Налякані GDPR-ом, не всі звертають увагу на особливості охорони персональних даних в самій Україні.
Наприклад, одна зі справ, результату розгляду якої слід очікувати з інтересом, це справа № 127/13877/19 проти Укрпошти, де 24 січня 2020 року було прийняте рішення судом першої інстанції, проте воно зараз на стадії апеляційного оскарження.
Український закон «Про захист персональних даних» захищає будь-яку живу фізичну особу і покладає певні обов’язки на фізичних осіб, юридичних осіб (незалежно від їхнього громадянства, місця реєстрації), які вчиняють на території України дії, охопленні поняттям «обробка персональних даних». Це закон також застосовується і до громадян України та українських юридичних осіб, які займаються обробкою персональних даних за межами України. Звичайно, в законодавстві ще є певні винятки та особливості, але для початку, цього достатньо.
Для режиму охорони персональних даних по-українськи характерно те, що він майже завжди співіснує з режимом охорони конфіденційної інформації. Крім того, в правовому регулюванні в рамках цього режиму іноді відсутня конкретика, і необхідно керуватися переважно принципами і оціночними поняттями, передбаченими законодавством про охорону персональних даних.
Це пояснюється тим, що:
1) нема чітко визначеного переліку даних, які слід вважати персональними (одні й ті самі категорії даних можуть стосуватися а) фізичної особи, яку можливо ідентифікувати, і б) фізичної особи, яку суб’єкту, який обробляє інформацію про таку фізичну особу, не є можливим ідентифікувати протягом часу зберігання ним інформації про таку фізичну особу, але вказані дані будуть вважатися персональними лише в першій ситуації — коли особа ідентифікована/її можливо ідентифікувати);
2) нема чітко визначеного переліку даних, які слід вважати конфіденційною інформацією (звичайно, є закони, якими певна інформація віднесена до конфіденційної, але є ще ст. 21 Закону України «Про інформацію», де зазначено, що інформацією з обмеженим доступом є конфіденційна інформація, в свою чергу, конфіденційною є інформація про фізичну особу, а інформацією про фізичну особу є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована);
3) персональні дані самі по собі можуть бути конфіденційною інформацією (дата, місце народження ідентифікованої людини);
4) можуть бути конфіденційною інформацією самі по собі та з прив’язкою до якихось фактів, які теж є конфіденційною інформацією (прізвище, ім’я, по-батькові, місце проживання, місце роботи та розмір оплати праці за місцем роботи);
5) можуть не бути конфіденційною інформацією (перебувати у відкритому доступі), але з прив’язкою до якихось фактів з життя ідентифікованої фізичної особи, в сукупності стають конфіденційною інформацією (раніше публічно оголошена самою фізичною особою інформація про свої прізвище, ім’я, по-батькові, місце проживання, та поєднання такої інформації з інформацією про стан її здоров’я, діагноз).
To be continued…
Юрій Карлаш
Технології, Медіа і Телекомунікації 