Захист персональних даних - актуальна практика Верховного суду
Одним із основоположних прав і свобод людини і громадянина є право на невтручання в особисте життя. Відносини пов'язані із захистом і обробкою персональних даних безпосередньо впливають на такі права людини і громадянина. Так у часи стрімкої діджиталізації варто приділити цьому питанню більшої уваги, адже зараз майже кожен сайт у мережі чи застосунок на вашому смартфоні збирає персональні дані в обсягах значно більших ніж ми б того хотіли. Якщо ця категорія справ здається вам незначною, розглянемо декілька справ які показують, що обробка та захист персональних даних стосується майже кожного громадянина, окрім того, розпорядниками такої інформації можуть бути і юридичні особи які через нерозуміння закону розголошують їх, що в свою чергу призводить до матеріальних втрат та судових спорів. Варто також зазначити, що в реаліях воєнного стану захист персональних даних громадян для їх розпорядників взагалі має бути на першому місці.
Розголошувати персональні дані третіх осіб, які стали відомі під час виконання посадових обов'язків забороняється
Верховний суд у складі колегії суддів Касаційного адміністративного суду у справі № 804/4069/17 задовольнив касаційну скаргу позивача та дійшов висновків, що керівник апарату Софіївського районного суду Дніпропетровської області Рац Т.М. при зверненні до лікарняних закладів із запитом про надання інформації щодо позивача, зазначивши її персональні дані такі як адреса та дата народження, діяла всупереч вимогам статті 32 Конституції України, Закону України "Про інформацію" та Закону України "Про захист персональних даних" та визнав протиправними дій керівника апарату Софіївського районного суду Дніпропетровської області Рац Т.М. щодо розголошення персональних даних позивачки, які їй стали відомі під час виконання нею посадових обов`язків.
Верховний суд окремо зазначив, що виконання службових обов'язків, не дозволяє посадовій особі діяти в межах «якщо не заборонено, то дозволено», оскільки недотримання чітко визначених повноважень, або відповідних процедурних правил, є свавіллям з боку уповноважених осіб.
Держава не має права втручатись у особисте та сімейне життя людини, шляхом отримання згоди на обробку персональних та конфіденційних даних, а відсутність альтернативи є порушенням конституційних прав людини.
У справі № 806/3265/17 скаржники в обґрунтування своїх позовних вимог наголошували, що примушування до обробки їх персональних і конфіденційних даних з метою оформлення паспорта громадянина України у формі картки є неправомірним втручанням в їх особисте життя з боку держави та порушенням вимог ст. 8 Закону України від 01 червня 2010 року № 2297-VI «Про захист персональних даних».
Так у справі № 806/3265/17 Велика палата Верховного суду дійшла до наступних висновків.
Із конституційних норм, зокрема, випливає, що, встановлюючи ті чи інші правила поведінки, держава має в першу чергу дбати про потреби людей, утримуючись за можливості від встановлення таких правил, які негативно сприйматимуться тими чи іншими групами суспільства. Встановлення таких правил може бути виправдане тільки наявністю переважаючих суспільних інтересів, які не можуть бути задоволені в інший спосіб, але і в цьому разі має бути дотриманий принцип пропорційності.
У разі відсутності будь-якої загрози національній безпеці, економічному добробуту або правам людини, збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди є втручанням держави в її особисте та сімейне життя.
Таким чином, принципами обробки персональних даних є відкритість і прозорість, відповідальність, адекватність та не надмірність їх складу та змісту стосовно визначеної мети їх обробки, а підставою обробки персональних даних є згода суб'єкта персональних даних.
Водночас, Велика Палата Верховного Суду звернула увагу, що законодавством не врегульовано питання щодо наслідків відмови особи від обробки її персональних даних, тобто фактично відсутня будь-яка альтернатива такого вибору, що в свою чергу обумовлює неякість закону та порушення конституційних прав такої особи.
Велика Палата Верховного Суду зазначила, що реалізація державних функцій має здійснюватися без примушення людини до надання згоди на обробку персональних даних, їх обробка повинна здійснюватись, як і раніше, в межах і на підставі тих законів і нормативно-правових актів України, на підставі яких виникають правовідносини між громадянином та державою. При цьому, згадані технології не повинні бути безальтернативними і примусовими. Особи, які відмовилися від обробки їх персональних даних, повинні мати альтернативу - використання традиційних методів ідентифікації особи.
За розголошення персональних даних, у тому числі і соціальних мережах передбачена адміністративна відповідальність згідно ч. 4 ст. 188-39 КУпАП у розмірі трьохсот неоподатковуваних мінімумів доходів громадян.
Так, посадову особу Стрийської міської ради притягнуто до адміністративної відповідальності за публікацію у соціальній мережі FACEBOOK персональних даних осіб - боржників перед Комунальним підприємством "Стрийводоканал" за отримані житлово-комунальні послуги з водопостачання та водовідведення, зокрема адрес таких боржників та сум їх заборгованості, в порушення ч. ч. 5, 6 ст. 6, ч. 3 ст. 10 та ч. 1 ст. 24 Закону України "Про захист персональних даних", за місцем праці, чим було порушено законодавство про захист персональних даних, що призвело до незаконного доступу до них невизначеного кола осіб та порушення прав осіб як суб'єктів персональних даних без їх відповідної на те згоди, а саме на захист своїх персональних даних від незаконної обробки. Постановою Львівського апеляційного суду у справі 456/3297/21 в частині притягнення до адміністративної відповідальності посадової особи Стрийської міської ради рішення суду першої інстанції залишено без змін.
Ненадання володільцем інформації (зокрема медичної) стосовно особи яка направила запит (стосовно себе) є порушенням прав особи.
Верховний Суд у справі № 442/4791/17 прийшов до наступних висновків: відповідно до вимог статті 2 та частини другої статті 4 Закону України "Про захист персональних даних", щоб отримати персональні дані, зокрема копії медичної документації, пацієнт подає запит щодо доступу до персональних даних власникові бази персональних даних (чи розпоряднику - відповідно до договору, укладеному в письмовій формі з власником), якими є заклади охорони здоров'я усіх форм власності.
Таким чином, Позивач має право у відповідності до вимог статті 285 ЦК України, статей 21, 23 Закону України "Про інформацію", статей 29, 29-1 Закону " N 2801-XII", статей 2, 4 Закону України "Про захист персональних даних" отримати медичну інформацію стосовно себе (копію медичної карти стоматологічного хворого) та інформацію, про прізвище, ім'я та по батькові лікаря, його кваліфікаційний рівень, документацію, що стосується письмової угоди з лікарнею на отримання медичних послуг, виконаних робіт, оплати та сертифікатів якості встановлених імплантантів, тобто інформацію, про яку відповідач як надавач послуг повинен був повідомити споживача стоматологічних послуг.
Варто також зазначити, що стан законодавства не в повній мірі забезпечує захист персональних даних в Україні в світлі розвитку міжнародних стандартів у цій сфері. Чинним законодавством не охоплюється цілий ряд питань та правовідносин які виникають на практиці (наприклад спільна обробка персональних даних різними юридичними особами, відносини субпідряду при обробці персональних даних, обробка персональних даних у мережі Інтернет тощо). В зв'язку з чим у Верховній раді зареєстровано законопроект № 8153 від 25.10.2022 яким законотворець намагається вирішити ряд спірних та невизначених питань та привести Українське законодавство до європейських стандартів.