Ігор Розкладай, юрист Інституту Медіа Права

1. Захист персональних даних: український аспект Ігор Розкладай, Інститут Медіа Права Personal data protection: Ukrainian aspect Igor Rozkładaj, Media Law Institute

10. Закон про доступ до публічної інформації (2011) Стаття 6. Публічна інформація з обмеженим доступом 2. Обмеження доступу до інформації здійснюється відповідно до закону при дотриманні сукупності таких вимог: 1) виключно в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно , або для підтримання авторитету і неупередженості правосуддя; 2) розголошення інформації може завдати істотної шкоди цим інтересам; 3) шкода від оприлюднення такої інформації переважає суспільний інтерес в її отриманні. 6. Не належать до інформації з обмеженим доступом декларації про доходи осіб та членів їхніх сімей, які: 1) претендують на зайняття чи займають виборну посаду в органах влади; 2) обіймають посаду державного службовця, службовця органу місцевого самоврядування першої або другої категорії. Трискладовий тест Публічні особи

11. Закон про інформацію (2011) Закон про доступ до публічної інформації (2011) Закон про захист персональних даних (2011) Загальний Загальний Спеціальний Спеціальний Загальні vs. спеціальні

12. Персональні дані персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована; Об'єкт регулювання Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. a) термін « персональні дані » означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі – суб’єкт даних); закони Конвенція Польща

13. Персональні дані персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована; Об'єкт регулювання До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження. ст.11 закону про інформацію (2011)

14. Предмет регулювання Обробка персональних даних Автоматизована система ІС/АС + картотека Автоматизована система Інформаційна (автоматизована) система ПД Картотека ПД Стаття 1. Сфера дії Закону Цей Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки. База персональних даних

15. Інформаційна (автоматизована) система ПД інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів; ЗУ «Про захист інформації в інформаційно-телекомунікаційних системах»

16. БАЗА ПД Іменована сукупність Упорядковані ПД Е-форма/ картотека Відсутність назви/упорядкованості – не база?!

17. Обробка ПД Чітко сформульована мета Ненадмірність ПД Точність та актуальність ПД Строковість збергіання ПД Конкретні і законні цілі

18. Обробка ПД Не допускається обробка ПД без згоди суб'єкта ПД крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини Допускається обробка ПД Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згперсональних даних в історичних, статистичних чи наукових ціляходи стане можливим. Не допускається обробка ПД без знеособлення в історичних, статистичних чи наукових цілях

20. Предмет регулювання Обробка персональних даних Автоматизована система ІС/АС + картотека Автоматизована система Інформаційна (автоматизована) система ПД Картотека ПД Стаття 1. Сфера дії Закону Цей Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки. База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних

22. Закон про захист персональних даних (2011) Журналісти (професійні та службові обов'язки) Фізичні особи (непрофесійні особисті або побутові потреби) ЗМІ (у т.ч. редакції) Органи державної влади та органи місцевого самоврядування Юридичні особи Фізичні особи - СПД Професійні творчі працівники Суб'єкти правовідносин

23. Професійні творчі працівники Журналісти Журналістом редакції друкованого засобу масової інформації відповідно до цього Закону є творчий працівник, який професійно збирає, одержує, створює і займається підготовкою інформації... преса телерадіожурналіст - штатний або позаштатний творчий працівник телерадіоорганізації, який професійно збирає, одержує, створює і готує інформацію для розповсюдження; ТБ&Р професійний творчий праgцівник - особа, яка провадить творчу діяльність на професійній основі, результатом якої є створення або інтерпретація творів у сфері культури та мистецтва, публічно представляє такі твори на виставках, шляхом публікації, сценічного виконання, кіно-, теле-, відеопоказу тощо та/або є членом творчої спілки, та/або має державні нагороди за діяльність у сфері культури і мистецтва. Закон України «Про професійних творчих працівників та творчі спілки» Закон України «Про культуру»

24. Журналісти Телебачення/радіо Преса Інформаційні аґенства Член профспілки Інтернет-ЗМІ, якщо не ІА Професійні блоґери Самозайняті (фрілансери) ? Суб'єкти правовідносин

25. Публічні особи Закон про захист персональних даних Стаття 6 6. Не належать до інформації з обмеженим доступом декларації про доходи осіб та членів їхніх сімей, які: 1) претендують на зайняття чи займають виборну посаду в органах влади; 2) обіймають посаду державного службовця, службовця органу місцевого самоврядування першої або другої категорії. Претендує ― виборні посади, це не лише пряме народоволевиявлення Закон про доступ до публічної інформації Стаття 5. Об'єкти захисту 1. Об'єктами захисту є персональні дані, які обробляються в базах персональних даних. 2.. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом. 3. Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом. 4. Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії , не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.

27. Фізичні особи Особисті непрофесійні й побутові потреби Професійні потреби ? Форуми/чати/сайти з реєстрацією Публічна генеалогія Суб'єкти правовідносин

28. Володілець БД Розпорядник БД Треті особи Державна служба захисту ПД Інші органи Суб'єкт ПД Суб'єкти правовідносин Омбудсмен

29. Володілець БД Розпорядник БД Третя особа Суб'єкт ПД Суб'єкти правовідносин фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом; фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані; будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону ст. 1

32. Суб'єкт ПД ех-Суб'єкти ПД Живі особи Померлі Закон України « Про державну реєстрацію актів цивільного стану »: інформація, що міститься в актовому записі цивільного стану, є конфіденційною і не підлягає розголошенню» (ч.3 ст.9) «порядок, умови і строки зберігання книг державної реєстрації актів цивільного стану і метричних книг в архівах відділів державної реєстрації актів цивільного стану та порядок передачі цих книг до державного архіву встановлюються центральним органом виконавчої влади у сфері державної реєстрації актів цивільного стану (Мін'юст) за погодженням із центральним органом виконавчої влади у сфері архівної справи і діловодства (Державна архівна служба України) , (ч. 4 ст. 25) Наказ Мін’юсту «Про затвердження Умов зберігання книг реєстрації актів цивільного стану і метричних книг у відділах реєстрації актів цивільного стану та порядку передачі цих книг на зберігання до державних архівів, Переліку документів відділів реєстрації актів цивільного стану зі строками їх зберігання» №94/5 від 04.11.2002. Книги реєстрації актів цивільного стану і метричні книги зберігаються у відділах реєстрації актів цивільного стану впродовж 75 років з часу їх складання.

33. Надання згоди згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки; (ст.1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних (ст.7) 1. Підставами виникнення права на використання персональних даних є: 1) згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних; (ст.11) 1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних. (ст. 14) 1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону. (ст.16)

34. Е-форма згоди Усна форма Документована форма Письмова згода Е-форма Простий підпис Електронний цифровий підпис

35. Е-форма згоди Простий електронний підпис Електронний цифровий підпис Електронний підпис є обов'язковим реквізитом електронного документа, який використовується для ідентифікації автора та/або підписувача електронного документа іншими суб'єктами електронного Документообігу Закон про електронні документи та електронний документообіг Стаття 7. Оригінал електронного документа Оригіналом електронного документа вважається електронний примірник документа з обов'язковими реквізитами, у тому числі з електронним цифровим підписом автора. електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних; електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа Закон про електронний цифровий підпис Дія цього Закону не поширюється на відносини, що виникають під час використання інших видів електронного підпису, в тому числі переведеного у цифрову форму зображення власноручного підпису.

36. Захист ПД: ТЗІ? Органи влади ТЗІ Володільці баз ПД ФО-СПД, у т.ч. лікарі, адвокати, нотаріуси Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством. (Ст. 6 закону про захист інформації в інформаційно-телекомунікаційних сстемах) ДСТСЗІ

37. Строки доступу Закон про доступ до публічної інформації (2011) 48 годин 20 робочих днів 5 робочих днів 5 днів на сповіщення 1 місяць 10 днів на розгляд прийнятності Закон про захист персональних даних (2011) + відсрочка для 3х осіб

38. Регулятор Україна Польща Уповноважений державний орган з питань захисту персональних даних - центральний орган виконавчої влади, до повноважень якого належить захист персональних даних, що утворюється відповідно до законодавства. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej „Generalnym Inspektorem”. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu Generalny Inspektor nie może należeć do partii politycznej, związku zawodowe- go ani prowadzić działalności publicznej niedającej się pogodzić z godnością je- go urzędu. КМУ

39. Санкції проект Закону України «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних», №7355. Проект пропонує доповнити законодавство кількома адміністративними і кримінальним статтями, якими буде встановлено відповідальність від 200–300 до 400-500 неоподатковуваних мінімумів доходів громадян, а на посадових осіб – до 1000 н.м.д.г. за ухиляння від реєстрації, порушення порядку доступу, неповідомлення про зміну відомостей органу та суб’єкта. За порушення встановлених законодавством вимог щодо захисту інформації про особу фізична особа може сплатити 800–1000 н.м.д.г., а посадова особа – 1000–2000 н.м.д.г. Якщо спотворення призвело до значної шкоди, санкція може становити 800–2000 н.м.д.г., або виправні роботи від 2 до 4 років, або арешт на 6 міс, або обмеженням волі на строк до двох років. За умисне порушення вищезгаданих вимог особа сплатить штраф у розмірі 500–1000 н.м.д.г., або її буде засуджено до 2 років виправних робіт, або її буде покарано тримісячним арештом.