ІНФОРМАЦІЯ ПРО ОСОБУ ТА ПЕРСОНАЛЬНІ ДАНІ
Розпочати варто звичайно із поняття інформації про особу. До такої інформації відноситься будь-які відомості, що стосується фізичної особи, як от біографічні дані, її вподобання (наприклад, улюблена книга чи колір), погляди тощо. Це дуже широкий обсяг інформації. Та чи є будь-яка інформація про фізичну особу її персональними даними?
Закон України «Про інформацію» ототожнює ці два поняття. У статті 11 цього Закону міститься таке визначення: «інформація про фізичну особу (персональні дані) – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована…». Аналогічне визначення персональних даних закріплено у статті 1 Закону «Про захист персональних даних»: «персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Проте у цьому Законі прямо не сказано, що вся інформація про особу – це її персональні дані.
Ключовим є розуміння того, яка особа є ідентифікованою, або такою, що може бути ідентифікована. Не виникає, як правило, питань щодо таких відомостей, як ім’я, адреса проживання, індивідуальний податковий номер. Ці дані окремо або в сукупності дають змогу володільцеві цих даних чітко ідентифікувати конкретну особу. Ситуація є трохи складнішою з даними, що ідентифікують особу опосередковано. Наприклад, ви купуєте в магазині певні продукти і використовуєте дисконтну картку. Сама по собі інформація про куплені продукти не є персональними даними, хоча і стосуються фізичної особи. Адже будь-хто міг купити такі ж самі продукти в цьому або іншому магазині.
Та якщо ви купили і використали дисконтну картку – це дає змогу продавцеві ідентифікувати конкретну особу, а отже ваша історія покупок у поєднанні з інформацією про картку стає персональними даними. Так, ми можемо говорити, що персональними даними будуть відомості про номер картки, ім’я її власника, дата і час покупки, її вартість, а також інформація про куплені речі. І ці дані будуть захищатись відповідно до законодавства та повинні збиратись із законною метою.
Тобто, якщо певна інформація дає змогу володільцю виділити із групи людей конкретну особу, то її можна вважати персональними даними. Тому, дані, які самі по собі не є персональними даними, за певних обставин (коли вони дають змогу ідентифікувати особу) ними стають.
Проте, якщо сукупність певних даних не дає змогу ідентифікувати особу, то їх обробка не захищається Законом «Про захист персональних даних». Хочемо звернути увагу, що така ж позиція викладена і в Регламенті Європейського Парламенту і Ради (ЄС) 2016/679 – головному документі ЄС, що регулює захист прав фізичних осіб під час обробки персональних даних. Це, зокрема стосується і даних, які були деперсоналізовані (стали анонімними).
Так, у пункті 26 цього Регламенту сказано, що «принципи захисту даних, відповідно, не можна застосовувати до анонімної інформації, зокрема інформації, що не стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати, або персональних даних, що стали анонімними у такий спосіб, що суб’єкта даних неможливо чи більше неможливо ідентифікувати. Таким чином цей Регламент не стосується опрацювання такої анонімної інформації, у тому числі, для статистичних або дослідницьких цілей».
ПЕРСОНАЛЬНІ ДАНІ – ЦЕ ІНФОРМАЦІЯ ПРО ФІЗИЧНУ ОСОБУ. НЕ ВСЯ ІНФОРМАЦІЯ ПРО ОСОБУ Є ЇЇ ПЕРСОНАЛЬНИМИ ДАНИМИ. ВСЕ ЗАЛЕЖИТЬ ВІД ТОГО, ЧИ ДАЄ ЗМОГУ ЦЯ ІНФОРМАЦІЯ ІДЕНТИФІКУВАТИ ОСОБУ.
ПРОБЛЕМИ ВИЗНАЧЕННЯ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ
І персональні дані, і конфіденційна інформація стосуються фізичних осіб. Та ці поняття не є тотожними.
Відповідно до Закону «Про доступ до публічної інформації» конфіденційною є інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов. Схоже визначення нам дає Закон «Про інформацію» у статті 21, а саме: «конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом».
Одразу зазначимо, що обидва закони вказують, що тільки особи приватного права можуть вирішувати, яка інформація про них є конфіденційною, а яка відкритою. Однак існує багато прикладів, коли не особа, а закон відносить якийсь вид інформації до конфіденційної, тобто законом за замовченням встановлено режим “конфіденційно” Наприклад, Закон «Про інформацію» вказує, що до конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата і місце народження. Закон «Про державну статистику» містить положення, згідно з яким до конфіденційної інформації віднесено первинні дані, отримані органами державної статистики від респондентів під час проведення статистичних спостережень, а також адміністративні дані щодо респондентів, отримані органами державної статистики від органів, що займаються діяльністю, пов’язаною із збиранням та використанням адміністративних даних. І такі приклади у законодавстві не поодинокі.
Експерти наголошували, що «ймовірно, законодавець виходив з того, що в більшості випадків фізична особа не вчинятиме активних дій з обмеження доступу інформації про себе (як це вимагається у визначенні, що міститься у Законі «Про доступ до публічної інформації»: «інформація, доступ до якої обмежено фізичною або юридичною особою»). Таким чином, держава надала захист від розголошення певній, здебільшого чутливій, інформації навіть до обмеження доступу до неї фізичною чи юридичною особою, тим самим припускаючи бажання особи обмежити доступ до такої інформації через її «чутливість». При цьому в самої особи зберігається право прийняти рішення про розкриття цієї інформації та не обмежувати надалі доступ до неї» (Науково-практичний коментар до Закону України «Про доступ до публічної інформації»/за заг. ред. Д Котляра – К., 2012 – с. 122, 126).
Варто також наголосити, що не вся інформація за бажанням особи може бути віднесена до конфіденційної. Є багато випадків, коли різними законами передбачено відкритість певної інформації, наприклад, про займану посаду і робочі контакти, розпорядження бюджетними коштами, відомості із відкритих реєстрів тощо. Отже, законами може бути заборонено будь-кому обмежувати доступ до певної інформації. Фактично особа, якої стосується інформація, не має права визначати режим доступу до такої інформації.
Тому, можемо зробити висновок, що:
- конфіденційною є інформація про фізичну або юридичну особу, крім суб’єктів владних повноважень, яка обмежена у доступі цією особою, а також попередньо обмежена законодавством до моменту, поки особа не відкриє таку інформацію за власним бажанням
- така інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом
- законодавством може бути заборонено віднесення певної інформації до обмеженої у доступі, зокрема і конфіденційної
ПЕРСОНАЛЬНІ ДАНІ ТА КОНФІДЕНЦІЙНА ІНФОРМАЦІЯ
Проте повернемось до співвідношення понять конфіденційної інформації та персональних даних.
Перше, що важливо запам’ятати персональні дані – це завжди інформація про фізичну особу, при чому лише живу особу. Відповідно до статей 24 і 25 Цивільного кодексу України людина як учасник цивільних відносин вважається фізичною особою. Її цивільна правоздатність виникає в момент народження і припиняється в момент смерті. Тому, враховуючи положення Закону «Про захист персональних даних» і Цивільного кодексу, інформація про померлу особу не є її персональними даними.
Однак, до конфіденційної може відноситись також інформація про юридичну особу, наприклад, “комерційна таємниця”. Відповідно до статті 505 Цивільного кодексу України це можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру (за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці) і щодо яких ця юридична особа вжила заходи щодо збереження секретності. До конфіденційної юридичною особою може бути віднесена також і інша інформація.
В той же час законодавством може бути заборонено віднесення певних персональних даних фізичної особи до конфіденційної інформації. Відкритою є, наприклад, така інформація:
- прізвища, імена, по батькові фізичних осіб, які отримали бюджетні кошти, отримали у володіння, користування чи розпорядження державне та/або комунальне майно (частина п’ята статті 6 Закону «Про доступ до публічної інформації»)
- персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень (частина друга статті 5 Закону «Про захист персональних даних»)
В обох випадках прізвища, імена, по батькові фізичних осіб, які отримали бюджетні кошти або займають певну посаду, є їх персональними даними, адже ці відомості дають змогу ідентифікувати конкретну особу. Проте будь-які дії із відкритими персональними даними, наприклад, збирання, поширення тощо, не підпадають під регулювання Закону «Про захист персональних даних». І хоча це прямо не закріплено у цьому Законі, проте таке розуміння логічно випливає із його положень, адже всі дії щодо обробки (збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем) спрямовані на захист саме тих персональних даних, які є конфіденційною інформацією. Інакше, на володільця покладався б надмірний тягар обов’язків (наприклад, повідомляти суб’єкта персональних даних про зміну, видалення чи знищення його персональних даних відповідно до статті 21 Закону «Про захист персональних даних»), які неможливо було б виконати на практиці. Це фактично паралізувало б роботу будь-яких володільців таких даних.
Ці дані є відкритими у доступі відповідно до законодавства і не можуть бути віднесені до конфіденційної навіть за бажанням відповідної особи. Будь-хто може обробляти їх без обмежень.
Варто також додати, що відповідно до судової практики до конфіденційної не може бути віднесено і іншу інформацію про посадових чи службових осіб (наприклад, дані про освіту, досвід роботи, знання іноземної мови, відсутність судимості тощо), якщо до посади, пов’язаної з виконанням функцій держави або органів місцевого самоврядування, встановлені відповідні кваліфікаційні чи інші обов’язкові для займання цієї посади вимоги (п. 5.8 Постанови Пленуму ВАСУ № 10 від 29.09.2016р. «Про практику застосування адміністративними судами законодавства про доступ до публічної інформації»).
НЕ ВСІ ПЕРСОНАЛЬНІ ДАНІ Є КОНФІДЕНЦІЙНОЮ ІНФОРМАЦІЄЮ. У ВИПАДКАХ, ВСТАНОВЛЕНИХ ЗАКОНОДАВСТВОМ, ДЕЯКІ ПЕРСОНАЛЬНІ ДАНІ Є ВІДКРИТОЮ ІНФОРМАЦІЄЮ. ВОДНАЧАС КОНФІДЕНЦІЙНА ІНФОРМАЦІЯ ВКЛЮЧАЄ В СЕБЕ НЕ ТІЛЬКИ ПЕРСОНАЛЬНІ ДАНІ.