Захист персональних даних неповнолітніх

Матеріал з WikiLegalAid
Версія від 16:12, 8 червня 2018, створена Yuliia.yanush-matsko (обговореннявнесок) (Створена сторінка: == Нормативна база == * [http://zakon5.rada.gov.ua/laws/show/2297-17 Закон України "Про захист персональних да...)

Перейти до: навігація, пошук

Нормативна база

Загальна характеристика поняття “персональні дані”

Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. (ст.2 ЗУ “Про захист персональних даних”)

Підставами для обробки персональних даних є: (ст.11 ЗУ “Про захист персональних даних”)

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;

6) необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

Згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки. (ст.2 ЗУ “Про захист персональних даних”)

Суб’єкти та об’єкти відносин, які пов’язані з персональними даними

Суб'єктами відносин, пов'язаних із персональними даними, є: (ст.4 ЗУ “Про захист персональних даних”)

1.суб'єкт персональних даних;

2. володілець персональних даних;

3. розпорядник персональних даних;

4. третя особа;

5. Уповноважений Верховної Ради України з прав людини

Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.

Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.

Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.

Суб'єкт персональних даних має право: (ст.8 ЗУ “Про захист персональних даних”)

1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

3) на доступ до своїх персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

11) відкликати згоду на обробку персональних даних;

12) знати механізм автоматичної обробки персональних даних;

13) на захист від автоматизованого рішення, яке має для нього правові наслідки.

 Об’єктами захисту є персональні дані (ст.5 ЗУ “Про захист персональних даних”)

Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

Основні вимоги до обробки персональних даних

Вимоги до обробки персональних даних : (ст.6 ЗУ “Про захист персональних даних”)

  • Загальні вимоги до обробки персональних даних

1.Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.

2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.

3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

4. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.

5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

6. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.

8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.

9. Типовий порядок обробки персональних даних затверджується Уповноваженим.

1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.

2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:

1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;

3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;

4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;

5) необхідна для обґрунтування, задоволення або захисту правової вимоги;

6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг, функціонування електронної системи охорони здоров’я за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я чи фізичною особою - підприємцем, яка одержала ліцензію на провадження господарської діяльності з медичної практики, та її працівниками, на яких покладено обов’язки щодо забезпечення захисту персональних даних та на яких поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення, на яких покладено обов’язки щодо забезпечення захисту персональних даних;

7) стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом;

8) стосується даних, які були явно оприлюднені суб'єктом персональних даних.

Захист персональних даних неповнолітніх

Оскільки діти шкільного віку є особами вразливої категорії, так як вони є неповнолітніми, питання законодавчого регулювання щодо захисту їх персональних даних є найдвичайно важливим.

Відповідно до ст. 3 Конституції України “Людина, її життя і здоров'я, честь і гідність, недоторканність і безпека визнаються в Україні найвищою соціальною цінністю”. Ст. 32 Конституції України проголошує право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Відповідно до ст. 32 Конституції України, інформація про особисте та сімейне життя особи (персональні дані про неї) - це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування.

Конвенція ООН про права дитини 1989 р. – роз’яснює, що під поняттям “дитина” розуміється неповнолітній у віці до 18 років.

Згідно зі ст.6 Сімейного кодексу України правовий статус дитини має особа до досягнення нею повноліття; малолітньою вважається дитина до досягнення нею чотирнадцяти років, а неповнолітньою — у віці від чотирнадцяти до вісімнадцяти років.

Ст.ст. 30, 31 та 32 Цивільного кодексу України, які регламентують питання цивільної дієздатності, містять вичерпний перелік правочинів, які може вчиняти дитина, a частина 2 статті 32 закріплює, що ця неповнолітня особа може вчиняти інші правочини лише за згодою батьків (усиновлювачів) або піклувальників. Сімейним та Цивільним кодексами України передбачено, що батьки мають право захищати інтереси дітей, як їхні законні представники, без спеціальних на те повноважень. Отже, батьки мають право надати згоду на обробку персональних даних своєї дитини, а також власних персональних даних.

Тож відповідно до ч.3 ст.150 Сімейного кодексу України, яка зобов'язує батьків "забезпечити здобуття дитиною повної загальної середньої освіти, готувати її до самостійного життя" та ст. 29 Закону "Про загальну середню освіту", яка закріплює обов'язок батьків захищати законні інтереси дітей та забезпечувати умови для здобуття дитиною повної загальної середньої освіти за будь-якою формою навчання, можна дійти висновку, що саме батьки відповідальні за реалізацію права на безпеку обігу персональних даних їхніх дітей.

Відповідно до ст. 53 Конституції України кожен має право на освіту, а "повна загальна середня освіта є обов'язковою". Так, у ст. 18 Закону України "Про загальну середню освіту" сказано: "Зарахування учнів до загальноосвітнього навчального закладу проводиться наказом директора, що видається на підставі заяви, за наявності медичної довідки встановленого зразка і відповідного документа про освіту (крім учнів першого класу)".

Положення про Єдину державну електронну базу з питань освіти, затверджене постановою Кабінету Міністрів України від 13.07.2011 № 752, визначає, що Єдина державна електронна база з питань освіти є джерелом даних, що використовуються, зокрема, під час виготовлення документів про освіту державного зразка, вчені звання та наукові ступені, ліцензій на надання освітніх послуг та сертифікатів про акредитацію, учнівських (студентських) квитків. До Єдиної бази вносяться відомості, що містяться у базах даних, реєстрах, а також підготовлені у паперовій та електронній формі дані, що використовувалися у сфері освіти до створення Єдиної бази. У разі збирання персональних даних про фізичних осіб - учасників освітнього процесу забезпечується отримання їх згоди на обробку відповідних даних в Єдиній базі.

Відмова особи надати згоду на обробку її персональних даних у Єдиній базі та ІВС "ОСВІТА" унеможливлює обробку таких даних у зазначених базах, зокрема, виготовлення документів про освіту так як, ч.6,7 ст. 6 Закону України "Про захист персональних даних" встановлено заборону на обробку персональних даних про фізичну особу без її згоди. Згідно ст. 8 Закону України "Про захист персональних даних" суб'єкт персональних даних має право пред'являти  вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником і розпорядником цієї бази, якщо ці дані обробляються незаконно або є недостовірними.

Так, в Україні у свідоцтві мають бути на дітей такі персональні дані: прізвище, ім'я та по батькові батьків і їхнє громадянство, ПІБ дитини, дата та місце народження, дата та місце реєстрації факту народження дитини. З огляду на це можна дійти висновку, що особова справа дитини містить значну кількість персональних даних, тому її суб'єкт підпадає під захист Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Закону України "Про захист персональних даних".

Тож батьки або особи, які їх замінюють, мають подавати не лише заяву на ім'я директора загальноосвітнього навчального закладу, копію свідоцтва про народження дитини, медичну картку встановленого зразка, документа про освіту (крім учнів першого класу), а й згідно зі ст. 11 Закону України "Про захист персональних даних" —  письмовий дозвіл на обробку їхніх персональних даних та даних дитини. Крім цього, виходячи з ч.2 ст. 6 Закону "Про захист персональних даних", "персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися", що накладає на батьків і власника бази даних (навчальний заклад) забезпечувати оновлення цієї бази достовірною інформацією.

Докладніше варто проаналізувати Наказ МОН України від 16 квітня 2018 року № 367 "Про затвердження Порядку зарахування, відрахування та переведення учнів до державних та комунальних закладів освіти для здобуття повної загальної середньої освіти", який установлює додаткові вимоги до вступу дітей у навчальні заклади. З огляду на те, що ці відомості повинні підтверджуватися документально, адміністрація здійснюватиме обробку ще більшого масиву персональних даних, ніж звичайна загальноосвітня школа. Слід розуміти, що табелі успішності, свідоцтва про освіту та інші персональні відомості про успішність особи, а також особові картки підлягають захисту. Тут варто наголосити, що згідно зі ст.ст.10,11 Закону "Про захист персональних даних" власникові бази персональних даних забороняється розголошувати відомості стосовно суб'єктів цих даних без надання відповідної згоди на таке використання.

Прогресивним у питанні захисту персональних даних є Наказ МОН України від 05 листопада 2012 року № 1244 "Про затвердження Умов прийому до вищих навчальних закладів України у 2013 році", в якому чітко передбачено, що заява про участь у конкурсному відборі до вищого навчального закладу обробляється відповідно до вимог Закону України "Про захист персональних даних". Водночас до заяви, поданої у паперовій формі, вступник, зокрема, додає:

— документ державного зразка про раніше здобутий освітній (освітньо-кваліфікаційний) рівень, на основі якого здійснюється вступ, і додаток до нього;

— сертифікат (сертифікати) зовнішнього незалежного оцінювання (для вступників на основі повної загальної середньої освіти);

— медичну довідку за формою 086-о або її копію.

Як бачимо, до змісту поняття «заява» не входить значний масив документів із персональними даними вступника, а отже, ці відомості підпадають під захист профільного закону, що, по суті, є прогалиною в законодавстві.

Наведена аргументація дає підстави зробити висновок, що згода на обробку персональних даних дитини повинна надаватись її батьками разом зі згодою батьків на обробку їхніх персональних даних. Із настанням повноліття особа надає таку згоду самостійно, й батьки вже не мають права визначати межі обігу персональних даних їхніх дітей.

Згідно ч. 3 ст. 10 Закону України «Про захист персональних даних»  використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки. Слід звернути увагу на те, що навчальний заклад для перевірки якості знань вихованців здійснює контроль шляхом оцінювання, результати якого є персональними даними особи й також підлягають захисту. Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок. Є ризик, що в майбутньому це неодмінно стане предметом судових позовів щодо завдання моральних збитків через неправомірне використання персональних даних особи.

Нажаль, на даний час захист персональних даних неповнолітніх осіб на законодавчому рівні в Україні чітко не врегульований.


Виходячи з наведеної аргументації, проаналізувавши профільне  законодавство України, а також європейський досвід регулювання відносин у сфері обігу персональних даних, можна зробити такі висновки:

— масив персональних даних, які формуються у процесі навчання й потребують захисту згідно із законодавством України, містить майже весь спектр персональних даних особи, зокрема, найбільш конфіденційних;

—  забезпечити легітимність обігу персональних даних у процесі навчання можна шляхом запровадження обов'язкової письмової згоди на їхню обробку;

Для гарантування безпеки обігу персональних даних у процесі навчання потрібно:

— здійснити автоматизацію баз персональних даних;

— забезпечити збір персональних даних, необхідних для особистого контакту суб'єкта, розпорядника й власника баз даних (у разі якщо суб'єкт неповнолітній і не має повної правоздатності, забезпечити доступ до персональних даних його представника);

— розробити посадові інструкції для розпорядників баз персональних даних із чітким визначенням категорій даних, потрібних для здійснення їхніх повноважень (у разі необхідності забезпечити доступом тільки до знеособлених даних);

— заборонити публічне оприлюднення персональних даних про результати зарахування до навчального закладу та оцінювання знань вихованців;

— закріпити в законах України положення, що згоду на обробку персональних даних дитини мають надавати її батьки разом із своєю згодою  на обробку їхніх персональних даних.