Уповноваженим Верховної Ради України з прав людини (далі - Уповноважений) розглянуто звернення щодо надання змістовної інформації з викладених проблемних питань, у зв'язку з цим інформуємо про результати такого розгляду.

1. Щодо механізму контролю судами за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом

Статтею 22 Закону України "Про захист персональних даних" (далі - Закон) у редакції, що діє з 01.01.2014 р., передбачено покладення контролю за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, на Уповноваженого та суди.

Таким чином, механізм здійснення судами зазначеного контролю має відбуватись на підставі законодавства про судоустрій, тобто в процесі здійснення судами судочинства (цивільного, адміністративного, кримінального та під час розгляду справ про адміністративні правопорушення), а також шляхом надання Пленумом вищого спеціалізованого суду, за результатами узагальнення судової практики, роз'яснень рекомендаційного характеру з питань застосування спеціалізованими судами законодавства при вирішенні справ відповідної судової юрисдикції (пункти 2 і 6 частини другої статті 36 Закону України "Про судоустрій і статус суддів" ).

Слід звернути увагу, що суб'єкт персональних даних відповідно до пунктів 7, 8 та 9 частини другої статті 8 Закону наділений такими правами:

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірним чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;

застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Реалізація зазначених прав узгоджується зі статтею 16 Цивільного кодексу України, якою передбачено, що кожна особа має право звернутися до суду за захистом свого особистого немайнового або майнового права та інтересу, та, відповідно, із Цивільним процесуальним кодексом України.

Також пунктом 10 частини першої статті 23 Закону Уповноважений наділений компетенцією складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом, що вказує на повноваження відповідних судів загальної юрисдикції забезпечувати додержання законодавства про захист персональних даних.

2. Щодо необхідності отримувати згоду на обробку персональних даних

Статтею 11 Закону визначений перелік підстав для обробки персональних даних, однією з яких є згода суб'єкта персональних даних на обробку його персональних даних.

Виключення поняття "згода на обробку персональних даних" із Закону не позбавляє можливості використовувати інші механізми щодо забезпечення його застосування. Так, відповідно до пунктів 4 та 6 частини першої статті 23 Закону Уповноважений у сфері захисту персональних даних затверджує нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом, та надає рекомендації щодо практичного застосування законодавства про захист персональних даних, роз'яснює права і обов'язки відповідних осіб за зверненням суб'єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб.

Відповідно до зазначених положень законодавства наказом Уповноваженого від 08.01.2014 р. № 1/02-14 "Про затвердження документів у сфері захисту персональних даних" (далі - наказ Уповноваженого) затверджено:

- Типовий порядок обробки персональних даних;

- Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних;

- Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних , яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.

Зазначені нормативно-правові акти опубліковані на офіційному сайті Уповноваженого (http://www.ombudsman.gov.ua), до кожного з цих актів надано відповідні роз'яснення. Зокрема, у Роз'ясненнях до Типового порядку обробки персональних даних надано визначення поняття "згода на обробку персональних даних" та розтлумачено порядок її надання (отримання).

Так, згода суб'єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій чи електронній Формі.

Отже, володільцям та розпорядникам персональних даних отримувати згоду на обробку таких даних доведеться, зокрема, у тих випадках, коли існує потреба для обробки цих даних, а інші передбачені статтею 11 Закону підстави для обробки таких даних не поширюються на цей випадок обробки даних.

3. Щодо визначення "особливого ризику для прав і свобод суб'єктів персональних даних"

На виконання вимог статей 9, 22, 23, 24 Закону наказом Уповноваженого затверджено Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації (далі - Порядок повідомлення).

У пункті 1.2 Порядку повідомлення визначено, що обробкою персональних даних, що становить особливий ризик для прав і свобод суб'єктів, є будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про: