NB: Цей експертний коментар є супровідним до статті «Поліція продовжує незаконно збирати інформацію про людей із наркозалежністю», що коротко описує проблему.
Проаналізувавши запит, ми вирішили відповісти на такі питання:
– Чи може поліція, зокрема Департамент протидії наркозлочинності запитувати таку інформацію?
– Чи належним чином оформлений запит, якщо поліція, зокрема Департамент протидії наркозлочинності може запитувати таку інформацію?
– Чи може поліція, зокрема Департамент протидії наркозлочинності, формувати бази (банки) даних із використанням запитуваної інформації?
1. Поліція запитує список осіб, які перебувають на обліку в наркодиспансері. Перелік осіб, що перебувають на такому обліку, є персональними даними. Відповідно до статті 2 Закону України “Про захист персональних даних” персональними даними є “відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована”.
2. Запитувана інформація стосується здоров’я людини. «Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних” (частина 1 статті 7 Закону України “Про захист персональних даних”).
Проте:
Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:
- здійснюється за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних (Чи була згода цих осіб? Ні.);
- необхідна для здійснення прав та виконання обов’язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту (Чи стосується це трудових відносин? Ні.);
- необхідна для захисту життєво важливих інтересів суб’єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб’єкта персональних даних (Чи стосується це цього випадку? Ні.);
- здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об’єднань або осіб, які підтримують постійні контакти з ними у зв’язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб’єктів персональних даних (Також ні.);
- необхідна для обґрунтування, задоволення або захисту правової вимоги (І знову ні.);
- необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю (Не стосується цього випадку.);
- стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом;
- стосується даних, які були явно оприлюднені суб’єктом персональних даних (Такі дані не були оприлюднені).
3. Отже, пункт 7 частини 2 статті 7 Закону «Про захист персональних даних» дозволяє обробку даних про здоров’я особи, якщо це стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом. Однак, такої аргументації – номер справи ОРД чи кримінального провадження – в запиті ми не бачимо, отже це не є підставою для отримання інформацію в цьому випадку. Відповідно до запиту Департаменту протидії наркозлочинності метою обробки таких даних визначено – «формування бази осіб, які стоять на обліку за наркозлочини та допускають немедичне вживання наркозасобів та службова необхідність». Тобто не стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом.
4. Питання полягає у тому, чи Національна поліція взагалі має повноваження формувати такі бази та обробляти таку категорію даних?
Відповідно до статей 24, 25, 26, 27 Закону України «Про Національну поліцію», поліцію наділено додатковими повноваженнями у сфері інформаційно-аналітичного забезпечення, а саме поліція:
– «формує бази (банки) даних, що входять до єдиної інформаційної системи Міністерства внутрішніх справ України;
– користується базами (банками) даних Міністерства внутрішніх справ України та інших органів державної влади;
– здійснює інформаційно-пошукову та інформаційно-аналітичну роботу;
– здійснює інформаційну взаємодію з іншими органами державної влади України, органами правопорядку іноземних держав та міжнародними організаціями.
Отже, Національна поліція має право створювати бази (банки) даних, однак за певних підстав та на певних умовах, визначених законодавством.
5. Разом з тим, стаття 26 Закону України «Про Національну поліцію» передбачає перелік баз (банків) даних, які поліція має право формувати і підтримувати шляхом наповнення. З огляду на цей перелік, формування бази осіб, які стоять на обліку за наркозлочини, є законним. Однак мова йде про осіб, які допускають немедичне вживання наркотичних засобів та психотропних речовин, що не є злочином відповідно до Кримінального кодексу[1].
Закономірно постає питання, що вони будуть робити зі списком осіб, які перебувають на обліку в наркодиспансері? Оскільки формування поліцією такого інформаційного ресурсу не передбачено Законом.
6. Понад того, стаття 16 Закону “Про захист персональних даних” визначає порядок доступу до персональних даних третіх осіб, зокрема те, що “доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити”.
Відповідно до статті 6 Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних (28.01.1981, ратифікована 06.07.2010 р.), персональні дані, що стосуються, зокрема, здоров’я, не можуть піддаватися автоматизованій обробці, якщо внутрішнє законодавство не забезпечує відповідних гарантій.
Відтак, постає питання, яким чином Національна поліція, зокрема Департамент протидії наркозлочинності забезпечує захист персональних даних?
Відповідно до частини 3 статті 16 Закону України «Про захист персональних даних», що регулює порядок доступу до персональних даних, «суб’єкт відносин, пов’язаних з персональними даними, подає запит щодо доступу (далі — запит) до персональних даних володільцю персональних даних». Ключовим елементом у такому випадку є необхідність зазначення мети/правових підстав для запиту, оскільки лише за цими відомостями володілець зможе прийняти обґрунтоване рішення щодо доцільності передачі персональних даних. Ненадання у запиті відомостей щодо мети та підстав його направлення є формальною підставою для відмови у його задоволенні[2].
Так, у Законі йде мова про те, що «у запиті зазначаються (тобто запит поліції мав містити):
- прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи — заявника);
- найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи – заявника);
- прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
- відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
- перелік персональних даних, що запитуються;
- мета та/або правові підстави для запиту» (частина 4 статті 16 Закону України «Про захист персональних даних»).
У нашому випадку, у запиті на інформацію не зазначено:
- підтвердження того, що зміст запиту відповідає повноваженням юридичної особи;
- відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
- правові підстави для запиту (!).
Далі, стаття 6 Закону України “Про захист персональних даних” визначає загальні вимоги до обробки персональних даних. У ньому зазначається, що “мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних”.
З огляду на цю норму, слід поставити такі запитання: чи може дорученням Департаменту протидії наркозлочинності бути сформована мета обробки персональних даних? Чи було надано це доручення Наркологічному диспансеру, коли поліція давала запит на ці дані?!
ВИСНОВОК:
Отже, маючи справу з системною проблемою, можна виділити такі порушення та проблемні питання:
– запит вих. №196/40-ТУ/3-2016 від 19.05.2016 був поданий без належної правової аргументації, що не зобов’язує Наркологічний диспансер надавати запитувану інформацію;
– Національна поліція продовжує практику роботи старої міліції в частині безпідставного формування баз (банків) даних, куди заносяться відомості про осіб із порушенням законодавства про захист персональних даних;
– Оскільки поліція, зокрема Департамент протидії наркозлочинності не надали відомостей про базу (банк) даних та гарантії захисту персональних даних, що запитуються, відповідальність за розголошення таких даних буде нести як розпорядник, так і володілець бази даних (ст. 24 Закону України «Про захист персональних даних»). Тобто як поліція, так і наркологічний диспансер. Отже, надання такої інформації нанесе шкоду не тільки охоронюваним інтересам особи, а й керівництву наркодиспансеру, на який зазвичай, чиниться тиск з боку поліції.
Автори:
Уляна Шадська, керівник програми “Відритість правоохоронної системи”
Євген Крапивін, юрист, експерт Асоціації УМДПЛ
Корисні матеріали до теми:
- Боротьба з несанкціонованим доступом і незаконними операціями з обробки персональних даних (стаття) - http://police-access.info/2015/04/borotba-z-nesanktsionovanym-dostupom-i-nezakonnymy-operatsiyamy-z-obrobky-personalnyh-danyh/;
- Типовий порядок обробки персональних даних – http://www.ombudsman.gov.ua/ua/page/secretariat/docs/legislation/tipovij-poryadok-obrobki-personalnix-danix.html;
- Наказ про затвердження документів у сфері захисту персональних даних, зокрема порядок про обробки даних, що становлять ризик – http://zakon3.rada.gov.ua/laws/show/v1_02715-14#n215;
- База данных наркозависимых — то же, что и реестр всех рожениц, — Скала (стаття) – http://hromadskeradio.org/ru/programs/kyiv-donbas/baza-dannyh-narkozavisimyh-to-zhe-chto-i-reestr-vseh-rozhenic-skala#.V0Xp-zHodqo.facebook.
[1] Відповідно до статей 307, 309 Кримінального кодексу кримінально караним діянням є незаконне виробництво, виготовлення, придбання, зберігання, перевезення, пересилання чи збут наркотичних засобів, психотропних речовин або їх аналогів. У цьому переліку немає вживання, однак, зрозуміло, що особа перед вживанням купує такі речовини, виготовляє або просто зберігає, тобто вчиняє дії, за які потім притягається до кримінальної відповідальності. У випадку замісної підтримуючої терапії (ЗПТ) особа отримує речовину від лікаря, що не утворює склад злочину, передбачений цими статтями.
[2] Див. детальн. Бем М.В., Городиський І.М., Саттон Г., Родіоненко О.М. Захист персональних даних: Правове регулювання та практичні аспекти: науково-практичний посібник. – К.: К.І.С., 2015. – С. 151.
Дуже чітка і повна відповідь. Велике спасибі асоціації УМДПЛ та її фахівцям