№14, липень 2014
Установлено, що правовий статус третіх осіб у відносинах обігу та обробки персональних даних недостатньо вивчений у працях учених і науковців та потребує вдосконалення в нормативно-правових документах. На основі порівняльного аналізу наукової літератури та нормативних визначень поняття «третя особа» в роботі визначено третю особу як будь-яку особу, котрій володілець чи розпорядник персональних даних передає персональні дані, за винятком суб’єкта цих персональних даних та Уповноваженого Верховної Ради України з прав людини (у разі виконання ним функцій з контролю захисту персональних даних), яка здійснює подальший обіг та обробку персональних даних у межах, визначених договором передачі та згодою суб’єкта персональних даних або законом, а поняття «одержувач» у статті 2 Закону України «Про захист персональних даних» запропоновано виключити. Досліджено правомочності третьої особи у правовідносинах обігу та обробки персональних даних та виокремлено її права та обов’язки.
Ключові слова: обіг персональних даних, обробка персональних даних, одержувач, персональні дані, правовий статус, правовідносини, суб’єкти правовідносин, третя особа.
Сучасний розвиток суспільства характеризується
повсякденним і тотальним проникненням інформаційнокомунікаційних систем у всі сфери життя людини. Нині майже кожна людина щоденно має справу з інформаційним середовищем і виступає в ролі як носія даних, так і їх користувача, зокрема даних персонального характеру. Тому під час становлення та розвитку інформаційного суспільства в Україні роль держави та відповідних органів має бути спрямована на забезпечення гарантій дотримання принципів недоторканності приватного життя, зокрема в контексті обігу та обробки персональних даних.
Наразі в Україні діє відповідна контрольна структура та прийнято цілу низку нормативноправових документів, що регламентують відносини обробки персональних даних, однак досі вони так і не розрізняють процес обігу персональних даних і процес їх обробки [1, с. 26].
Зокрема, Закон України «Про захист персональних даних» № 2297VI від 01.06.2010 [2] ставить за мету гарантувати недоторканність приватного життя в контексті обігу та обробки персональних даних та визначає суб'єкти правовідносин щодо персональних даних, до яких відносить і третіх осіб, що беруть участь у відносинах з використання персональної інформації. Саме тому визначення основних прав та обов’язків третіх осіб у відносинах обігу та обробки персональних даних потребує значної уваги, що зумовлює необхідність їх подальшого вивчення та дослідження.
Метою статті є визначення місця та ролі третіх осіб у системі суб’єктного складу правовідносин обігу та обробки персональних даних. Для досягнення цієї мети необхідно вирішити такі основні завдання: дати визначення поняття «третя особа у відносинах обігу та обробки персональних даних», а також з'ясувати основні права та обов’язки, якими наділена третя особа у вказаних відносинах.
Насамперед необхідно зазначити, що правовідносини обігу та обробки персональних даних, як і будьякі інші відносини, що виникають між суб’єктами правовідносин, мають відповідний елементний склад, тобто учасників правовідносин, їхні права та обов’язки й те, з приводу чого виникають ці правовідносини та конкретні юридичні факти. Як уже зазначалося, відповідно до статті 4 Закону України «Про захист персональних даних» суб’єктами відносин, пов’язаних із персональними даними, є: суб'єкт персональних даних, володілець персональних даних, розпорядник персональних даних, третя особа та Уповноважений Верховної Ради України з прав людини (як контрольний державний орган з питань захисту персональних даних) [2]. При цьому в статті 2 цього закону визначається, що:
– суб’єкт персональних даних – фізична особа, персональні дані якої обробляються;
– володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
– розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
– третя особа – будьяка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних [2].
Аналіз визначень понять володільця персональних даних, розпорядника та суб’єкта персональних даних дає підстави зробити висновок, що центральними суб’єктами правовідносин обігу та обробки персональних даних виступають суб’єкт персональних даних, володілець персональних даних та третя особа, яка отримує персональні дані від володільця або розпорядника з метою забезпечення їх подальшого обігу та обробки.
Виходячи з цього, визначмо, хто такі треті особи та якими правами й обов’язками вони наділені у правовідносинах обігу та обробки персональних даних.
Крім вищезгаданого визначення «третя особа», встановленого Законом України «Про захист персональних даних», варто звернути увагу на визначення, викладене в статті 2 Директиви Європейського парламенту та Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»
№ 95/46/ЄС від 24 жовтня 1995 року, а саме: «третя особа» — це будьяка фізична чи юридична особа, державний орган, агентство чи будьякий інший орган, інший, ніж суб'єкт даних, контролер, оператор обробки даних і особи, що, будучи безпосередньо підпорядкованими контролеру чи оператору обробки даних, уповноважені обробляти дані [3].
В. Гербут у своєму дослідженні під третьою особою розуміє будьяку особу, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону [4, с. 180]. Такої думки щодо визначення поняття третіх осіб дотримуємось і ми, додатково зазначаючи, що третіми особами щодо конкретних персональних даних, у контексті Закону України «Про захист персональних даних», можуть виступати, наприклад, органи Пенсійного фонду, податкової інспекції, військкомати, центри зайнятості тощо, передача персональних даних яким здійснюється відповідно до закону, а також страхові компанії, банки та інші підприємства, установи й організації приватної форми власності, яким персональні дані передаються за згодою суб’єкта цих персональних даних [5, с. 193].
Варто зазначити, що у випадках, коли володільцем бази персональних даних є підприємство, установа чи організація, які здійснюють обіг та/або обробку цих даних, третіми особами в обов’язковому порядку виступають місцеві органи влади, виконавчі органи різних соціальних фондів, інспекції та служби, котрі отримують такі персональні дані відповідно до законодавства. Зазначені державні органи, інспекції та служби, як треті особи, зобов'язані вжити заходів щодо забезпечення вимог законодавства про захист персональних даних, які відображаються в сукупності відповідних прав та обов’язків [6, с. 60]. Перелік таких прав та обов’язків визначається залежно від того, яку роль у подальшому виконують державні органи в тому чи іншому випадку – володільців чи розпорядників баз персональних даних або ж виступають виключно як треті особи [7, с. 143]. У наукових джерелах також висловлюється думка, що треті особи обробляють дані або частину даних, що їм надаються для цілей, визначених законом, або для цілей статутної діяльності третьої особи за згодою суб’єкта персональних даних [8, с. 63].
Своєю чергою, згідно з п. 1.12 Положення про обробку та захист персональних даних фізичних осіб – громадян України, іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, котрі звертаються до Уповноваженого Верховної Ради України з прав людини щодо додержання прав і свобод людини і громадянина відповідно до Закону України «Про звернення громадян», затвердженого наказом Уповноваженого Верховної Ради України з прав людини № 5/0213 від 17.01.2013, третіми особами є особи, котрі мають стосунки до вирішення справи, яким персональні дані особи, що звертається, передаються відповідно до законодавства (ст. 10 Закону України «Про звернення громадян») [9].
З наведеного аналізу позицій учених і нормативних визначень можна зробити висновок: якщо особа не є суб’єктом персональних даних, не є володільцем чи розпорядником цих даних, не виступає як контрольний орган з питань захисту персональних даних та перебуває в процесі отримання персональних даних від володільця або розпорядника персональних даних, то її можна визначити як третю особу в цих правовідносинах передачі персональних даних. При цьому третя особа в більшості випадків уже має статус володільця чи розпорядника інших персональних даних або відповідно до закону зобов’язана набути цього статусу після отримання персональних даних.
Виходячи з викладеного, вважаємо за потрібне до статті 2 Закону України «Про захист персональних даних» внести такі зміни:
1) абзац дев’ятий «одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;» – виключити;
2) абзац тринадцятий викласти в новій редакції:
«третя особа – будьяка особа, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних, за винятком суб’єкта цих персональних даних та Уповноваженого Верховної Ради України з прав людини (у випадках виконання ним функцій з контролю захисту персональних даних), котра здійснює подальший обіг та обробку персональних даних у межах, визначених договором передачі та згодою суб’єкта персональних даних або законом».
Додатково слід звернути увагу на ще одну особливість відносин з обігу та обробки персональних даних, передбачену в статті 16 Закону України «Про захист персональних даних», яка встановлює, що порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону, а порядок доступу третіх осіб до персональних даних, які перебувають у володінні розпорядника публічної інформації, визначається Законом України «Про доступ до публічної інформації» [2]. При цьому треті особи направляють запит щодо доступу до персональних даних володільцю бази персональних даних. Відповідно до статті 21 закону, отримавши запит про передачу персональних даних третій особі, володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом [2].
Варто зазначити, що передача персональних даних третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причині передачі відповідних даних. При цьому доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог закону або неспроможна їх забезпечити [9]. Отже, аналізуючи норми чинного законодавства, бачимо, що ані Закон України «Про захист персональних даних», ані будьякий інший нормативноправовий акт конкретно не визначають права та обов’язки третіх осіб як одного з суб’єктів правовідносин, що пов’язані з персональними даними.
Тому пропонуємо визначити основні права третіх осіб у відносинах обігу та обробки персональних даних. На нашу думку, до таких прав третіх осіб належать:
– право на отримання персональних даних від володільців і розпорядників персональних даних у межах, визначених умовами згоди суб'єктів цих персональних даних;
– право на обіг та/або обробку персональних даних у межах конкретно визначеної мети та/або правової підстави, задля яких вони були отримані;
– право на формування власних баз персональних даних.
Щодо обов’язків третьої особи, то у статті 24 Закону України «Про захист персональних даних» сказано, що володільці, розпорядники персональних даних та треті особи зобов’язані:
– забезпечити захист персональних даних від випадкових втрат та знищення;
– забезпечити захист персональних даних від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних [2].
Проте, на нашу думку, перелік обов’язків, визначених цим законом України, є неповним і тому ми пропонуємо доповнити його. Так, треті особи у правовідносинах обігу та обробки персональних даних також зобов’язані:
– розкривати чітко визначені мету та цілі отримання персональних даних від їх володільців та/або розпорядників;
– корегувати межі обігу та/або обробки персональних даних залежно від змін згоди суб’єкта персональних даних, у тому числі припинити обіг та/або обробку персональних даних у разі отримання інформації про відкликання згоди суб’єкта персональних даних або її заміни на таку, що не дозволяє третім особам продовжувати обіг та/або обробку цих даних;
– видаляти або знищувати персональні дані у випадках, передбачених законодавством;
– набути в порядку, визначеному законом, правовий статус володільця та/або розпорядника персональних даних після отримання таких даних від їх володільця та/або розпорядника;
– залежно від набутого статусу володільця та/або розпорядника здійснювати інші обов’язки, передбачені законодавством.
Визначаючи обов’язки третіх осіб у правовідносинах обігу та обробки персональних даних, доцільно зазначити, що особи, котрі мають до них доступ, зокрема здійснюють їх обробку, зобов’язані не допускати розголошення в будьякий спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання має силу й після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
Варто також зазначити, що треті особи не повинні зберігати персональні дані довше, ніж це необхідно для мети, для якої такі дані зберігаються, але в будьякому разі не довше за термін зберігання даних, визначений згодою суб'єкта персональних даних на обробку цих даних
[10, с. 63].
Отже, проаналізувавши викладене, можна зробити висновок, що права та обов’язки третіх осіб у відносинах обігу та обробки персональних даних недостатньо висвітлено як у працях учених та науковців, так і в чинних нормативноправових документах. Значна частина праць присвячена так званій першій трійці суб’єктів відносин, що пов’язані з обігом та обробкою персональних даних: 1) суб’єкту персональних даних; 2) володільцю персональних даних; 3) розпоряднику персональних даних. На наш погляд, це є доволі значним недоліком.
Виходячи із законодавчо закріплених визначень понять «одержувач» та «третя особа», на нашу думку, закріплення поняття «одержувач» є недоцільним і таким, що створює можливості неоднозначності розуміння правового статусу цього суб’єкта правовідносин з обігу та обробки персональних даних. Тож пропонуємо абзац дев’ятий статті 2 Закону України «Про захист персональних даних» виключити.
Порівняльний аналіз наукової літератури й нормативного визначення поняття «третя особа» та правового статусу третіх осіб у відносинах обігу та обробки персональних даних свідчить про необхідність перегляду визначення, викладеного в абзаці тринадцятому статті 2 Закону України «Про захист персональних даних», яке треба викласти в такій редакції:
«третя особа – будьяка особа, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних, за винятком суб’єкта цих персональних даних та Уповноваженого Верховної Ради України з прав людини (у разі виконання ним функцій з контролю захисту персональних даних), котра здійснює подальший обіг та обробку персональних даних у межах, визначених договором передачі та згодою суб’єкта персональних даних або законом».
Слід підкреслити: в Законі України «Про захист персональних даних» немає чіткої визначеності щодо прав та обов’язків третіх осіб, що впливає на ефективність процесу обігу та обробки персональних даних з точки зору гарантування їх недоторканності. Виходячи з аналізу нормативної бази, пропонуємо визначити такі права та обов’язки третіх осіб у відносинах обігу та обробки персональних даних:
– право на отримання персональних даних від володільців та розпорядників персональних даних у межах, визначених умовами згоди суб'єктів цих персональних даних;
– право на обіг та/або обробку персональних даних у межах конкретно визначеної мети та/або правової підстави, задля яких вони були отримані;
– право на формування власних баз персональних даних;
– обов’язок розкривати чітко визначені мету та цілі отримання персональних даних від їх володільців та/або розпорядників;
– обов’язок корегувати межі обігу та/або обробки персональних даних залежно від змін згоди суб’єкта персональних даних, зокрема припинити обіг та/або обробку персональних даних у разі отримання інформації про відкликання згоди суб’єкта персональних даних або її заміни на таку, що не дозволяє третім особам продовжувати обіг та/або обробку цих даних;
– обов’язок видаляти або знищувати персональні дані у випадках, передбачених законодавством;
– обов’язок набути в порядку, визначеному законом, правового статусу володільця та/або розпорядника персональних даних після отримання персональних даних від їх володільця та/або розпорядника.
Залежно від набутого статусу володільця та/або розпорядника треті особи надалі здійснюють інші права та обов’язки, передбачені законодавством.
Джерела
1. Різак М.В. Співвідношення понять «обіг» та «обробка» персональних даних: термінологічні аспекти / М. Різак // Віче. – 2013. — № 8. – С. 25–26.
2. Про захист персональних даних: Закон України № 2297VI від 1 червня 2010 року // Відомості Верховної Ради України (надалі ВВР) – 2010. – № 34. – Ст. 1188 зі змінами, внесеними законами: № 4452VI // ВВР – 2012. – № 50. – Ст. 564; № 5491VI // ВВР – 2013. – № 51. – Ст. 715; № 245VІІ // ВВР – 2014. – № 12. – Ст. 178; № 383VІI // ВВР – 2014. – № 14. – Ст. 252
3. Директива Європейського парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» № 95/46/ЄС від 24 жовтня 1995 року // [Електронний ресурс] – Режим доступу: http://zakon4.rada.gov.ua/laws/show/994_242/print1360150843706940
4. Гербут В.С. Правовідносини в сфері захисту персональних даних про стан здоров’я людини/ В. С. Гербут // Порівняльноаналітичне право. – 2003. – № 1. – С. 177–183.
5. Різак М. В. Володілець (розпорядник) бази персональних даних: окремі питання / М. В. Різак // Порівняльноаналітичне право. – 2013. – № 1. – С. 192–198.
6. Кірін Р. Адміністративна делікатність у сфері використання персональних даних та засоби її переконання / Р. Кірін // Вісник Київського національного університету ім. Т. Шевченка. – 2013. – № 95. – С. 58–63.
7. Бойко І. Охорона і захист персональних даних адміністративноправовими засобами / І. Бойко // Вісник Академії правових наук України. – 2011. – № 4 (67). – С. 144–151.
8. База персональних даних, володілець бази, розпорядник бази, треті особи: визначимось з поняттям // Матеріали семінару «Організація роботи з виконання вимог Закону України «Про захист персональних даних». – К.: Міжнародний центр фінансовоекономічного розвитку. – 2012. – 97 с.
9. Положення про обробку та захист персональних даних фізичних осіб – громадян України, іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, що звертаються до Уповноваженого Верховної Ради України з прав людини щодо додержання прав і свобод людини і громадянина відповідно до Закону України «Про звернення громадян»: затверджене наказом Уповноваженого Верховної Ради України з прав людини № 5/0213 від 17.01.2013 р. // [Електронний ресурс] – Режим доступу: http://www.ombudsman.gov.ua/index.php?option=com_content&view=article&id=3442:20140120123745&catid=202:20111125145908
10. Чернобай А. М. Правові засоби захисту персональних даних працівника: дис. … канд. юрид. наук: 12.00.05 – трудове право; право соціального забезпечення / А. М.Чернобай. – Одеса, 2006. – 179 с.
Автор: Михайло РІЗАК
Архів журналу Віче
№10 | |
Реклама в журналі Інформація авторам Передплата |
У Міноборони замінили заступника, відповідального за євроінтеграцію
ЗМІ розповіли, коли ЄС покарає Іран за передачу балістичних ракет Росії
Зеленський: Питання повернення полонених було головним на зустрічі з Папою
У Фінляндії завершили попереднє розслідування воєнних злочинів росіянина в Україні
У США ще працюють над можливістю зібрати "Рамштайн"
Використання рекуператорів Prana в вентиляції приміщень
Зеленський після зустрічі з Макроном: ні про яке припинення вогню не йдеться
Зеленський прибув до Італії та зустрівся з Мелоні
НАТО з понеділка проведе щорічні ядерні навчання
Зеленський і Стармер весь ранок говорили про "план перемоги"