Останнім часом пересічні громадяни настільки звикли заповнювати різні анкети, подавати чимало інформації до різних державних органів та приватних організацій, що рідко замислюються про захист своїх персональних даних. Підписуючи за принципом «замовчування» письмову згоду на обробку персональних даних, чомусь ми перестали дбати про захист власної приватної інформації. Як захистити свої персональні дані від незаконного поширення та шахраїв? Про це поговоримо докладніше.
Базовим документом на рівні українського законодавства у цій сфері є діючий Закон «Про захист персональних даних». Він регулює правові відносини, пов’язані із захистом і обробкою персональних даних, спрямований на захист основоположних прав і свобод людини та громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.
Що таке персональні дані? З чого починаються практичні ризики у сфері нашого приватного життя?
Персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. І таких даних є чимало. Усе починається з прізвища, імені, по-батькові, домашньої адреси, місця офіційної реєстрації, паспортних даних, ідентифікаційного коду, номеру мобільного телефону. У будь-якій ситуації надання цих та інших персональних даних маємо чітко розуміти мету використання. Також згідно норм міжнародного права, термін «персональні дані» означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначена (Конвенція Ради Європи «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних»).
Якщо жити з дотриманням цього Закону, то ключовим гравцем у цій сфері є кожен із нас. Нащ статус має назву «володілець персональних даних». Це фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. Перш, ніж подаємо приватну інформацію про себе до будь-якої організації під час заповнення анкети тощо, варто звернути увагу на те, що означає згода суб’єкта персональних даних. Це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки. Таке волевиявлення може бути висловлене у письмовій формі або в іншій формі, що дає змогу зробити висновок про надання згоди.
Як документи конкретної людини мають захищатися законом від стороннього використання з боку інших осіб? Відповідно до ст.6 Закону первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України. Тут є ключовий момент: не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Про згоду на обробку персональних даних
Чи можна вважати згоду на обробку ваших персональних даних правомірною та які можливі «побічні ефекти» у ситуації, коли ви замовляєте товари в інтернет-магазині та бачите, що там проводять розіграш цінних призів? Для участі необхідно заповнити анкету та надати згоду на обробку персональних даних з метою проведення розіграшу. В анкеті є посилання на умови розіграшу, де детально описано правила та що відбувається з персональними даними. По-перше, варто уважно ознайомитися із запланованими діями стосовно ваших персональних даних.
Неприємними сюрпризами можуть стати постійні й настирливі розсилки реклами на вашу адресу (електронну і поштову) аби спонукати вас до купівлі наступних товарів та формування споживацької залежності. По суті у такий спосіб відбувається нав’язування людині товарів і послуг, що заборонено Законом «Про захист прав споживачів». Але представники бізнесу у такому випадку будуть активно захищати себе. Мовляв, ви самі заповнили анкету і надали їм свою згоду на обробку ваших даних.
Не менш цікавим прикладом маніпулювання із нашими персональними даними є медична сфера послуг. Уявімо собі цілком реальну ситуацію.
Ви прийшли в приватну лабораторію, щоб здати аналіз на COVID–19. Перед процедурою вам надали анкету, яку попросили заповнити та підписати. Анкета передбачає збір великої кількості інформації: ПІБ, дати народження, точної адреси проживання та інформації про місце роботи.
До того ж вам надали документ із назвою «Інформована добровільна згода пацієнта на надання медичних послуг та обробку персональних даних». У документі детально розписано, хто, як і для чого обробляє персональні дані. До речі, з точки зору юридичної техніки та стилістики, подібне оформлення документів психологічно налаштовує клієнта нібито на спрощення сприйняття інформації. Насправді це окремі правові ситуації, які варто документувати обома різними документами. Але в такому випадку людина почне більше думати і задавати питання, а це вже не вигідно представникам цієї сфери послуг? Бо усе «поставлено на конвеєр», варто зробити усе швидше й простіше. Але ви не втрачаєте свого природного критичного мислення. Обсяг даних в анкеті здається вам надмірним, і ви не хочете надавати свою згоду. Тоді працівник лабораторії повідомляє, що це вимога МОЗ, і всі приватні лабораторії зобов’язані передавати відомості про коронавірусні аналізи до міністерства. Якщо ви не надасте свою згоду, вам ніхто не зробить аналіз на COVID–19. Тепер маємо відповісти собі на просте запитання: чи ця згода — правомірна? Відповідь буде негативною. Адже приватна медлабораторія як розпорядник персональних даних порушує вимоги законодавства стосовно мети обробки та доступу до персональних даних. Тут можна порадити направити письмову (електронну) скаргу до парламентського Уповноваженого Верховної Ради України з прав людини. Саме ця інституція нині наділена повноваженнями провести перевірку ситуації із порушенням Закону про персональні дані. Не виключено, що наступного разу ця лабораторія вже буде більш законослухняною стосовно ваших та інших персональних даних клієнтів.
Інші несподіванки із використанням персональних даних стосуються сфери освіти. Уявімо таку, просту, на перший погляд, ситуацію, яка теж несе в собі майбутні ризики. Наш знайомий Олег планує віддати свою дитину до школи. Під час прийняття документів для зарахування йому надали повідомлення про обробку персональних даних. У повідомленні вказано, що школа збиратиме та передаватиме інформацію про успішність дитини до Міністерства освіти і науки України, місцевих органів управління освітою. Але підставу обробки персональних даних вказали так: «захист життєво важливих інтересів дитини, а саме — права на отримання освіти». Добре поміркуйте, чи правильну підставу обробки персональних даних обрала школа? Знову ж таки, відповідь буде не на користь освітнього закладу. Адже життю та безпеці дитини нічого не загрожує. До того ж можна застосувати іншу підставу обробки персональних даних.
Заперечення проти обробки персональних даних
Тепер настав ключовий момент дізнатися про одне з ключових прав суб’єкта персональних даних, тобто фізичної особи, персональні дані якої обробляються, простіше кажучи нас з вами. Якщо ви передумали і хочете анулювати раніше оформлену власну письмову згоду на обробку персональних даних, то цілком законно можете це зробити. На підставі ст.8 Закону суб’єкт персональних даних (серед іншого) має право: знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних. Також ми маємо право отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються персональні дані. Ще людина має право на доступ до своїх персональних даних. Не менш суттєвим для суб’єкта персональних даних є право та можливість отримувати не пізніш як за тридцять календарних днів з дня надходження запиту відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних. Такий запит можна направити до будь-якої установи, організації, державного органу, якщо ви упевнені, що протягом певного проміжку часу ваші персональні дані потрапили до їх бази даних. І, без сумніву, варто скористатися наступними правами: пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних; пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними. Саме так слід вчинити у ситуації, коли Ви зробили аналіз у медичній лабораторії та залишили номер телефону для зв’язку. Після цього на ваш мобільний почали надходити повідомлення з новинами про знижки та нові послуги лабораторії. Ви направили медичному закладу заперечення проти обробки ваших персональних даних, зокрема надсилання повідомлень.
Тепер лабораторія має видалити ваші персональні дані та припинити надсилати вам повідомлення.
Шахраї полюють за персональними даними, або вчасно скажімо «стоп грі»…
Серед не менш важливих наявних ризиків незаконного використання та поширення серед сторонніх осіб наших персональних даних є кримінальна сфера. Тут вже йдеться не про роботу парламентського Омбудсмена, а правоохоронців. Тут варто зробити акценти на особистій розсудливості.
Автору статті нещодавно теж довелося пережити випадок з реального життя. Зателефонували з мобільного номера (089…) і з 4-го разу (бо раніше телефонував робот) молодий парубок вишуканою українською відрекомендувався Максимом, представником столичної організації із красивою назвою. Повідомив, що «я виграв 10 тисяч гривень», і тепер залишається мені повідомити свої П.І.Б, адресу реєстрації. Таких випадків і технологій сучасного виманювання персональних даних з метою вчинення шахрайських дій сьогодні є дуже багато. Розраховують на простий людський азарт та бажання розбагатіти на халяву. А потім люди втрачають цінне майно на тисячі… Тому варто одразу навчитися сказати «ні», аби убезпечити себе та родину від шахраїв. Ще доцільно не вчиняти ніяких дій, не приймати рішень самостійно, без поради з членами родини. Отож, проблема захисту персональних даних стосується кожного.