Згода на обробку персональних даних: чи варто надавати?

Надавати чи не надавати згоду на обробку персональних даних? Це вибір кожної особи –суб’єкта персональних даних, хоча є винятки, прописані законодавством. Питання із цієї тематики доволі часто надходять на єдиний номер  системи БПД – 0 800 213 103.

Про одне із подібних питань і піде мова далі:

 «Керівництво навчального закладу, в який вступила моя дитина, вимагає від мене підписання згоди на обробку персональних даних. Я не хочу цього робити за своїми релігійними переконаннями. Чи маю я право відмовитись від обробки персональних даних моєї дитини?».

У цій ситуації допомагав розібратися юрист Регіонального центру з надання БВПД у Сумській області Ігор Шпак*

 Що таке персональні дані та навіщо від громадян часто вимагають згоду на обробку персональних даних?

Персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Є чотири основні підстави для обробки персональних даних:

1. Збирання: суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, мету збору персональних даних та осіб, яким передаються його персональні дані:

• в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
• в інших випадках протягом 30 робочих днів з дня збору персональних даних.

2. Накопичення персональних даних – дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
3. Зберігання персональних даних – дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
4. Поширення персональних даних – дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.

Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини, або якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. У такому випадку обробляти персональні дані без згоди суб’єкта персональних даних можна до часу, коли отримання згоди стане можливим.

Якщо обробка персональних даних стосується малолітньої дитини, то згоду на це можуть давати тільки законні представники.

Які права має суб’єкт персональних даних?

Суб’єкт персональних даних має право:

1. знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3. на доступ до своїх персональних даних;
4. отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5. пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6. пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8. звертатися із скаргами на обробку своїх персональних даних до Уповноваженого з прав людини або до суду;
9. застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10. вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11. відкликати згоду на обробку персональних даних;
12. знати механізм автоматичної обробки персональних даних;
13. на захист від автоматизованого рішення, яке має для нього правові наслідки.

Чи може особа відмовитись від обробки своїх персональних даних чи своєї дитини та які це може мати наслідки?

Якщо казати, наприклад, про відмову від персональних даних за релігійними переконаннями, то в законі такої підстави для відмови не передбачено. Але в той же момент особа має право пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних та у будь-який момент відкликати свою згоду на обробку персональних даних.

Але якщо говорити про наслідки, то вітчизняним законодавством чітко це питання не врегульовано. Наслідки, які це може мати – треба розбирати по кожній індивідуальній ситуації. Зазвичай, наслідки відмови від обробки персональних даних можуть полягати в тому, що інформацію про особу не зможуть внести у певний реєстр, а як результат – видати необхідний для цієї людини документ.

Якщо говорити, наприклад, випадок особи, яка до нас звернулась з питанням, то батьки дитини, які відмовились від обробки персональних даних дитини, як наслідок – не зможуть отримати свідоцтво про закінчення навчального закладу без обробки персональних даних самої дитини. Є багато прикладів із  судової практики, коли люди намагались оскаржити відмову в видачі документів без обробки персональних даних, але фактично – суди, зазвичай, відмовляють заявникам у задоволенні позову. Тому, якщо ви звертаєтесь до суб’єкта обробки персональних даних і вам від цього суб’єкта необхідно по результату обробки ваших даних отримати якийсь документ, то вам доведеться погодитись, бо інакше ви не отримаєте необхідного вам документа.

Чи є відповідальність за розповсюдження персональних даних?

Так, законодавством у сфері обробки персональних даних передбачена як  адміністративна відповідальність так і кримінальна .

Якщо наслідком розповсюдження персональних даних буде порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до кримінальної відповідальності  і карається штрафом від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

Якщо це заподіяло істотну шкоди то можливе і навіть позбавлення волі до 5 років.

*Довідково

автор консультації Ігор Шпак – начальник відділу забезпечення роботи контактного центру Регіонального центру з надання БВПД у Сумській області. Під час написання частково використовувались матеріали довідково-інформаційної платформи правових консультацій «WikiLegalAid».