Роз’яснення до Порядку здійснення Уповноваженим контролю за додержанням законодавства про захист персональних даних

Уповноважений Верховної Ради України з прав людини (далі — Уповноважений), окрім інших функцій, здійснює контроль за додержанням законодавства про захист персональних даних. З цією метою Уповноваженим за скаргами юридичних та фізичних осіб, а також за власною ініціативою проводяться перевірки додержання законодавства про захист персональних даних.

1. Суб’єктами таких перевірок є володільці та розпорядники персональних даних, якими відповідно до Закону України «Про захист персональних даних» можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи — підприємці, які обробляють персональні дані фізичних осіб (суб’єктів персональних даних).

Чи покарають за воєнного стану за неподання звітності

2. У випадку якщо підставою для перевірки є скарга, вона повинна бути обгрунтованою та містити інформацію щодо історії виникнення питання, фактів, що свідчать про порушення прав, сутність вчиненого порушення, а також інформацію щодо заходів, вжитих з метою виправлення порушення, зокрема скарг, направлених до інших органів. Уся викладена у скарзі інформація, особливо в частині, що стосується сутності порушення, повинна бути підкріплена відповідними доказами, якими можуть бути копії будь-яких офіційних документів, роздруківки електронних документів, посилання на електронні джерела, публікації в засобах масової інформації та ін.

3. Звернення/скарги подаються Уповноваженому в письмовій формі. При цьому, слід врахувати, що згідно з Типовим порядком обробки персональних даних інформація щодо операцій, пов’язаних з обробкою персональних даних фізичних осіб (суб’єктів персональних даних), зберігається володільцем/розпорядником впродовж одного року з моменту закінчення року, в якому було здійснено операцію. Відтак, якщо скаргу буде подано після закінчення цього строку, велику кількість інформації щодо обробки персональних даних особи буде втрачено.

4. Варто звернути увагу і на те, що згідно з чинним законодавством звернення до Уповноваженого не позбавляє особи права звернутися до суду, але в такому випадку слід пам'ятати, що Уповноважений зупиняє вже розпочатий розгляд звернення у випадку, якщо стає відомо про те, що зацікавлена особа подала позов, заяву або скаргу до суду.

Щодо заходів, які суб’єкт може вжити самостійно з метою вирішення власного питання до звернення зі скаргою до Уповноваженого

5. Якщо скарга подається безпосередньо суб’єктом персональних даних (тобто фізичною особою, персональні дані якої обробляються володільцем або розпорядником), бажано, щоб перед її направленням він пройшов низку процедур спрямованих на самостійне вирішення проблеми. Це не обов’язково, однак надасть змогу зробити скаргу більш переконливою та обгрунтованою.

6. Так, суб’єкт персональних даних з метою врегулювання проблемних питань, може звернутися із відповідним зверненням/скаргою/заявою, в порядку та у спосіб, передбачені Законом України «Про звернення громадян», безпосередньо до володільця/розпорядника, дії або бездіяльність якого призвели, на його думку, до порушення його права на захист персональних даних.

7. У цьому зв’язку слід зазначити, що суб’єкти персональних даних згідно із статтею 8 Закону «Про захист персональних даних» мають право:

• отримувати повну інформацію про те, чи обробляються його персональні дані конкретним володільцем, інформацію про самого володільця/розпорядника персональних даних (найменування, адреса), місцезнаходження бази персональних даних, про те, кому передаються його персональні дані [1], зміст та склад персональних даних, які обробляються,
• мати доступ до своїх персональних даних;
• пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних чи щодо їх зміни;
• звертатися зі скаргою на обробку своїх персональних даних;
• відкликати згоду на обробку персональних даних та ін.

8. Відповідно до Закону «Про захист персональних даних» та Типового порядку обробки персональних даних вказані звернення особи до володільця повинні розглядатися впродовж 10 днів. За результатами їх розгляду володілець/розпорядник повинен або задовольнити скаргу, або надати вмотивовану відмову у її задоволенні.

9. Якщо в результаті розгляду звернення проблемне питання не було вирішено, суб’єкт персональних даних може звернутися за захистом/поновленням своїх прав до Уповноваженого.

10. В такому зверненні/скарзі необхідно (крім вказаного в п. 3 вище) зазначити, яких заходів було вжито для поновлення порушених прав, до яких установ, організацій, органів чи посадових осіб направлялися звернення та якими були результати їх розгляду. До скарги/звернення обов’язково додаються когпії всії наявних підтверджуючих документів (в разі наявності).

11. Окремо також слід наголосити, що вказані в пункті 9 вище права не є абсолютними. Статтею 25 Закону передбачено низку винятків із зазначених вище прав. Такі винятки повинні бути чітко передбачені законом, переслідувати легітимну мету, а саме – захист національної безпеки, економічного добробуту, захисту прав та свобод інших осіб, а також бути необхідними в світлі вказаної мети (пропорційними такій меті).

12. Виходячи з цього, особа не зможе в повній мірі реалізувати свої права в багатьох аспектах, що стосуються, наприклад, діяльності органів внутрішніх справ та служби безпеки. Прикладом таких обмежень є проведення негласних слідчих дій, елементів досудового розслідування, оперативно-розшукової діяльності.

13. При цьому, попри те, що особа не може отримати такої інформації, якщо у неї все ж є обгрунтовані підозри щодо того, що порушуються її право на захист персональних даних, вона може звернутися зі скаргою до Уповноваженого. За результатами такої перевірки особі буде повідомлено про те, чи було виявлено порушення її прав та яких заходів було вжито.