ДЕРЖАВНА СЛУЖБА УКРАЇНИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

ЛИСТ

від 7 лютого 2014 р. № 152/08.2-14

Щодо актуальних проблемних питань застосування законодавства з питань захисту персональних даних у різних сферах діяльності

Державною службою України з питань захисту персональних даних (далі — ДСЗПД України) за результатами домовленостей, досягнутих на міжвідомчій нараді, яка відбулась в Міністерстві юстиції України 23.01.2014, направляється до відома інформація щодо актуальних проблемних питань застосування законодавства з питань захисту персональних даних у різних сферах діяльності (додається), які були виявлені уповноваженим органом з питань захисту персональних даних — ДСЗПД України у 2012–2013 роках.

Додаток: згадане, на 8 арк. в 1 прим. кожному адресату.

Додаток

Інформаційно-аналітичні матеріали
щодо актуальних проблемних питань застосування законодавства з питань захисту персональних даних у різних сферах діяльності

Протягом 2012–2013 років ДСЗПД України було проведено узагальнення практики застосування законодавства з питань захисту персональних у різних сферах діяльності та виявлено наступні проблеми.

У сфері освіти

1. Обробка персональних даних учасників освітнього процесу здійснюється в Єдиній державній електронній базі з питань освіти (далі — ЄДЕБО), створення якої передбачено постановою Кабінету Міністрів України від 13.07.2011 № 752 «Про створення Єдиної державної електронної бази з питань освіти».

Пунктом 3 Положення про Єдину державну електронну базу з питань освіти, затвердженого постановою Кабінету Міністрів України від 13.07.2011 № 752 (далі — постанова № 752), передбачено, що у разі збирання персональних даних про фізичних осіб — учасників освітнього процесу забезпечується отримання їх згоди на обробку відповідних даних в ЄДЕБО. Під час виготовлення документів про освіту державного зразка, вчені звання та наукові ступені, ліцензій на надання освітніх послуг та сертифікатів про акредитацію, учнівських (студентських) квитків використовуються лише дані, що містяться в ЄДЕБО.

Слід зазначити, що створення ЄДЕБО передбачено постановою Кабінету Міністрів України, а не законом, що не відповідає вимогам частини п’ятої та шостої статті 6 Закону України «Про захист персональних даних», згідно з якою обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством; не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Крім того, постанова № 752 встановлює безальтернативність виготовлення документів про освіту державного зразка, яке можливе лише з використанням даних, що містяться в ЄДЕБО, та за умови отримання згоди на обробку персональних даних, чим порушує право фізичної особи на добровільне волевиявлення під час надання нею згоди на обробку персональних даних (пункт 2.8 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, згідно з яким згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою).

Шляхи вирішення проблеми:

ДСЗПД України пропонує привести у відповідність законодавство, що встановлює норми з обробки персональних даних з використанням ЄДЕБО, до вимог Закону України «Про захист персональних даних» шляхом:

1. Внесення змін до законів, в яких повинно бути врегульовано:

а) надання Міністерству освіти і науки України дозвіл на обробку персональних даних з використанням ЄДЕБО з визначенням:

— мети та процедур обробки персональних даних в ЄДЕБО;

— вичерпного складу персональних даних, що повинна містити ЄДЕБО.

б) ведення обліку дітей дошкільного та шкільного віку місцевими органами виконавчої влади, органами місцевого самоврядування та/або Міністерством освіти і науки України шляхом встановлення одного володільця персональних даних та/або надання дозволу на обробку персональних даних дітей дошкільного та шкільного віку з використанням ЄДЕБО:

— мети та процедур обробки персональних даних в ЄДЕБО;

— вичерпного складу персональних даних, що повинна містити ЄДЕБО.

2. Забезпечення можливості добровільного волевиявлення фізичної особи в процесі надання нею згоди на обробку персональних даних шляхом внесення відповідних змін в постанову Кабінету Міністрів України від 13.07.2011 № 752 «Про створення Єдиної державної електронної бази з питань освіти», зокрема:

— виключення норми про обов’язковість надання згоди суб’єкта персональних даних;

— встановлення можливості виготовлення документів про освіту державного зразка, вчені звання та наукові ступені, ліцензій на надання освітніх послуг та сертифікатів про акредитацію, учнівських (студентських) квитків, без внесення персональних даних до ЄДЕБО.

При цьому повноваження Міністерства освіти і науки України, органів місцевого самоврядування щодо ведення ЄДЕБО та обробки у ній персональних даних повинні бути встановлені законом.

Стан вирішення проблеми:

Міністерством освіти і науки України розроблено проект постанови Кабінету Міністрів України «Про внесення зміни до пункту 3 Положення про Єдину державну електронну базу з питань освіти», якою, зокрема, передбачено виключення норми про обов’язковість надання згоди суб’єктом персональних даних. Наразі проект постанови перебуває на погодженні у заінтересованих органах державної влади.

2. Пунктом 4 Положення про Єдину державну електронну базу з питань освіти, затвердженого постановою № 752, передбачено, що держателем (володільцем) ЄДЕБО є МОН, яке здійснює контроль за забезпеченням захисту даних, що містяться в ЄДЕБО, затверджує порядок її формування та функціонування, виконує інші функції із забезпечення функціонування Єдиної бази. Адміністратором (розпорядником) ЄДЕБО є державне підприємство «Інфоресурс», що належить до сфери управління МОН, забезпечує формування та функціонування ЄДЕБО, а також здійснює заходи щодо збирання, реєстрації, накопичення, зберігання, адаптування, внесення змін, поновлення, використання, поширення (розповсюдження, передачі), оброблення та захисту даних, що містяться в ЄДЕБО.

Пунктом 5 цього Положення визначено, що адміністратор (розпорядник) ЄДЕБО — ДП «Інфоресурс», зокрема, забезпечує:

збирання, оброблення, ведення обліку та зберігання замовлень, поданих акредитованими навчальними закладами у паперовій та електронній формі, на виготовлення документів про освіту державного зразка, учнівських (студентських) квитків;

ведення обліку даних про учнів (студентів), випускників навчальних закладів та їх освітній чи освітньо-кваліфікаційний рівень, абітурієнтів, а також даних про навчальні заклади незалежно від форми власності, органи виконавчої влади у сфері освіти, їх керівників, наукових, науково-педагогічних працівників та інших учасників освітнього процесу.

Проблема полягає в тому, що на сьогоднішній день фактично володільцями персональних даних, що обробляються в ЄДЕБО, є навчальні заклади, які збираються та обробляють ці дані. ДП «Інфоресурс», якому передаються навчальними закладами персональні дані, може бути або розпорядником персональних даних, або третьою особою по відношенню до них. Таким чином, залишається невирішеним питання статусу ДП «Інфоресурс» по відношенню до навчальних закладів освіти.

Шляхи вирішення проблеми:

ДСЗПД України пропонує визначити та закріпити на законодавчому рівні статус ДП «Інфоресурс» по відношенню до начальних закладів освіти, виходячи з наступного.

У разі, якщо ДП «Інфоресурс» є розпорядником персональних даних у навчальних закладах — це питання потребує врегулювання з урахуванням вимог статті 2 Закону України «Про захист персональних даних» (розпорядник персональних даних — фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця), частин четвертої та п’ятої статті 4 Закону України «Про захист персональних даних» (володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначеними у договорі).

У разі, якщо ДП «Інфоресурс» є третьою особою — необхідно забезпечити при передачі персональних даних від навчальних закладів освіти до цього підприємства дотримання вимог частин першої та другої статті 14 Закону України «Про захист персональних даних», згідно з якою поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

У сфері соціального захисту населення

Під час оформлення фізичними особами соціальної допомоги, компенсацій, субсидій та пільг відповідно до заяви про призначення усіх видів соціальної допомоги, компенсацій, субсидій та пільг, затвердженої наказом Міністерства соціальної політики України від 22.02.2012 року № 96 «Про затвердження форми Заяви про призначення усіх видів соціальної допомоги, компенсацій, субсидій та пільг», зареєстрованим у Міністерстві юстиції України 20.03.2012 за № 418/20731, передбачено надання фізичною особою згоди на збір інформації про неї, а також членів її сім’ї та обробку персональних даних відповідно до Закону України «Про захист персональних даних», зазначених нею у заяві та наданих разом із нею документах, а також на збір інформації про сім’ю, доходи, власність та майно, що відповідно до закону необхідна для надання державної соціальної допомоги.

Надання у заяві згоди на збір інформації про заявника та членів його сім’ї є обов’язковою умовою, оскільки зазначена умова міститься у нормативно-правовому акті центрального органу виконавчої влади з формування та забезпечення реалізації державної політики у сфері соціального захисту населення.

Водночас стаття 4 Закону України «Про державну соціальну допомогу малозабезпеченим сім’ям» містить положення про те, що у заяві про надання державної соціальної допомоги дається згода сім’ї на збір інформації про неї, про її власність, доходи та майно, що необхідна для мети цього Закону.

Ураховуючи наведене, Законом України «Про державну соціальну допомогу малозабезпеченим сім’ям» та нормативно-правовим актом Міністерства праці та соціальної політики України передбачено надання згоди фізичною особою, яка звертається до органу праці та соціального захисту населення, за себе та членів її сім’ї на обробку їх персональних даних, проте така згода не ґрунтується на добровільному волевиявленні усіх членів сім’ї фізичної особи, що не відповідає пункту 2.8 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14.

Шляхи вирішення проблеми:

ДСЗПД України пропонує привести у відповідність законодавство, що регулює призначення соціальної допомоги, компенсацій, субсидій та пільг, до вимог Закону України «Про захист персональних даних» шляхом:

— врегулювання питання виплати державної соціальної допомоги на рівні закону;

— врегулювання механізму отримання згоди на обробку персональних даних від інших членів сім’ї фізичної особи, що звернулась за призначення соціальної допомоги.

У сфері житлово-комунальних послуг

Підприємства з обслуговування житлового фонду (суб’єкти господарювання, які надають послуги з утримання будинків і споруд та прибудинкових територій, житлово-будівельні кооперативи, об’єднання співвласників багатоквартирного будинку та молодіжних житлових комплексів, сільські, селищні ради) продовжують обробляти персональні дані про склад сім’ї, місце проживання фізичних осіб, а також інші дані, без належних на те правових підстав.

При цьому необхідно враховувати, що 04.01.2013 набув чинності Порядок реєстрації місця проживання та місця перебування фізичних осіб в Україні та зразків необхідних для цього документів, затверджений наказом МВС України від 22.11.2012 № 1077, зареєстрованим в Міністерстві юстиції України 18.12.2012 за № 2109/22421 (далі — Порядок), який визначає процедуру реєстрації місця проживання та місця перебування осіб в Україні, зразки документів, необхідних для реєстрації і зняття з реєстрації місця проживання та місця перебування.

Згідно з пунктом 1.3 Порядку реєстрація/ зняття з реєстрації місця проживання/ перебування здійснюється управліннями, відділами (секторами) ДМС України в районах, районах у містах, містах обласного, республіканського (Автономної Республіки Крим) значення (далі — територіальний підрозділ ДМС України) у день подання особою документів. Реєстрація місця проживання особи може бути здійснена з одночасним зняттям з реєстрації попереднього місця проживання.

Ведення реєстраційного обліку місця проживання та місця перебування осіб в Україні здійснюється територіальними підрозділами ДМС України та адресно-довідковими підрозділами територіальних органів ДМС України з дотриманням вимог законодавства про захист персональних даних (пункт 1.6 Порядку).

Тобто володільцями персональних даних стосовно відомостей про місця проживання та місця перебування фізичних осіб в Україні з 04.01.2013 являються територіальні підрозділи ДМС України.

Водночас пунктом 4 Плану заходів щодо оформлення і видачі паспорта громадянина України та реєстрації місця проживання/ перебування фізичних осіб в Україні, затвердженого розпорядженням Кабінету Міністрів України від 09.10.2013 № 1000-р, передбачено здійснити передачу картотек реєстраційного обліку місця проживання/ перебування фізичних осіб підприємств з обслуговування житлового фонду (суб’єктів господарювання, які надають послуги з утримання будинків і споруд та прибудинкових територій, житлово-будівельних кооперативів, об’єднань співвласників багатоквартирного будинку та молодіжних житлових комплексів, сільських, селищних рад) територіальним органам ДМС.

Таким чином, серед підприємств з обслуговування житлового фонду необхідно провести інформаційно-роз’яснювальні заходи щодо припинення ними обробляти відомості про реєстрацію місця проживання / перебування фізичних осіб з метою припинення подальшого порушення законодавства про захист персональних даних.

Також інформуємо, що на підставі розгляду звернень та скарг громадян, які надійшли до ДСЗПД України у 2011–2013 роках, встановлено, що багато підприємств, які надають житлово-комунальні послуги, при укладанні договорів зі споживачами вимагають від них надмірний обсяг персональних даних, зокрема, пропонують надати їм копії паспорта, реєстраційного номера облікової картки платника податків, документів, що посвідчують право власності на житло тощо, чим порушують вимоги частини третьої статті 6 Закону України «Про захист персональних даних», згідно з якою склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. При цьому актами законодавства у сфері житлово-комунальних послуг не передбачено обов’язку фізичної особи надавати копії таких документів.

У сфері охорони здоров’я

1. Відповідно до Положення про електронний реєстр пацієнтів, затвердженого постановою Кабінету Міністрів України від 06.06.2012 № 546, метою створення Реєстру є підвищення ефективності медичної допомоги, забезпечення своєчасності її надання та достовірності статистичної інформації. Крім того, зазначеним положенням передбачено, що володільцями реєстру є заклади охорони здоров’я, а його розпорядником виступає Міністерство охорони здоров’я України.

МОЗ України було видано наказ від 16.07.2012 № 532, яким затверджено Тимчасовий порядок ведення електронного реєстру пацієнтів Вінницької, Дніпропетровської, Донецької областей та м. Києва. Даним порядком визначено, що користувачами Реєстру можуть бути виключно працівники закладів охорони здоров’я, яким згідно з законодавством та посадовими обов’язками надано право на роботу з медичною документацією (інформацією), надано право вносити та обробляти інформацію в електронному реєстрі пацієнтів відповідно до їх повноважень та покладених на них функціональних обов’язків.

У той же час МОЗ України не може бути володільцем бази персональних даних центрального рівня електронного реєстру пацієнтів, оскільки це буде суперечити нормам чинного законодавства, крім того, МОЗ України є центральним органом виконавчої влади та не може виконувати функції закладів охорони здоров’я.

Шляхи вирішення проблеми:

ДСЗПД України пропонує закріпити на рівні закону правові підстави для обробки персональних даних в електронному реєстрі пацієнтів та внести відповідні зміни до постанови Кабінету Міністрів України від 06.06.2012 № 546 «Про затвердження Положення про електронний реєстр пацієнтів».

Стан вирішення проблеми:

За наявною у ДСЗПД України інформацією, наразі МОЗ України готується проект Закону України про внесення змін до Закону України «Про основи законодавства України про охорону здоров’я» з метою законодавчого закріплення правової підстави для обробки персональних даних в електронному реєстрі пацієнтів.

2. Наказом Міністерства охорони здоров’я України від 14.02.2012 № 110 «Про затвердження форм первинної облікової документації та інструкцій щодо їх заповнення, що використовуються у закладах охорони здоров’я незалежно від форми власності та підпорядкування», зареєстрованим в Міністерстві юстиції України 28.04.2012 за № 661/20974, затверджено форму інформованої добровільної згоди пацієнта на обробку персональних даних.

Проблема полягає в тому, що при відмові пацієнта підписати таку згоду, медичні заклади досить часто відмовляють йому в подальшому наданні медичних послуг, в іншому випадку — порушується право на добровільне волевиявлення пацієнта (за умови його поінформованості) щодо надання такої згоди, тобто вимоги пункту 2.8 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14.

Окрім цього, підписуючи бланк такої згоди, не забезпечується право пацієнта на внесення застереження стосовно обмеження права на обробку його персональних даних під час надання згоди, передбачене пунктом 10 частини другої статті 8 Закону України «Про захист персональних даних». Також ця згода не може вважатися інформованою, оскільки її зміст не містить мету обробки персональних даних.

Шляхи вирішення проблеми:

ДСЗПД України пропонує наказ Міністерства охорони здоров’я України від 14.02.2012 № 110 «Про затвердження форм первинної облікової документації та Інструкцій щодо їх заповнення, що використовуються у закладах охорони здоров’я незалежно від форми власності та підпорядкування», зареєстрований в Міністерстві юстиції України 28.04.2012 за № 661/20974, в частині, що стосується затвердження «Інформованої добровільної згоди пацієнта на обробку персональних даних», привести у відповідність до вимог законодавства у сфері захисту персональних даних.

У сфері державної реєстрації речових прав на нерухоме майно та їх обтяжень

У заявах, форми яких затверджені наказом Міністерства юстиції України від 17.04.2012 № 595/5 «Про впорядкування відносин, пов’язаних із державною реєстрацією речових прав на нерухоме майно та їх обтяжень», зареєстрованим в Міністерстві юстиції України 20.04.2012 за № 590/20903, передбачено підтвердження фізичної особи згоди на обробку персональних даних.

Проте таке положення порушує право фізичної особи на добровільне надання нею згоди на обробку персональних даних, не забезпечує права на внесення застереження стосовно обмеження права на обробку її персональних даних під час надання згоди та не може вважатися інформованою, оскільки її зміст не містить мету обробки персональних даних.

Шляхи вирішення проблеми:

ДСЗПД України пропонує привести у відповідність форми заяв, що затверджені наказом Міністерства юстиції України від 17.04.2012 № 595/5 «Про впорядкування відносин, пов’язаних із державною реєстрацією речових прав на нерухоме майно та їх обтяжень», зареєстрованим в Міністерстві юстиції України 20.04.2012 за № 590/20903, до вимог законодавства у сфері захисту персональних даних.

____________