2381: Що пропонується змінити у доступі до персональних даних

10 Липня 2020 14:00

%d0%91%d1%83%d1%80%d1%82%d0%bd%d0%b8%d0%ba2017

Аналіз законопроекту 2381 «Про внесення змін до деяких законів України у сфері доступу до публічної інформації щодо вдосконалення їх окремих положень» в частині, що стосуються доступу до персональних даних особи

Нині дійсно існує колізія щодо регулювання відносин щодо надання на запит інформації про особу, її персональних даних. Стаття 16 чинного Закону «Про захист персональних даних» містить положення, яке передбачає, що порядок доступу третіх осіб до персональних даних, які перебувають у володінні розпорядника публічної інформації, визначається Законом України «Про доступ до публічної інформації».

Втім, коли мова йде про доступ особи до своїх персональних даних (надання інформації про себе), то одразу два закони регулюють це питання:

Суб'єкт персональних даних має право… на доступ до своїх персональних даних (пункт третій частини другої статті 8 Закону «Про захист персональних даних»)

Кожна особа має право…  доступу до інформації про неї, яка збирається та зберігається… Розпорядники інформації, які володіють інформацією про особу, зобов'язані надавати її безперешкодно і безкоштовно на вимогу осіб, яких вона стосується, крім випадків, передбачених законом (стаття 10 Закону «Про доступ до публічної інформації»)

На практиці розпорядники найчастіше визначають Закон «Про захист персональних даних» спеціальним та відмовляють у наданні інформації на запити на тій підставі, що запит не оформлено відповідно до вимог цього закону, який у порівнянні із Законом «Про доступ до публічної інформації» передбачає додаткові реквізити, які запитувачу потрібно вказати у запиті. При цьому, розпорядники інформації не враховують, чи запитувались відкриті персональні дані, які повинні надаватись на запит будь-якої особи без обмежень. Це, в свою чергу, створює правову невизначеність та призводить до неправомірного втручання у право запитувача на отримання публічної інформації.

Запропоновані зміни цього законопроекту усувають вказану колізію. В обох законах закріплюються положення про те, що доступ до інформації про особу (своїх персональних даних та/або третіх осіб), що знаходиться у володінні розпорядника публічної інформації, здійснюється відповідно до Закону «Про доступ до публічної інформації».

Відповідно, доступ до персональних даних, які знаходяться у володінні інших суб’єктів (які не є розпорядниками у розумінні статті 13 Закону «Про доступ до публічної інформації»), здійснюється в порядку, визначеному Законом «Про захист персональних даних».

Таким чином, ключовим у даному випадку стає те, до кого надіслано запит. Якщо це один із суб’єктів, передбачених статтею 13 Закону «Про доступ до публічної інформації», відносини будуть регулюватись саме цим Законом. 

Іншим позитивним нововведенням є уточнення у вказаних вище трьох інформаційних законах визначення конфіденційної інформації, з якого можна зробити висновок, що:

      не всі персональні дані є конфіденційною інформацією (прикладом відкритих персональних даних є деякі відомості з декларацій посадових та службових осіб);

      до конфіденційної інформацію може бути віднесено самою особою, якої вона стосується, а також законодавством.

Не будемо зупинятись на всіх позитивних змінах, які пропонує цей законопроект, а зосередимось на тих положеннях, які можуть викликати проблеми регулювання на практиці і тому потребують доопрацювання.

Зміни до Закону «Про захист персональних даних»

1. Частину другу статті 14 Закону «Про захист персональних даних», що регулює випадки поширення персональних даних без згоди суб’єкта персональних даних, автори законопроекту пропонують викласти у такій редакції:

Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, у тому числі відповідно до Закону України «Про доступ до публічної інформації», і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

З цієї норми випливає, що поширення розпорядниками інформації в порядку Закону «Про доступ до публічної інформації» будь-яких персональних даних повинно здійснюватись лише в інтересах національної безпеки, економічного добробуту та прав людини. Проте таке положення не відповідає принципам цього Закону та не узгоджується з положеннями статті 32 Конституції України, яка забороняє збирання чи поширення без згоди особи лише конфіденційної інформації про неї. Такий підхід також суперечить міжнародним стандартам, практиці ЄСПЛ та стандартам захисту персональних даних.

Варто наголосити, що такі обмеження повинні стосуватись лише конфіденційних персональних даних. Деякі персональні дані є відкритою інформацією, наприклад, імена посадових осіб, що повинна надаватись на публічні запити без обмежень. І тим більше не з метою задоволення такого вузького переліку інтересів. Тому цю норму Закону «Про захист персональних даних» варто було б викласти так:

Поширення персональних даних, які є конфіденційною інформацією, без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, у тому числі відповідно до Закону України “Про доступ до публічної інформації”, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

Принагідно зазначимо, що Закон «Про захист персональних даних» також потребує оновлення деяких його положень. У частині першій статті 5 цього Закону передбачено, що «об’єктом захисту є персональні дані», з чого можна зробити висновок, що до всіх персональних даних встановлені однакові вимоги щодо їх обробки. У цьому Законі варто було б передбачити винятки, що стосуються відкритих персональних даних.

В той же час чинний Закон «Про доступ до публічної інформації» передбачає різний порядок доступу до відкритої інформації, в тому числі відкритих персональних даних (надається без обмежень), а також до обмеженої у доступі інформації, до якої можна віднести конфіденційні персональні дані (надання чи відмова у доступі до такої інформації вирішується шляхом проходження «трискладового тесту», передбаченого частиною другою статті 6 Закону «Про доступ до публічної інформації»).

2. Варто також звернути увагу, що у частині четвертій цієї ж статті 14 Закону «Про захист персональних даних» йдеться про те, що «сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону».

Схожі вимоги передбачені також частиною третьою статті 16 Закону «Про захист персональних даних»:

Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.

До них можна віднести вимоги щодо обробки персональних даних, їх захисту тощо. Існує ймовірність, що розпорядники інформації будуть відмовляти у доступі до інформації через те, що запитувач, який просить цю інформацію «не може забезпечити її захист».

Більше того, у випадку, коли персональні дані були поширені у порядку Закону «Про доступ до публічної інформації», покладання такого обов’язку на запитувача («сторона, якій передаються персональні дані») буде надмірним і суперечитиме духу цього Закону. Адже презюмується, що будь-яка інформація, надана в порядку Закону «Про доступ до публічної інформації» може бути використана запитувачем у будь-яких цілях. Навіть інформація з обмеженим доступом, яка надається на підставі застосування «трискладового тесту», може бути розголошена без згоди особи, якої вона стосується, адже суспільний інтерес в такій інформації переважає шкоду приватним інтересам.

Тому для уникнення неправильного трактування частину четверту статті 14, а також частину третю статті 16 Закону «Про захист персональних даних» варто доповнити нормою, що виключає обов’язок дотримуватись таких вимог, у випадку, коли персональні дані були поширені у порядку Закону «Про доступ до публічної інформації».

Зміни до Закону «Про доступ до публічної інформації»

3. У частині другій статті 7 Закону «Про доступ до публічної інформації» пропонується вказати, яка саме інформація не може бути віднесена до конфіденційної. Серед інших даних сюди віднесено також:

2) персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або місцевого самоврядування, посадових або службових повноважень, а також персональні дані, що стосуються освіти, трудової, громадської діяльності особи, яка претендує на зайняття зазначеної посади.

Враховуючи, що для зайняття певної посади законодавством можуть встановлюватись і інші вимоги, наприклад, відсутність судимості тощо, варто було б доповнити або виділити окремим пунктом цю норму та викласти у такій редакції:

2) персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або місцевого самоврядування, посадових або службових повноважень;

3) персональні дані особи, яка претендує на зайняття вказаної вище посади, в тому числі, що стосуються її освіти, трудової, громадської діяльності та інші дані, що пов’язані з дотриманням такою особою кваліфікаційних чи інших обов’язкових для займання цієї посади вимог.

Таке більш широке формулювання також відповідатиме судовій практиці, зокрема, Постанові Пленуму ВАСУ «Про практику застосування адміністративними судами законодавства про доступ до публічної інформації» № 10 від 29 вересня 2016 року, у п. 5.8 якої вказано, що у разі, якщо до посади, пов’язаної з виконанням функцій держави або органів місцевого самоврядування, встановлені кваліфікаційні чи інші обов’язкові для займання цієї посади вимоги, такі як освіта, досвід роботи, знання іноземної мови, відсутність судимості тощо, така інформація не є конфіденційною.

4. Статтю 19 Закону «Про доступ до публічної інформації», яка передбачає обов’язкові реквізити запиту на інформацію, пропонують доповнити таким положенням:

Якщо запит стосується надання інформації про себе, то запит повинен додатково містити підпис і реквізити документа, що посвідчує фізичну особу, яка подає запит (для запитувача – фізичної особи), або підпис і посаду, прізвище, ім'я та по батькові особи, яка засвідчує запит своїм підписом (для запитувача – юридичної особи).

Фактично можемо зробити висновок, що автори законопроекту ототожнюють «інформацію про себе» з «конфіденційною інформацією про себе». Ця норма по суті «перекочувала» із Закону «Про захист персональних даних», який і містив такі вимоги щодо ідентифікації особи запитувача шляхом зазначення реквізитів документа, що посвідчує особу. Мета такої вимоги – не допустити розголошення конфіденційної інформації про певну особу запитувачу, який назвався нею у запиті. Розпорядник повинен ідентифікувати, що надає конфіденційні дані саме тій особі, якої вони стосуються.

Тому у даному випадку варто звернути увагу на те, що йдеться саме про конфіденційну інформацію. Адже, як було зазначено вище, не всі персональні дані є обмеженою у доступі інформацією. Навпаки, деякі з них є відкритою інформацією, що повинна надаватись на публічні запити без обмежень. В такому випадку вимога щодо ідентифікації особи запитувача не відповідатиме принципам Закону «Про доступ до публічної інформації».

Проте, якщо говорити про запити на конфіденційну інформацію про особу, то вимога ідентифікації особи запитувача є виправданою. Тому вказану вище норму варто доповнити словом «конфіденційної»:

Якщо запит стосується надання конфіденційної інформації про себе, то запит повинен додатково містити підпис і реквізити документа, що посвідчує фізичну особу, яка подає запит (для запитувача – фізичної особи), або підпис і посаду, прізвище, ім'я та по батькові особи, яка засвідчує запит своїм підписом (для запитувача – юридичної особи).

Варто також звернути увагу, що у деяких випадках, навіть зазначення паспортних даних та проставлення підпису не є достатнім для ідентифікації особи запитувача. Йдеться про такі випадки:

a)  У розпорядника немає паспортних даних особи, з якими він міг би звірити дані, вказані у запиті на інформацію. Це стосується також і звірення підпису особи.

b) Особа змінила ім’я, отримала новий документ, що посвідчує особу. У розпорядника немає можливості перевірити нові дані.

Також існує ймовірність, що паспортні дані були отримані іншою особою, яка зазначивши їх у запиті, зможе отримати доступ до конфіденційної інформації про іншу особу. Ця проблема могла б бути вирішена шляхом надання інформації особисто в руки запитувачу при пред’явленні ним відповідних документів (надсилання запитувачем копії такого документу разом із запитом не вважаємо належним способом ідентифікації). Також конфіденційну інформацію можна було б надсилати у відповідь на електронний запит, посвідчений електронним підписом. Втім, такі способи отримання інформації можуть бути надто обтяжливими для більшості запитувачів. Тому питання надання такої інформації потребує ширшої експертної дискусії та напрацювання варіантів вирішення проблеми.

Окрім того, варто звернути увагу, що у випадку недотримання вимог щодо ідентифікації запитувача, у розпорядника буде підстава для відмови у задоволенні запиту, оскільки запитувачем «не дотримано вимог до запиту на інформацію» (пункт четвертий частини 1 статті 22 Закону «Про доступ до публічної інформації»).

Це суперечить логіці цього Закону, адже ставить такого запитувача у більш невигідне становище порівняно із запитувачем, який просить конфіденційну інформацію про іншу особу, а не про себе: у такому випадку розпорядник інформації зобов'язаний проводити трискладовий тест, надавати копію документа із вилученням обмеженої у доступі інформації, але він не має права відмовляти у задоволенні запиту через відсутність необхідних реквізитів запиту.

Тому для уникнення таких ситуацій пропонуємо врахувати ці зауваження та додатково зазначити, що у випадку, коли запитувач не ідентифікував себе належним чином, запит розглядається з урахуванням частини другої статті 6 цього Закону (тобто із застосуванням трискладового тесту).

Отже, щодо пропонованих змін до статті 19 Закону «Про доступ до публічної інформації» варто відмітити доцільність зазначення у запиті додаткових реквізитів у випадку, коли запитується конфіденційна інформація про себе. Проте щоб уникнути незаконного розголошення такої інформації, у цьому Законі варто також включити інший порядок надання відповіді із такою інформацією.

Зміни до Закону «Про інформацію»

5. Варто звернути увагу на необхідності доповнити частину другу статті 11 Закону «Про інформацію», що передбачають випадки поширення конфіденційної інформації про особу, положеннями, які відповідатимуть статті 7 Закону «Про доступ до публічної інформації»:

Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини, якщо зазначені інтереси в отриманні інформації переважають істотну шкоду, що може бути завдана особі розголошенням інформації. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження.

Підсумовуючи, можемо зазначити, що відповідно до запропонованих змін алгоритм надання розпорядником інформації чи документу, що містить персональні дані особи, у відповідь на запит виглядатиме так:

Наостанок варто відмітити кілька технічних неузгодженостей положень цього законопроекту.

Статтю 11 Закону «Про захист персональних даних», в якій йдеться про підстави обробки персональних даних, положенням такого змісту: «володільці персональних даних, які є розпорядниками публічної інформації, обробляють персональні дані з дотриманням положень Закону України «Про доступ до публічної інформації».

Втім, із змісту цього положення випливає, що воно стосується не підстав обробки персональних даних, а радше загальних вимог до їх обробки. Тому таку норму логічніше було б додати до статті 6 Закону «Про захист персональних даних».

У пояснювальній записці до цього законопроекту вказано, що у Законі «Про захист персональних даних» пропонують виключити статтю 5 щодо об’єктів захисту персональних даних як таку, що не повною мірою узгоджується із загальною концепцією захисту персональних даних. Проте, у самому законопроекті жодних змін щодо цієї статті не передбачено.

Окрім того, законопроект містить неактуальний текст частини першої статті 16 Закону «Про захист персональних даних» (зміни відбулись у грудні 2019 року).

 

Висовок

Деякі положення законопроекту №2183 від 05.11.2019 року усувають певні неузгодженості головних інформаційних законів. Зокрема це стосується співвідношення понять «конфіденційної інформації» та «інформації про особу (персональних даних)», а також випадків, коли така інформація може поширюватись і за яких умов. Також законопроектом врегульовано питання порядку доступу особи до інформації про себе.

Проте, деякі норми є нечіткими, а, отже, існує ймовірність їх неоднозначного трактування розпорядниками інформації, що, в свою чергу, може призвести до правової невизначеності і обмеження прав запитувачів на доступ до публічної інформації. Більшість таких норм стосується розмежування порядку доступу до відкритих персональних даних та персональних даних, які є конфіденційною інформацією. Ці недоліки законопроекту легко виправити уточнивши відповідні положення. Їх було детально описано у цьому матеріалі.

Найбільшою проблемою залишається питання надання особі конфіденційної інформації (персональних даних) про себе. У законопроекті пропонують ввести положення щодо ідентифікації особи запитувача (зазначення у запиті реквізитів документу, що посвідчує особу, а також підпису). Проте така ідентифікація не завжди буде достатнім способом пересвідчитись, що інформація надається саме тій особі, якої вона стосується. Шляхом вирішення цієї проблеми могло б бути закріплення Законі окремої процедури надання відповіді із такою інформацією.

Христина Буртник, юристка АО «Міллер», експертка з доступу до інформації, для «Доступу до правди»

 

Фото: SASHA_GULICH