Права та обов'язки третіх осіб у правовідносинах обігу та обробки персональних даних в Україні

Размещено на http://www.allbest.ru/

Права та обов'язки третіх осіб у правовідносинах обігу та обробки персональних даних в Україні

Михайло Різак, кандидат юридичних наук, помічник-консультант народного депутата України

Анотації

Установлено, що правовий статус третіх осіб у відносинах обігу та обробки персональних даних недостатньо вивчений у працях учених і науковців та потребує вдосконалення в нормативно-правових документах. На основі порівняльного аналізу наукової літератури та нормативних визначень поняття «третя особа» в роботі визначено третю особу як будь-яку особу, котрій володілець чи розпорядник персональних даних передає персональні дані, за винятком суб'єкта цих персональних даних та Уповноваженого Верховної Ради України з прав людини (у разі виконання ним функцій з контролю захисту персональних даних), яка здійснює подальший обіг та обробку персональних даних у межах, визначених договором передачі та згодою суб'єкта персональних даних або законом, а поняття «одержувач» у статті 2 Закону України «Про захист персональних даних» запропоновано виключити. Досліджено правомочності третьої особи у правовідносинах обігу та обробки персональних даних та виокремлено її права та обов'язки.

Ключові слова: обіг персональних даних, обробка персональних даних, одержувач, персональні дані, правовий статус, правовідносини, суб'єкти правовідносин, третя особа.

Установлено, что правовой статус третьих лиц в отношениях оборота и обработки персональных данных недостаточно изучен в работах ученых и требует совершенствования в нормативно-правовых документах. На основе сравнительного анализа научной литературы и нормативных определений понятия «третье лицо» в работе определено третье лицо как любое лицо, которому владелец или распорядитель персональных данных передает персональные данные, за исключением субъекта этих персональных данных и Уполномоченного Верховной Рады Украины по правам человека (в случае выполнения им функций по контролю за защитой персональных данных), которое осуществляет дальнейший оборот и обработку персональных данных в рамках, определенных договором передачи и согласия субъекта персональных данных или законом, а понятие «получатель» в статье 2 Закона Украины «О защите персональных данных» предложено исключить. Исследованы правомочия третьего лица в правоотношениях оборота и обработки персональных данных и выделены его права и обязанности.

Ключевые слова: оборот персональных данных, обработка персональных данных, персональные данные, получатель, правовой статус, правоотношения, субъекты правоотношений, третье лицо.

Сучасний розвиток суспільства характеризується повсякденним і тотальним проникненням інформаційно-комунікаційних систем у всі сфери життя людини. Нині майже кожна людина щоденно має справу з інформаційним середовищем і виступає в ролі як носія даних, так і їх користувача, зокрема даних персонального характеру. Тому під час становлення та розвитку інформаційного суспільства в Україні роль держави та відповідних органів має бути спрямована на забезпечення гарантій дотримання принципів недоторканності приватного життя, зокрема в контексті обігу та обробки персональних даних.

Наразі в Україні діє відповідна контрольна структура та прийнято цілу низку нормативно-правових документів, що регламентують відносини обробки персональних даних, однак досі вони так і не розрізняють процес обігу персональних даних і процес їх обробки [1, с. 26]. Зокрема, Закон України «Про захист персональних даних» № 2297-VI від 01.06.2010 [2] ставить за мету гарантувати недоторканність приватного життя в контексті обігу та обробки персональних даних та визначає суб'єкти правовідносин щодо персональних даних, до яких відносить і третіх осіб, що беруть участь у відносинах з використання персональної інформації. Саме тому визначення основних прав та обов'язків третіх осіб у відносинах обігу та обробки персональних даних потребує значної уваги, що зумовлює необхідність їх подальшого вивчення та дослідження.

Метою статті є визначення місця та ролі третіх осіб у системі суб'єктного складу правовідносин обігу та обробки персональних даних. Для досягнення цієї мети необхідно вирішити такі основні завдання: дати визначення поняття «третя особа у відносинах обігу та обробки персональних даних», а також з'ясувати основні права та обов'язки, якими наділена третя особа у вказаних відносинах.

Насамперед необхідно зазначити, що правовідносини обігу та обробки персональних даних, як і будь-які інші відносини, що виникають між суб'єктами правовідносин, мають відповідний елементний склад, тобто учасників правовідносин, їхні права та обов'язки й те, з приводу чого виникають ці правовідносини та конкретні юридичні факти. Як уже зазначалося, відповідно до статті 4 Закону України «Про захист персональних даних» суб'єктами відносин, пов'язаних із персональними даними, є: суб'єкт персональних даних, володілець персональних даних, розпорядник персональних даних, третя особа та Уповноважений Верховної Ради України з прав людини (як контрольний державний орган з питань захисту персональних даних) [2]. При цьому в статті 2 цього закону визначається, що:

- суб'єкт персональних даних - фізична особа, персональні дані якої обробляються;

- володілець персональних даних - фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

- розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

- третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних [2].

Аналіз визначень понять володільця персональних даних, розпорядника та суб'єкта персональних даних дає підстави зробити висновок, що центральними суб'єктами правовідносин обігу та обробки персональних даних виступають суб'єкт персональних даних, володілець персональних даних та третя особа, яка отримує персональні дані від володільця або розпорядника з метою забезпечення їх подальшого обігу та обробки.

Виходячи з цього, визначмо, хто такі треті особи та якими правами й обов'язками вони наділені у правовідносинах обігу та обробки персональних даних.

Крім вищезгаданого визначення «третя особа», встановленого Законом України «Про захист персональних даних», варто звернути увагу на визначення, викладене в статті 2 Директиви Європейського парламенту та Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» № 95/46/ЄС від 24 жовтня 1995 року, а саме: «третя особа» - це будь-яка фізична чи юридична особа, державний орган, агентство чи будь-який інший орган, інший, ніж суб'єкт даних, контролер, оператор обробки даних і особи, що, будучи безпосередньо підпорядкованими контролеру чи оператору обробки даних, уповноважені обробляти дані [3]. закон нормативний персональний

В. Гербут у своєму дослідженні під третьою особою розуміє будь-яку особу, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону [4, с. 180]. Такої думки щодо визначення поняття третіх осіб дотримуємось і ми, додатково зазначаючи, що третіми особами щодо конкретних персональних даних, у контексті Закону України «Про захист персональних даних», можуть виступати, наприклад, органи Пенсійного фонду, податкової інспекції, військкомати, центри зайнятості тощо, передача персональних даних яким здійснюється відповідно до закону, а також страхові компанії, банки та інші підприємства, установи й організації приватної форми власності, яким персональні дані передаються за згодою суб'єкта цих персональних даних [5, с. 193].

Варто зазначити, що у випадках, коли володільцем бази персональних даних є підприємство, установа чи організація, які здійснюють обіг та/або обробку цих даних, третіми особами в обов'язковому порядку виступають місцеві органи влади, виконавчі органи різних соціальних фондів, інспекції та служби, котрі отримують такі персональні дані відповідно до законодавства. Зазначені державні органи, інспекції та служби, як треті особи, зобов'язані вжити заходів щодо забезпечення вимог законодавства про захист персональних даних, які відображаються в сукупності відповідних прав та обов'язків [6, с. 60]. Перелік таких прав та обов'язків визначається залежно від того, яку роль у подальшому виконують державні органи в тому чи іншому випадку - володільців чи розпорядників баз персональних даних або ж виступають виключно як треті особи [7, с. 143]. У наукових джерелах також висловлюється думка, що треті особи обробляють дані або частину даних, що їм надаються для цілей, визначених законом, або для цілей статутної діяльності третьої особи за згодою суб'єкта персональних даних [8, с. 63].

Своєю чергою, згідно з п. 1.12 Положення про обробку та захист персональних даних фізичних осіб - громадян України, іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, котрі звертаються до Уповноваженого Верховної Ради України з прав людини щодо додержання прав і свобод людини і громадянина відповідно до Закону України «Про звернення громадян», затвердженого наказом Уповноваженого Верховної Ради України з прав людини № 5/02-13 від 17.01.2013, третіми особами є особи, котрі мають стосунки до вирішення справи, яким персональні дані особи, що звертається, передаються відповідно до законодавства (ст. 10 Закону України «Про звернення громадян») [9].

З наведеного аналізу позицій учених і нормативних визначень можна зробити висновок: якщо особа не є суб'єктом персональних даних, не є володільцем чи розпорядником цих даних, не виступає як контрольний орган з питань захисту персональних даних та перебуває в процесі отримання персональних даних від володільця або розпорядника персональних даних, то її можна визначити як третю особу в цих правовідносинах передачі персональних даних. При цьому третя особа в більшості випадків уже має статус володільця чи розпорядника інших персональних даних або відповідно до закону зобов'язана набути цього статусу після отримання персональних даних.

Виходячи з викладеного, вважаємо за потрібне до статті 2 Закону України «Про захист персональних даних» внести такі зміни:

1) абзац дев'ятий «одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;» - виключити;

2) абзац тринадцятий викласти в новій редакції: «третя особа - будь-яка особа, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних, за винятком суб'єкта цих персональних даних та Уповноваженого Верховної Ради України з прав людини (у випадках виконання ним функцій з контролю захисту персональних даних), котра здійснює подальший обіг та обробку персональних даних у межах, визначених договором передачі та згодою суб'єкта персональних даних або законом».

Додатково слід звернути увагу на ще одну особливість відносин з обігу та обробки персональних даних, передбачену в статті 1б Закону України «Про захист персональних даних», яка встановлює, що порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону, а порядок доступу третіх осіб до персональних даних, які перебувають у володінні розпорядника публічної інформації, визначається Законом України «Про доступ до публічної інформації» [2]. При цьому треті особи направляють запит щодо доступу до персональних даних володільцю бази персональних даних. Відповідно до статті 21 закону, отримавши запит про передачу персональних даних третій особі, володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом [2].

Варто зазначити, що передача персональних даних третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об'єктивній причині передачі відповідних даних. При цьому доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог закону або неспроможна їх забезпечити [9]. Отже, аналізуючи норми чинного законодавства, бачимо, що ані Закон України «Про захист персональних даних», ані будь-який інший нормативно-правовий акт конкретно не визначають права та обов'язки третіх осіб як одного з суб'єктів правовідносин, що пов'язані з персональними даними.

Тому пропонуємо визначити основні права третіх осіб у відносинах обігу та обробки персональних даних. На нашу думку, до таких прав третіх осіб належать:

- право на отримання персональних даних від володільців і розпорядників персональних даних у межах, визначених умовами згоди суб'єктів цих персональних даних;

- право на обіг та/або обробку персональних даних у межах конкретно визначеної мети та/або правової підстави, задля яких вони були отримані;

- право на формування власних баз персональних даних.

Щодо обов'язків третьої особи, то у статті 24 Закону України «Про захист персональних даних» сказано, що володільці, розпорядники персональних даних та треті особи зобов'язані:

- забезпечити захист персональних даних від випадкових втрат та знищення;

- забезпечити захист персональних даних від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних [2].

Проте, на нашу думку, перелік обов'язків, визначених цим законом України, є неповним і тому ми пропонуємо доповнити його. Так, треті особи у правовідносинах обігу та обробки персональних даних також зобов'язані:

- розкривати чітко визначені мету та цілі отримання персональних даних від їх володільців та/або розпорядників;

- корегувати межі обігу та/або обробки персональних даних залежно від змін згоди суб'єкта персональних даних, у тому числі припинити обіг та/або обробку персональних даних у разі отримання інформації про відкликання згоди суб'єкта персональних даних або її заміни на таку, що не дозволяє третім особам продовжувати обіг та/ або обробку цих даних;

- видаляти або знищувати персональні дані у випадках, передбачених законодавством;

- набути в порядку, визначеному законом, правовий статус володільця та/або розпорядника персональних даних після отримання таких даних від їх володільця та/або розпорядника;

- залежно від набутого статусу володільця та/або розпорядника здійснювати інші обов'язки, передбачені законодавством.

Визначаючи обов'язки третіх осіб у правовідносинах обігу та обробки персональних даних, доцільно зазначити, що особи, котрі мають до них доступ, зокрема здійснюють їх обробку, зобов'язані не допускати розголошення в будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання має силу й після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

Варто також зазначити, що треті особи не повинні зберігати персональні дані довше, ніж це необхідно для мети, для якої такі дані зберігаються, але в будь-якому разі не довше за термін зберігання даних, визначений згодою суб'єкта персональних даних на обробку цих даних [10, с. 63].

Отже, проаналізувавши викладене, можна зробити висновок, що права та обов'язки третіх осіб у відносинах обігу та обробки персональних даних недостатньо висвітлено як у працях учених та науковців, так і в чинних нормативно-правових документах. Значна частина праць присвячена так званій першій трійці суб'єктів відносин, що пов'язані з обігом та обробкою персональних даних: 1) суб'єкту персональних даних; 2) володільцю персональних даних; 3) розпоряднику персональних даних. На наш погляд, це є доволі значним недоліком.

Виходячи із законодавчо закріплених визначень понять «одержувач» та «третя особа», на нашу думку, закріплення поняття «одержувач» є недоцільним і таким, що створює можливості неоднозначності розуміння правового статусу цього суб'єкта правовідносин з обігу та обробки персональних даних. Тож пропонуємо абзац дев'ятий статті 2 Закону України «Про захист персональних даних» виключити.

Порівняльний аналіз наукової літератури й нормативного визначення поняття «третя особа» та правового статусу третіх осіб у відносинах обігу та обробки персональних даних свідчить про необхідність перегляду визначення, викладеного в абзаці тринадцятому статті 2 Закону України «Про захист персональних даних», яке треба викласти в такій редакції:

«третя особа - будь-яка особа, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних, за винятком суб'єкта цих персональних даних та Уповноваженого Верховної Ради України з прав людини (у разі виконання ним функцій з контролю захисту персональних даних), котра здійснює подальший обіг та обробку персональних даних у межах, визначених договором передачі та згодою суб'єкта персональних даних або законом».

Слід підкреслити: в Законі України «Про захист персональних даних» немає чіткої визначеності щодо прав та обов'язків третіх осіб, що впливає на ефективність процесу обігу та обробки персональних даних з точки зору гарантування їх недоторканності. Виходячи з аналізу нормативної бази, пропонуємо визначити такі права та обов'язки третіх осіб у відносинах обігу та обробки персональних даних:

- право на отримання персональних даних від володільців та розпорядників персональних даних у межах, визначених умовами згоди суб'єктів цих персональних даних;

- право на обіг та/або обробку персональних даних у межах конкретно визначеної мети та/або правової підстави, задля яких вони були отримані;

- право на формування власних баз персональних даних;

- обов'язок розкривати чітко визначені мету та цілі отримання персональних даних від їх володільців та/або розпорядників;

- обов'язок корегувати межі обігу та/або обробки персональних даних залежно від змін згоди суб'єкта персональних даних, зокрема припинити обіг та/або обробку персональних даних у разі отримання інформації про відкликання згоди суб'єкта персональних даних або її заміни на таку, що не дозволяє третім особам продовжувати обіг та/або обробку цих даних;

- обов'язок видаляти або знищувати персональні дані у випадках, передбачених законодавством;

- обов'язок набути в порядку, визначеному законом, правового статусу володільця та/або розпорядника персональних даних після отримання персональних даних від їх володільця та/або розпорядника.

Залежно від набутого статусу володільця та/або розпорядника треті особи надалі здійснюють інші права та обов'язки, передбачені законодавством.

Список використаних джерел

1. Різак М.В. Співвідношення понять «обіг» та «обробка» персональних даних: термінологічні аспекти / М. Різак // Віче. - 2013. - № 8. - С. 25-26.

2. Про захист персональних даних: Закон України № 2297-VI від 1 червня 2010 року // Відомості Верховної Ради України (надалі ВВР) - 2010. - № 34. - Ст. 1188 зі змінами, внесеними законами: № 4452-VI // ВВР - 2012. - № 50. - Ст. 564; № 5491-VI // ВВР - 2013. - № 51. - Ст. 715; № 245-VII // ВВР - 2014. - № 12. - Ст. 178; № 383-VII // ВВР - 2014. - № 14. - Ст. 252

3. Директива Європейського парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» № 95/46/ЄС від 24 жовтня 1995 року // [Електронний ресурс] - Режим доступу: http://zakon4.rada.gov.ua/laws/ show/994_242/print1360150843706940

4. Гербут В.С. Правовідносини в сфері захисту персональних даних про стан здоров'я людини/ В. С. Гербут // Порівняльно-аналітичне право. - 2003. - № 1. - С. 177-183.

5. Різак М. В. Володілець (розпорядник) бази персональних даних: окремі питання / М. В. Різак // Порівняльно-аналітичне право. - 2013. - № 1. - С. 192-198.

6. Кірін Р. Адміністративна делікатність у сфері використання персональних даних та засоби її переконання / Р. Кірін // Вісник Київського національного університету ім. Т. Шевченка. - 2013. - № 95. - С. 58-63.

7. Бойко І. Охорона і захист персональних даних адміністративно-правовими засобами / І. Бойко // Вісник Академії правових наук України. - 2011. - № 4 (67). - С. 144-151.

8. База персональних даних, володілець бази, розпорядник бази, треті особи: визначимось з поняттям // Матеріали семінару «Організація роботи з виконання вимог Закону України «Про захист персональних даних». - К.: Міжнародний центр фінансово-економічного розвитку. - 2012. - 97 с.

9. Положення про обробку та захист персональних даних фізичних осіб - громадян України, іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, що звертаються до Уповноваженого Верховної Ради України з прав людини щодо додержання прав і свобод людини і громадянина відповідно до Закону України «Про звернення громадян»: затверджене наказом Уповноваженого Верховної Ради України з прав людини № 5/02-13 від 17.01.2013 р. // [Електронний ресурс] - Режим доступу: http://www.ombudsman.gov.ua/index.php?option=com_ content&view=article&id=3442:2014-01-20-12-37-45&cat id=202:2011-11-25-14-59-08

10. Чернобай А. М. Правові засоби захисту персональних даних працівника: дис. ... канд. юрид. наук: 12.00.05 - трудове право; право соціального забезпечення / А. М.Чернобай. - Одеса, 2006. - 179 с.

Размещено на Allbest.ru