Політичні сили використовують персональні дані виборців на виборах. Мета збору цих даних у партій може бути як легальною, так і протиправною. Як виборцям захиститись від противправного використання інформації про них? На що треба звертати увагу? Експерти Громадянської мережі ОПОРА підготували юридичний експлейнер на цю тему.
Опис проблеми
Цифровізація світу та застосування глобальної мережі «Інтернет» дозволили поширювати інформацію максимально просто та швидко. Таке поширення часто може обмежувати рівень «приватності» особистого життя внаслідок незаконного використання персональних даних.
У ч. 2 ст. 34 Конституції України гарантовано право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб – на свій вибір. Водночас ч. 2 ст. 32 Основного закону встановлено заборону на збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини.
Зацікавленість кандидатів та організацій партій у збиранні персональних даних може бути обумовлена різними цілями – від цілком легальних (таких як формування складу виборчих комісій або офіційних спостерігачів) до протиправних (наприклад, вчинення підкупу виборців чи застосування так званої технології «каруселі»). Як політичні сили використовували персональні дані на парламентських виборах 2019 року можна дізнатись у спільному дослідженні Громадянської мережі ОПОРА з Лабораторією Цифрової Безпеки «Використання персональних даних виборців під час парламентських виборів в Україні 2019 року: дослідження про цифровий вплив поза межами дезінформації». У свою чергу учасники ініціативи «OpenUp Ukraine» провели дослідження судової практики за результатами розгляду справ щодо захисту персональних даних. Проте місцеві вибори 2020 року не стали виключенням, – як приклад, на Хмельниччині у наметах двох політичних сил збирали персональні дані виборців.
Пояснення
Відповідно до ст. 2 Закону України «Про захист персональних даних» (далі – Закон) персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Вичерпного переліку того, які відомості є персональними даними, законодавство не містить. Проте є дві групи даних, які підлягають особливому захисту.
Перша – це так звані «чутливі дані». До них прийнято відносити персональні дані, щодо яких у ст. 7 Закону встановлено особливі вимоги до обробки, зокрема це дані про:
- расове або етнічне походження;
- політичні, релігійні або світоглядні переконання;
- членство в політичних партіях та професійних спілках;
- засудження до кримінального покарання;
- здоров’я;
- статеве життя;
- біометричні або генетичні дані.
Обробка «чутливих» персональних даних забороняється, окрім випадків, передбачених ч. 2 ст. 7 Закону (наприклад, якщо вона здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних або необхідна для обґрунтування, задоволення або захисту правової вимоги).
Друга – це конфіденційна інформація про особу. Перелік видів такої інформації надано у ч. 2 ст. 11 Закону України «Про інформацію», зокрема дані про її:
- національність;
- освіту;
- сімейний стан;
- релігійні переконання;
- стан здоров'я;
- адресу;
- дату і місце народження.
Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах:
- національної безпеки;
- економічного добробуту;
- захисту прав людини.
Конфіденційна інформація віднесена ст. 21 Закону України «Про інформацію» до інформації з обмеженим доступом, тому може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом (присутні певні виключення у ч. 4 ст. 21 щодо відомостей, які не можуть бути віднесені до інформації з обмеженим доступом, як приклад, відомості про факти порушення прав і свобод людини). Окрім цього, згідно з абз. 2 ч. 2 ст. 11 Закону України «Про інформацію» кожному забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законом.
Таким чином законодавство передбачає два «типи» інформації про особу – персональні дані (більш широка категорія) та конфіденційна інформація (менш широка категорія, яка передбачає додаткові обмеження щодо її «незаконної обробки», у тому числі кримінальну відповідальність, про що зазначено нижче).
Закон України «Про захист персональних даних» встановлює порядок обробки персональних даних, під яким розуміють не лише їх збирання, а й такі дії чи сукупність дій, як реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
За загальним правилом обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних. Водночас Закон містить окремі виключення щодо підстав для обробки (у ч. 7 ст. 6, ч. 1 ст. 11, ч. 2 ст. 25 та інші). Як приклад, дозволяється обробка без згоди до часу, коли отримання згоди стане можливим, якщо вона є необхідною для захисту життєво важливих інтересів суб’єкта, також дозволяється обробка персональних даних без застосування положень Закону, якщо така обробка здійснюється виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів. Проте така обробка допустима лише як виключення за наявності передбачених законом підстав, які переважно не виникають під час виборчого процесу в ході здійснення агітаційної діяльності.
Відповідно до ст. 2 Закону згода суб’єкта персональних даних – це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Як правило, це окрема графа у бланку, який використовується для збору персональних даних, де особа повинна шляхом підпису підтвердити свою згоду на обробку. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки.
Отже, за загальним правилом передумовою обробки персональних даних є:
- формулювання її мети;
- письмова згода особи або проставлення відмітки під час реєстрації в інформаційно-телекомунікаційній системі.
Окрім цього, наказом Уповноваженого Верховної Ради України з прав людини (далі – Уповноважений) від 08.01.2014 № 1/02-14 визначено перелік персональних даних, що становить особливий ризик для прав і свобод суб’єктів, зокрема про:
- расове, етнічне та національне походження;
- політичні, релігійні або світоглядні переконання;
- членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
- стан здоров’я;
- статеве життя;
- біометричні дані;
- генетичні дані;
- притягнення до адміністративної чи кримінальної відповідальності;
- застосування щодо особи заходів в рамках досудового розслідування;
- вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;
- вчинення щодо особи тих чи інших видів насильства;
- місцеперебування та/або шляхи пересування особи.
Володілець персональних даних зобов’язаний повідомити Уповноваженого про здійснення будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод (порядок повідомлення визначено наказом Уповноваженого від 08.01.2014 № 1/02-14).
Варто також звернути увагу, що ст. 23 Закону наділяє Уповноваженого Верховної Ради України з прав людини достатньо широкими повноваженнями у сфері захисту персональних даних, ефективність здійснення яких могла би бути кращою. Серед іншого, це такі повноваження, як: проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних, отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом, затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених Законом тощо.
Дії виборців
Перш за все виборцям варто усвідомлювати, що збирання персональних даних у різного роду агітаційних наметах, під час концертів, у мережі інтернет чи в інший спосіб без їх згоди та визначення мети обробки викликає серйозні сумніви стосовно їх подальшого поширення, використання та захисту, – такі дані можуть бути розповсюджені серед невизначеного кола осіб, продані у формі різного роду баз даних (наприклад, для маркетингових цілей) або, що гірше, використовуватись під час спроб вчинення кримінальних правопорушень, таких як підкуп виборців або перешкоджання здійсненню виборчого права.
Тому рекомендуємо виборцям, перш ніж надавати свої персональні дані, переконатись у наявності відмітки про згоду на обробку, запитати про цілі (мету) обробки та отримати інформацію (контактні дані) суб’єктів, які намагаються зібрати персональні дані. Якщо виборці вважають, за під час обробки персональних даних було порушено порядок їх захисту, що призвело до незаконного доступу до них або порушення інших прав виборця, – повідомити уповноважених осіб секретаріату Уповноваженого або представників Уповноваженого щодо вчинення адміністративного правопорушення, передбаченого ч. 4 ст. 188-39 КУпАП.
Дії кандидатів
Кандидати повинні розуміти, що вони можуть збирати персональні дані виключно у порядку, визначеному законом. Обов’язковим є отримання згоди особи на обробку персональних даних відповідно до встановленої мети, яка також повинна бути зазначена та не суперечити законодавству.
Відповідно до п. 3 Роз'яснення Уповноваженого до Типового порядку обробки персональних даних від 08.01.2014, для того, щоб зробити свідомий вибір – давати чи не давати згоду на обробку персональних даних – особа до надання згоди повинна мати відповіді на такі питання:
- хто оброблятиме її персональні дані (назва володільця персональних даних, його адреса, контактні телефони тощо)?
- з якою метою оброблятимуться персональні дані (мета має бути сформульована чітко та зрозуміло)?
- які персональні дані будуть оброблятися (конкретний вичерпний перелік персональних даних особи, який планується обробляти)?
- які дії з персональними даними передбачатиме їх обробка (збір, зберігання, передача, оприлюднення, знеособлення тощо)?
- хто є розпорядником персональних даних?
- які права і повноваження розпорядника щодо обробки персональних даних?
- кому можуть бути передані персональні дані, з якою метою та на яких підставах?
- скільки часу персональні дані будуть зберігатися у володільця?
- на яких умовах особа може відкликати згоду на обробку персональних даних та які наслідки такої дії?
- інші права, визначені статтею 8 Закону.
Проте навіть законно отримавши такі дані (було надано згоду та визначено мету, дотримано інші вимоги законодавства), на кандидата лягатиме обов’язок щодо їх законного використання для визначених цілей та створення умов для захисту. Стосовно обробки персональних даних, які становлять особливий ризик для прав і свобод, необхідно повідомляти Уповноваженого у порядку, визначеному його наказом від 08.01.2014 № 1/02-14.
Відповідальність
За недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, встановлена адміністративна відповідальність у ч. 4 ст. 188-39 КУпАП.
Щодо конфіденційної інформації про особу – за її незаконне збирання, зберігання, використання, знищення, поширення або незаконну зміну передбачена кримінальна відповідальність у ч. 1 ст. 182 КК України. Якщо такі дії вчинені повторно або заподіяли істотну шкоду (якщо вона полягає у заподіянні матеріальних збитків, то це шкода у 1700 грн. і більше) охоронюваним законом правам, свободам та інтересам особи, – відповідальність настає за ч. 2 ст. 182 КК України.