У закладі була створена АСУ (автоматична система управління) — електронна база документів (відомості, накази тощо), до якої мають доступ усі викладачі й студенти. У цій системі є модуль «Відділ кадрів», де вказані всі особові дані викладача: серія і номер паспорта, де, коли й ким виданий паспорт, дата народження. Чи не є це порушенням закону про захист персональних даних?

Так, це порушення Закону України «Про захист персональних даних» від 01.062010 р. № 2297-VI (далі — Закон № 2297).

І ось чому.

Розгляньмо термінологію у сфері захисту персональних даних і нормативно-правові акти, які регулюють означену сферу.

Основним законом із питання захисту персональних даних є Закон № 2297 і три підзаконні акти, затверджені наказом Уповноваженого Верховної Ради України з прав людини «Про затвердження документів у сфері захисту персональних даних» від 08.01.2014 р. № 1/02-14:

• Типовий порядок обробки персональних даних.
• Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних.
• Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.

Стаття 2 Закону № 2297 скеровує нас, що:

• база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
• володілець персональних даних — фізична або юридична особа, яка визначає мету обробки персональних даних, установлює склад цих даних і процедури їхньої обробки, якщо інше не визначено законом;
• згода суб’єкта персональних даних — добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їхньої обробки, висловлене в письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-комунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їхньої обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки;
• знеособлення персональних даних — вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
• картотека — будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;
• обробка персональних даних — будь-яка дія або сукупність дій, як-от збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, зокрема з використанням інформаційних (автоматизованих) систем;
• одержувач — фізична чи юридична особа, якій надаються персональні дані, зокрема третя особа;
• персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
• розпорядник персональних даних — фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
• суб’єкт персональних даних — фізична особа, персональні дані якої обробляються;
• третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Ці визначення допоможуть нам розібратися, чи дійсно має місце порушення норм Закону № 2297?

Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту й прав людини (ст. 32 Конституції України).

До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата й місце народження (ст. 11 Закону України «Про інформацію» від 02.101992 р. № 2657-XII).

Інформація про фізичну особу (персональні дані) — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Статтею 32 Конституції України визначено, що не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту й прав людини.

Згода суб’єкта на обробку його персональних даних повинна бути добровільною та інформованою. Згода може надаватися суб’єктом у письмовій або електронній формі, що дає змогу зробити висновок про її надання. Документи (інформація), що підтверджують надання суб’єктом згоди на обробку його персональних даних, зберігаються володільцем упродовж часу обробки таких даних.

Підсумовуючи

Заклад освіти має право збирати персональну чи знеособлену інформацію та надавати доступ до даних третім особам лише за умови:

• отримання згоди від особи, персональні дані якої оприлюднюються або передаються третім особам;
• за відсутності згоди, передавання персональних даних допустиме за умови, якщо воно передбачене частиною статті 16 Закону № 2297 й обумовлено інтересами національної безпеки, економічного добробуту й прав людини;
• порядок доступу третіх осіб до персональних даних визначається умовами згоди суб’єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону (стаття 16 Закону № 2297);
• персональні дані є об’єктами захисту (ст. 5 Закону № 2297), відомостями чи їх сукупністю про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 2 Закону № 2297). Інформація про фізичну особу — конфіденційна, а до конфіденційної інформації доступ обмежений;
• доступ має бути лише до тих даних, що необхідні у зв’язку з виконанням ними (користувачами АСУ) освітніх, професійних або службових обов’язків, і в межах, необхідних для досягнення мети їхньої обробки.

Паспортні дані й дата народження викладача є персональними даними, що виходять за межі даних, необхідних для організації освітнього процесу між студентом і педагогом, а тому є надмірними й такими, що не підлягають збиранню, розповсюдженню та оприлюдненню в загальному доступі для студентів (слухачів і педагогів).

Використання і поширення персональних даних користувачів без їхньої згоди можливе лише у випадках, прямо передбачених законодавством України (зокрема на підставі судового рішення тощо).

Відповідно до статті 10 Закону № 2297 володільцю забороняється розголошувати відомості стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних із такими даними.

Використання персональних даних працівниками суб’єктів відносин, пов’язаних із персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов’язків.

Ці працівники зобов’язані не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, окрім випадків, передбачених законом. Таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом.

Галина Недашківська