дата народження.
До четвертому виду відносяться загальнодоступні або знеособлені особисті дані. Загальнодоступними є персональні, які відповідно до законодавства не можуть закриватися, тобто не можуть бути конфіденційними, наприклад, відомості про доходи представників органів державної влади, або персональні дані, доступ до яких надано з дозволу самого суб’єкта. Знеособленими персональними даними є інформація, за якою неможливо визначити її приналежність до конкретної фізичної особи.
База персональних даних
Слід звернути увагу, що відповідно до ст. 5 Закону, об’єктом захисту є лише персональні дані під час їх обробки у базах персональних даних.
При цьому під «базою персональних даних» у Законі розуміється іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних, а під «обробкою персональних даних» розуміється певна дія або сукупність дій, вчинених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, пов’язаних зі збиранням, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, оновленням, використанням та розповсюдженням (поширенням, реалізацією, передачею) ), знеособленням, знищенням відомостей про фізичну особу.
Обробка персональних даних
Бази персональних даних підлягають обов’язковій державній реєстрації, що здійснюється спеціальним державним органом з питань захисту персональних даних у Державному реєстрі баз персональних даних. Реєстрація баз персональних даних здійснюється за заявним принципом шляхом повідомлення уповноваженого державного органу. Незважаючи на це, уповноважений орган має право на відмову у реєстрації у разі невідповідності заяви про реєстрацію вимог Закону.
Відповідно до Закону обробка персональних даних може здійснюватися для конкретних та законних цілей, визначених за згодою суб’єкта персональних даних або у випадках, передбачених законодавством України, у порядку, встановленому законодавством. Якщо мета обробки змінюється, то суб’єкта персональних даних має бути отримано згоду на обробку персональних даних з новою метою. При цьому не дозволяється обробка персональних даних про фізичну особу без її згоди, крім випадків, встановлених законом, та виключно на користь національної безпеки, економічного благополуччя та прав людини.
Закон також встановлює, що склад та зміст персональних даних повинні відповідати та не бути надмірними щодо мети їх обробки. При цьому обсяг персональних даних, що включаються до бази персональних даних, повинен відповідати умовам згоди суб’єкта персональних даних. Суб’єкт персональних даних має право, надаючи таку згоду, обмежити право на обробку своїх персональних даних.
Крім того, слід зазначити надане Законом право суб’єкта персональних даних знати про місцезнаходження бази персональних даних, в якій містяться його персональні дані, а також місцезнаходження власника та розпорядника такої бази даних, право на інформацію про третіх осіб, яким передаються його персональні дані, а також на безоплатний доступ до своїх персональних даних, що містяться у відповідній базі персональних даних. Також Закон встановлює певні випадки, у яких суб’єкт персональних даних повинен письмово інформуватися про його права чи дії, виконані з його персональними даними.
Власником бази персональних даних може бути фізична особа-підприємець або юридична особа, якій законом чи за згодою суб’єкта персональних даних надано право на обробку персональних даних. Така особа має затвердити мету обробки персональних даних, встановити склад оброблюваних даних та процедури їх обробки, якщо інше не встановлено законом.
Власник бази персональних даних має право передати персональні дані для обробки розпоряднику бази персональних даних на підставі письмової угоди.
Відповідно до Закону, банк зобов’язаний отримувати письмовий дозвіл на їхню обробку. Таке дозвіл зазвичай запитується ще стадії анкетування клієнта. У разі згоди персональні дані можуть бути передані третім особам та використані для просування товарів та послуг банку.
Якщо людина відмовляє в обробці своїх даних, то згідно із законом кредитна організація може використовувати інформацію про клієнта лише з метою виконання укладеного з нею договору. Однак багато банків у разі незгоди клієнта на обробку даних можуть взагалі відмовитися надавати йому послуги.
