З ратифікацією Україною Конвенції Ради Європи про захист осіб у зв`язку з автоматизованою обробкою персональних даних mu81311 та подальшим прийняттям Закону України “Про захист персональних даних”, наша держава приєдналася до глобальної політики основоположних цінностей поваги до недоторканості приватного життя й безперешкодного обміну інформацією між народами, а також зобов'язалася поширювати гарантії прав й основоположних свобод кожної людини, зокрема права на повагу до недоторканості приватного життя, з огляду на зростання транскордонного потоку персональних даних, які піддаються автоматизованій обробці.
Закон України “Про захист персональних даних” (надалі - Закон) регулює правові відносини, пов'язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних.
Зобов'язання щодо інформування суб'єкта персональних даних є одним з поміж інших зобов'язань, що покладені на володільця та/або розпорядника персональних даних. Дане зобов'язання полягає в тому, що особа, персональні дані якої збираються та обробляються має право на інформацію щодо обробки її персональних даних.
Так, Закон вказує нам на те, що зобов'язання щодо інформування має бути виконане принаймні у двох випадках. У випадку, коли персональні дані отримані безпосередньо від особи, якої вони стосуються, а також у випадках, коли персональні дані особи отримані з інших опосередкованих джерел.
Як вказує нам ч. 2 ст. 12 Закону, зобов'язання щодо повідомлення суб'єкта персональних даних має на меті повідомити його про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом, мету збору персональних даних та осіб, яким передаються його персональні дані.
Володілець, який отримав персональні дані безпосередньо у суб'єкта персональних даних, зобов'язаний повідомити його в момент збору персональних даних. У випадку отримання персональних даних суб'єкта з інших опосередкованих джерел, зобов'язання щодо повідомлення такого суб'єкта про володільця, мету, обсяг та інші права суб'єкта персональних даних виникають протягом тридцяти робочих днів з дня збору персональних даних.
Зміни підхід щодо інформаційної безпеки у своїй компанії. Комплексно відстежуй всю необхідну інформацію в одному продукті LIGA360. Замов презентацію сьогодні.
Зважаючи на положення статті 12 Закону, володільцем та/або розпорядником персональних даних здійснюється, серед іншого і повідомлення суб'єкта персональних даних про наступні його права:
знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних;
отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
на доступ до своїх персональних даних;
отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
відкликати згоду на обробку персональних даних;
знати механізм автоматичної обробки персональних даних;
на захист від автоматизованого рішення, яке має для нього правові наслідки.
Станом на сьогоднішній день, не зважаючи на те, що український Закон діє з 2011 року, в Україні і надалі існує практика формального підходу до збору та обробки персональних даних осіб. Найрозповсюдженішим прикладом є те, що у особи, персональні дані якої обробляються зазвичай беруть згоду на обробку її персональних даних, текст якої в більшості випадків є одноманітним і універсальним та зазвичай посвідчує лише факт отримання згоди від такого суб`єкта. Під час надання такої згоди, більшості суб`єктів не відома доля їхніх персональних даних, хто і в який спосіб, в тій чи іншій ситуації оброблятиме отримані від суб'єкта персональні дані та/або вноситиме зміни до існуючої бази персональних даних.
Окрім згоди на обробку персональних даних доцільним є також отримання від суб'єкта персональних даних засвідчення про ознайомлення з правами, якими наділяє його Закон, оскільки на це прямо вказує правова норма.
Заходи щодо перевірки дотримання володільцями персональних даних вимог щодо додержання прав особи у сфері захисту персональних даних здійснюється Уповноваженим Верховної Ради України з прав людини.
За його ініціативою або на підставі інформації, що міститься в повідомленнях, опублікованих в засобах масової інформації, оприлюднених в мережі Інтернет чи за зверненням суб'єкта, можуть здійснюватися планові, позапланові, виїзні та безвиїзні перевірки.
Процедура проведення зазначених перевірок визначена “Порядком здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних”, затвердженого Наказом Уповноваженого Верховної Ради України з прав людини № 1/02-14 від 08.01.2014.
За порушення законодавства про захист персональних даних передбачена адміністративна відповідальність відповідно до статті 188 прим. 39 та ст. 188 прим. 40 Кодексу України про адміністративні правопорушення та кримінальна відповідальність, передбачена ст. 182 Кримінального кодексу України.
Як українське законодавство у сфері охорони персональних даних, так і практика кожного окремого володільця та/або розпорядника можуть змінюватися, а відтак, особам, які обробляють персональні дані суб'єктів варто періодично переглядати та оновлювати власні політики та методи забезпечення захисту персональних даних аби дотримуватися основоположних прав та свобод особи щодо поводження з її персональними даними, а також з метою уникнення ризиків стати суб'єктом контролю за додержанням законодавства про захист персональних даних.
Нова LIGA360 змінює все! Єдиний продукт для всієї компанії. Виявляє правові, партнерські, фінансові, санкційні, репутаційні ризики. Допомагає приймати аргументовані рішення, використовуючи силу інформації на 360. Замов презентацію для своєї компанії.
