Рекомендації уповноваженого з прав людини щодо належного захисту персональних даних
Рекомендації підготовлено за участі Інни Берназюк, представника
Уповноваженого у сфері захисту персональних даних, Олени Гунько, завідувача
сектору упровадження міжнародних стандартів у сфері захисту персональних даних
Департаменту у сфері захисту персональних даних Секретаріату Уповноваженого та
Анастасії Мельничук, заступника начальника відділу перевірок Департаменту у сфері
захисту персональних даних Секретаріату Уповноваженого.
Дизайн розроблено з використанням платформи графічного дизайну Canva.
ПОЗИЦІЯ СЕКРЕТАРІАТУ УПОВНОВАЖЕНОГО ВЕРХОВНОЇ РАДИ УКРАЇНИ З ПРАВ ЛЮДИНИ
Google форми наразі стали одним із найпростіших способів зареєструвати учасників на заходи,
навчання, співбесіди та здійснити опитування учасників щодо вже проведених активностей.
Проте за результатами аналізу значної кількості онлайн-опитувальників та форм реєстрації, що нині
створюються у великій кількості за допомогою Google форм, виявлено, що більшість із
них не відповідає вимогам чинного законодавства у сфері захисту персональних даних
і становить загрозу для права на приватність осіб, які заповнюють такі форми.
Перш за все, відповідно до вимог чинного законодавства у сфері захисту персональних даних,
використання персональних даних володільцем здійснюється у разі створення ним
належних умов для захисту таких даних. У цьому контексті володілець персональних даних
може доручити обробку персональних даних розпоряднику персональних даних
відповідно до договору, укладеного в письмовій формі. Водночас існують певні обмеження
для окремих категорій володільців.
З метою запобігання порушенню вимог чинного законодавства про захист персональних даних
Секретаріатом Уповноваженого Верховної Ради України з прав людини (далі – Секретаріат)
розроблено рекомендації, які пропонуються для врахування володільцями та розпорядниками
персональних даних під час створення онлайн-форм для збору реєстраційних даних і
проведення опитувань.
За результатами проведеного в ініціативному порядку аналізу Секретаріатом
виявлено, що за допомогою Google форм українськими володільцями та
розпорядниками персональних даних з метою проведення опитувань та процедур реєстрації
на заходи збирається значна кількість персональних даних, зокрема й чутливих, без
належного повідомлення суб’єктів про місцезнаходження таких даних, цілі і порядок
їх обробки, місцезнаходження володільця чи розпорядника, гарантії захисту персональних даних
під час використання Google форм тощо.
Загалом збираються такі категорії персональних даних:
1. прізвище та ім'я;
2. електронна адреса (частіше особиста, не загальна організації/інституції);
3. номер телефону;
4. гендерна приналежність;
5. вік;
6. країна походження;
7. відомості про посаду/представництво певної організації або інституції;
8. сфера діяльності, дані про освіту, професію;
9. рівень володіння знаннями у тій чи іншій сфері;
10. приналежність до уразливих груп населення чи етнічних або національних меншин.
Слід наголосити, що володілець персональних даних передусім має чітко визначити мету
обробки персональних даних, встановити обсяг цих даних відповідно до мети та процедури
їх обробки (частина третя статті 2 Закону України «Про захист
персональних даних» (далі – Закон). Разом із тим, відповідно до
частини третьої статті 6 Закону склад і зміст персональних даних мають бути
відповідними, адекватними та ненадмірними відносно визначеної мети обробки.
Варто також враховувати, що відповідно до статті 7 Закону забороняється обробка
персональних даних про расове або етнічне походження, політичні, релігійні або
світоглядні переконання, членство в політичних партіях і професійних спілках, засудження
до кримінального покарання, а також даних, що стосуються здоров?я, статевого життя, біометричних
або генетичних даних, за виключенням випадків, коли обробка персональних даних:
1) здійснюється за умови надання суб?єктом персональних даних однозначної згоди на
обробку таких даних;
2) необхідна для здійснення прав та виконання обов?язків володільця у сфері
трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;
3) необхідна для захисту життєво важливих інтересів суб?єкта персональних даних або
іншої особи у разі недієздатності або обмеження цивільної дієздатності
суб?єкта персональних даних;
4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською
організацією світоглядної спрямованості, політичною партією або професійною спілкою, що
створені відповідно до закону, за умови, що обробка стосується виключно персональних
даних членів цих об?єднань або осіб, які підтримують постійні контакти з ними у зв?язку
з їх діяльністю, та персональні дані не передаються третій особі без згоди суб’єктів персональних
даних;
5) необхідна для обґрунтування, задоволення або захисту правової вимоги;
6) необхідна в цілях охорони здоров?я, встановлення медичного діагнозу, для
забезпечення піклування чи лікування або надання медичних послуг,
функціонування електронної системи охорони здоров?я за умови, що такі дані обробляються
медичним працівником або іншою особою закладу охорони здоров’я чи фізичною особою –
підприємцем, яка одержала ліцензію на провадження господарської діяльності з
медичної практики, та її працівниками, на яких покладено обов?язки щодо забезпечення
захисту персональних даних та на яких поширюється дія законодавства про
лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує
державну політику у сфері державних фінансових гарантій медичного обслуговування
населення, на яких покладено обов?язки щодо забезпечення захисту персональних даних;
6-1) необхідна в цілях забезпечення ведення військового обліку призовників,
військовозобов?язаних та резервістів (в обсягах даних,
зазначених у статті 7 Закону України "Про Єдиний державний реєстр
призовників, військовозобов’язаних та резервістів");
7) стосується вироків суду, виконання завдань оперативно-розшукової чи
контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним
органом в межах його повноважень, визначених законом;
8) стосується даних, які були явно оприлюднені суб?єктом персональних даних.
Застереження щодо обмеження права на обробку
Також виявлено, що зазначені реєстраційні форми зазвичай містять пункт «Я
погоджуюся на обробку та зберігання моїх персональних даних» (або аналогічний за
змістом), який є обов’язковим до заповнення для завершення процедури реєстрації. При цьому суб?єкт позбавлений права вносити застереження щодо обмеження права на обробку таких даних.
У цьому контексті варто наголосити, що статтею 8 Закону суб?єкту персональних
даних гарантовано право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки,
місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних
даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім
випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема
інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім
випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також
отримувати зміст таких персональних даних;
5) пред?являти вмотивовану вимогу володільцю персональних даних із
запереченням проти обробки своїх персональних даних;
6) пред?являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким
володільцем і розпорядником персональних даних, якщо ці дані обробляються незаконно чи є
недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати,
знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням,
а також на захист від надання відомостей, що є недостовірними чи ганьблять честь,
гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних
до Уповноваженого або до суду;
9) застосовувати засоби правового захисту у разі порушення законодавства про захист персональних
даних;
10) вносити застереження стосовно обмеження права на обробку своїх
персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.
Відтак рекомендовано під час створення Google форм забезпечувати дотримання права
суб?єкта персональних даних на внесення застереження стосовно обмеження права на обробку своїх
персональних даних під час надання згоди, гарантованого пунктом 10 частини другої статті 8 Закону.
Повідомлення про обробку персональних даних
Варто також пам?ятати, що частиною другою статті 12 Закону визначено, що суб?єкт персональних даних
повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних,
свої права, визначені Законом, мету збору персональних даних та осіб, яким передаються
його персональні дані в момент збору персональних даних, якщо персональні дані збираються у
суб?єкта персональних даних або в інших випадках протягом тридцяти робочих днів з дня збору
персональних даних.
Зважаючи на викладене, в Google формах рекомендується також робити посилання на Повідомлення про
обробку персональних даних, щоб суб?єкти персональних даних могли безперешкодно
реалізовувати свої права і мати доступ до інформації про володільця та розпорядників
персональних даних, склад і зміст зібраних персональних даних, свої права, визначені
чинним законодавством у сфері захисту персональних даних, мету збору
персональних даних та третіх осіб, яким передаються їхні персональні дані, зокрема в
порядку транскордонної передачі даних.Водночас у Повідомленні необхідно зазначати строк зберігання персональних даних, зібраних з метою реєстрації та проведення відповідного заходу.
Після проведення такого заходу має бути забезпечено видалення зібраних персональних даних згідно зі статтею 15 Закону.
Окрім цього, для забезпечення варіативності подання інформації учасниками
рекомендовано передбачити інші шляхи реєстрації (подання інформації шляхом надсилання
її на пошту відповідальної за організацію заходу особи та/або за допомогою
телефону). Для цього рекомендовано зазначати у Google формі контактні дані відповідальної
особи.
Водночас такі відповідальні особи, як працівники володільця, зобов?язані не
допускати розголошення у будь- який спосіб персональних даних, які їм було довірено або які
стали відомі у зв?язку з виконанням професійних чи
службових або трудових обов?язків, крім випадків, передбачених
законодавством. Зазначене зобов?язання чинне після припинення ними діяльності,
пов?язаної з персональними даними, крім випадків, установлених законодавством. Рекомендується покладати таке зобов?язання на працівників відповідними внутрішніми документами.Гарантії захисту персональних даних
Разом із тим володільці, розпорядники персональних даних і треті особи відповідно до статті 24
Закону зобов?язані забезпечувати захист цих даних від випадкових втрати або знищення, від
незаконної обробки, у тому числі незаконного знищення чи несанкціонованого доступу до
персональних даних.Володілець і розпорядник персональних даних самостійно визначають перелік і
склад заходів, спрямованих на безпеку обробки цих даних, з урахуванням вимог
законодавства у сферах захисту персональних даних та інформаційної безпеки. Такі заходи
рекомендовано визначати у договорі, яким володілець доручає обробку персональних даних
розпоряднику.
Використання Google форм органами державної влади та місцевого самоврядування
Органи державної влади та місцевого самоврядування обробляють персональні дані на
підставі дозволу, наданого законом виключно для здійснення повноважень. Це
відповідає статті 19 Конституції України, відповідно до якої органи
державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані
діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами
України.
У разі якщо підставою обробки персональних даних є дозвіл, наданий законом, у
підзаконних нормативно-правових актах визначається мета обробки, обсяг персональних
даних, які може обробляти окремий орган та виключний перелік випадків коли ці дані можуть
передаватись іншим органам.
У випадку обробки персональних даних на підставі дозволу держава гарантує, що мета,
обсяг персональних даних, передача третім особам не порушує вимоги законодавства в сфері
захисту персональних даних та права людини. Те ж стосується і такої підстави обробки
персональних даних, як необхідність виконання обов’язку володільця персональних даних,
який передбачений законом/
Як уже зазначалося, володілець персональних даних може доручити обробку персональних
даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
При цьому відповідно до частини 3 статті 4 Закону розпорядником персональних даних, якщо їх
володільцем є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути
лише підприємство державної або комунальної форми власності, що належить до сфери управління цього
органу.
Таким чином використання Google форм органами державної влади чи місцевого
самоврядування для реєстрації на заходи або проведення опитувань є незаконним. Реєстрація на
заходи такими органами має здійснюватись шляхом офіційного листування або з
використанням офіційних робочих адрес електронної пошти.
Що стосується опитувань, то вони мають проводитись анонімно з використанням
офіційних веб-сторінок відповідних органів державної влади та місцевого самоврядування.
