С принятием Закона Украины «О защите персональных данных» от 1 июня 2010 года № 2297-VI (Закон № 2297-VI) впервые был урегулирован вопрос о порядке, способе и основаниях получения, хранения и распространения персональных данных (ПД).

Конфиденциальная защита

Персональными данными в соответствии с абзацем 10 статьи 2 Закона № ­2297-VI являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Законодателем отождествляются понятия «персональные данные» и «конфиденциальная информация о лице». Под этот критерий, согласно части 2 статьи 11 Закона Украины «Об информации», попадают сведения о национальности, образовании, семейном положении, религиозных убеждениях, состоянии здоровья, а также адрес, дата и место рождения. Указанные данные действительно, по мнению большинства жителей нашей страны, как сведения, полученные в результате соцопросов, являются конфиденциальной информацией и нуждаются в защите от неправомерного сбора, хранения и распространения. Такое мнение абсолютно соответствует позиции стран Европейского Союза, где подобные вопросы уже давно урегулированы и выработана устоявшаяся практика применения законодательства в сфере защиты персональных данных.

Основные правила обращения с персональными данными отображены в статье 32 Конституции Украины, согласно которой сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и исключительно в интересах национальной безопасности, экономического благополучия и прав человека, не допускаются.

Защита ПД во многом зависит от владельца такой базы, который устанавливает цель, с которой они обрабатываются, их состав и процедуры обработки. Ответственность за обработку персональных данных несет непосредственно владелец базы. Многие жители нашей страны сталкивались с проблемой передачи своих персональных данных третьим лицам. Зачастую такие ситуации возникают в случае наличия задолженностей перед финансовыми структурами или коммунальными службами, которые передают ПД клиентов третьим лицам, а именно: компаниям, специализирующимся на возврате задолженностей. С целью предотвращения таких ситуаций законодатель предусмотрел механизм защиты персональных данных: в соответствии со статьей 6 Закона № ­2297-VI не допускается обработка данных о физическом лице без его согласия, кроме случаев, предусмотренных законом. Кроме того, в статье 8 указанного закона закреплен спектр прав субъекта персональных данных, к наиболее актуальным из которых относятся право знать местонахождение базы персональных данных, получать информацию о третьих лицах, которым передаются его персональные данные, отозвать согласие на обработку персональных данных и другие. Законодатель предусмотрел обширный перечень прав субъектов персональных данных с целью предотвращения нарушения законодательства в этой сфере и предоставил ряд «рычагов», необходимых для контроля над обработкой ПД и восстановления нарушенных прав.

Персональная ответственность

Статьей 28 Закона № 2297-VI предусмотрено, что нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом.

С июля 2012 года вступили в законную силу изменения в Кодекс Украины об административных правонарушениях (­КУоАП) и Уголовный кодекс (УК) Украины относительно административной и уголовной ответственности за нарушения законодательства о защите персональных данных.

КУоАП был дополнен статьей 18839, которой введена административная ответственность за нарушения законодательства в сфере защиты персональных данных, а именно: за неуведомление или несвоевременное уведомление субъекта ПД о его правах в связи с включением его персональных данных в базу ПД, за уклонение от государственной регистрации базы персональных данных и несоблюдение установленного законодательством порядка защиты ПД, что привело к незаконному доступу к ним, и другие.

Уголовная же ответственность за нарушение неприкосновенности личной жизни предусмотрена статьей 182 УК Украины и наступает в случае незаконного сбора, хранения, использования, уничтожения, распространения конфиденциальной информации о лице или незаконного изменения такой информации.

«Кража личности»

Вышеупомянутые виды ответственности предусмотрены с целью защиты законных прав и интересов субъектов персональных данных, а также предупреждения случаев «кражи личности», которые довольно распространены в странах Европейского Союза и США. «Кражей личности» является преступление, при котором незаконно используются ПД человека для получения материальной выгоды. Неоднократны случаи, когда по данным одного лица совершенно спокойно существуют несколько лиц, а «собственник личности» даже не подразумевает о том, что не только его данными, но и материальными активами пользовались посторонние лица, имеющие в своем распоряжении достаточный объем персональной информации о нем. Совершить «кражу личности» в наш век тотальной информатизации и перенесения максимального количества данных в электронные реестры и базы, а также слабой защиты от компьютерных атак не так уж и сложно. Именно по этой причине всю ответственность за обеспечение функционирования баз ПД и их обработки законодатель возложил именно на владельца базы персональных данных.

Судебная практика защиты нарушенных прав субъектов персональных данных свидетельствует о постепенном формировании практики восстановления таких прав.

Например, Дзержинский районный суд г. Харькова в своем решении от 13 марта 2012 года по делу № 2-6340/11 признал использование ПД истца, предварительно переданных владельцем базы персональных данных третьему лицу незаконным, поскольку, как установлено решением суда, истец не был пользователем услуг ответчика и своих данных в связи с оказанием таких услуг не передавал и не давал своего согласия на их обработку. Поэтому передача таких данных третьему лицу (в этом случае — компании, специализирующейся на возврате задолженностей) не имела законных оснований, и ответчик обязан удалить их из базы.

В настоящее время не существует отлаженного функционирующего механизма защиты персональных данных, поэтому субъектам ПД необходимо самостоятельно следить за соблюдением своих прав и в случае их нарушения без промедлений принимать меры защиты.

ШАПАРЬКОВ Дмитрий — юрист АФ «Династия», г. Днепропетровск

---

Мнения

Персональный прецедент

Александра ФЕДОРЕНКО,
старший юрист ЮФ «Антика»

Уже прошло более двух лет с момента вступления в силу Закона Украины «О защите персональных данных» (Закон) и почти год, как вступили в силу штрафные санкции за нарушения в сфере защиты персональных данных. Также предусмотрена уголовная ответственность в виде исправительных работ до двух лет или ограничения свободы сроком до трех лет и пяти лет при повторном нарушении. Необходимо отметить, что за время действия Закона обошлось без наказаний. По данным Государственной службы Украины по вопросам защиты персональных данных (госслужба), до недавнего времени работа с нарушителями ограничивалась лишь предписаниями. Вместе с тем уже имеется судебный прецедент: постановлением Подольского районного суда г. Киева от 7 февраля 2013 года по делу № ­758/1119/13-п директор одного из ООО был признан виновным в административном правонарушении и привлечен к ответственности за неуведомление или несвоевременное уведомление об изменении сведений, которые подаются для государственной регистрации базы персональных данных. Суд установил, что госслужба не была проинформирована в установленный срок о фактическом местонахождении базы данных предприятия. За нарушение такого законодательства на должностное лицо предприятия был наложен штраф в размере 200 необлагаемых минимумов доходов граждан, что составляет 3400 грн.

Без письменного согласия

Евгений ПЕТРЕНКО,
руководитель судебной практики Международного правового центра EUCON, адвокат

Практика показывает, что компании по возврату задолженности, независимо от того, есть ли у них согласие на передачу персональных данных (ПД) должника третьим лицам или его нет, продолжают активно использовать такую информацию.

Чтобы действия третьих лиц были законными, финансовое учреждение в обязательном порядке должно, во-первых, прописать пункт о передаче ПД третьим лицам для взыскания задолженности в случае ее возникновения. И если должник не подписывал вышеуказанный пункт, коллекторы не имеют права на получение информации о долге, даже после изменений требований к согласию физического лица на обработку его ПД. Во-вторых, финансовое учреждение должно подписать соглашение с коллекторской фирмой об осуществлении деятельности по взысканию просроченной задолженности, копию которого коллектор по требованию должника обязан предъявить. До предъявления такого документа все действия коллекторов являются незаконными: речь идет о незаконном сборе и хранении информации, давлении разного характера с целью принуждения к исполнению договора.