Про захист персональних даних при поширенні інформації про осіб, що повернулися з російського полону.
Відповідно до статті 101 Конституції України постійний парламентський контроль за додержанням конституційних прав і свобод людини і громадянина здійснює Уповноважений Верховної Ради України з прав людини (далі – Уповноважений). Статтями 22, 23 Закону України «Про захист персональних даних» (далі – Закон) Уповноваженому надані повноваження щодо парламентського контролю за додержанням законодавства про захист персональних даних. Під час здійснення парламентського контролю за додержанням законодавства про захист персональних даних виявляються випадки поширення в мережі Інтернет персональних даних осіб, які звільнені з полону. Так, окрім опублікування фото виявляються випадки оприлюднення надмірної кількості інформації про таких осіб, зокрема, ПІБ, адреси проживання, подробиць перебування у полоні, інформації про стан здоров’я, відомостей про родинні зв’язки тощо, без їх поінформованої згоди. З метою захисту прав осіб, що повернулися з полону, прошу врахувати у роботі таке. Згідно зі статтею 8 Конвенції про захист прав людини і основоположних свобод (1950 р.) кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров'я чи моралі або для захисту прав і свобод інших осіб. Також згідно зі статтею 1 Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних від 28 січня 1981 року (далі – Конвенція) метою цієї Конвенції є забезпечення на території кожної Сторони для кожної особи, незалежно від її громадянства або місця проживання, дотримання її прав й основоположних свобод, зокрема її права на недоторканість приватного 2 життя, у зв'язку з автоматизованою обробкою персональних даних, що її стосуються. Відповідно до статті 5 Конвенції персональні дані, що піддаються автоматизованій обробці, повинні: a) отримуватися та оброблятися сумлінно та законно; b) зберігатися для визначених і законних цілей та не використовуватися в спосіб, не сумісний із цими цілями; c) бути адекватними, відповідними та ненадмірними стосовно цілей, для яких вони зберігаються; d) бути точними та в разі необхідності оновлюватися; e) зберігатись у формі, яка дозволяє ідентифікацію суб'єктів даних не довше, ніж це необхідно для мети, для якої такі дані зберігаються. Статтею 32 Конституції України передбачено, що ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Відповідно до Рішення Конституційного Суду України від 20.01.2012 № 2-рп/2012, інформація про особисте та сімейне життя особи (персональні дані про неї) – це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім’ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Також, Конституційний Суд України вважає, що перелік даних про особу, які визнаються як конфіденційна інформація, не є вичерпним. Статтею 6 Закону передбачено, що мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених 3 за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Згідно зі статтею 8 Закону особисті немайнові права на персональні дані, які має кожна фізична особа, є невід’ємними і непорушними. Суб’єкт персональних даних має право, зокрема: знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом; пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних; на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи. При цьому частинами першою і другою статті 14 Закону передбачено, що поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту, прав людини та для проведення Всеукраїнського перепису населення. Відповідно до статті 24 Закону володілець персональних даних зобов’язаний забезпечити захист персональних даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до них. Згідно з частиною третьою статті 10 Закону використання персональних даних працівниками суб’єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, крім випадків, передбачених законом. Необхідно зазначити, що поширення персональних даних осіб, які повернулись з полону може спричинити невиправдане втручання у їх особисте і сімейне життя, серйозну загрозу особистій безпеці таких осіб, вчинення протиправних дій проти їх майнових та особистих прав (вимагання, погрози, шахрайські дії тощо). Звертаю увагу на такі ризики поширення персональних даних осіб звільнених з полону: 1. Безпекові ризики. Розкриття даних про місце проживання та особисту інформацію створює пряму загрозу для їхньої особистої безпеки, здоров’я та життя. 4 2. Ризики цифрової ідентифікації та переслідування. Сучасні технології, зокрема штучного інтелекту, дозволяють ідентифікувати особу навіть за мінімальним набором даних. У випадку з колишніми військовополоненими це означає, що країна-агресор може використовувати навіть обмежені дані для відстеження їхнього місцезнаходження, аналізу соціальних зв’язків та планування потенційних протиправних дій. 3. Ризики шахрайства та соціальної інженерії. Персональні дані можуть бути використані для створення фейкових сторінок в мережі Інтернет, дзвінків рідним від імені «благодійних фондів», організації зборів коштів від імені звільненої з полону особи, маніпулювати родичами та близькими для отримання фінансової вигоди. 4. Психологічні ризики та наслідки для реінтеграції. Особи, що повернулись з полону, перебувають у вразливому психологічному стані. Небажане висвітлення їхніх персональних даних, історій полону та страждань може спричинити додаткову психологічну травму та ускладнити процес реабілітації. Також поширення персональних даних може спричинити проблеми з працевлаштуванням через доступність чутливої інформації для потенційних роботодавців. 5. Ризики ідентифікації членів сім’ї військовослужбовців. Публікація персональних даних про членів сімей звільнених з полону осіб розширює коло потенційних жертв протиправних дій, що також суперечить принципам захисту персональних даних. Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом. Так, за порушення законодавства про захист персональних даних передбачено адміністративну відповідальність за статтею 188-39 Кодексу України про адміністративні правопорушення. Також за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу передбачена кримінальна відповідальність за частиною першою статті 182 Кримінального кодексу України (Порушення недоторканності приватного життя). Крім того, право на повагу до гідності та честі (стаття 297 Цивільного кодексу України), право на особисте життя та його таємницю (стаття 301 Цивільного кодексу України) віднесено до особистих немайнових прав, що забезпечують соціальне буття фізичної особи. Таким чином особа, особисте немайнове право якої було порушено, може звернутися у встановленому законом порядку до суду та відшкодувати завдану шкоду. Таким чином, для запобігання порушення законодавства та забезпечення безпеки звільнених з полону осіб, прошу дотримуватись наступних рекомендацій: 1. При інформуванні про повернення осіб з полону обмежуватись загальною інформацією (кількість звільнених осіб, область повернення, загальна інформація про процес обміну), без зазначення персональних даних. 5 2. Публікувати персональні дані колишніх військовополонених (ПІБ, фото, місце проживання, військова частина тощо) виключно за наявності їх письмової згоди, оформленої відповідно до вимог статті 2 Закону України «Про захист персональних даних». У разі відкликання такої згоди – невідкладно видаляти поширену інформацію. 3. Категорично уникати публікації наступних категорій персональних даних: точне місце проживання або перебування; дані про сім’ю та близьких родичів; інформація про стан здоров’я та психологічний стан; подробиці перебування в полоні; точні дати та місця служби, полону та звільнення. 4. У разі необхідності, проводити попередні консультаціїз представниками безпекових служб України перед публікацією інформації про повернення полонених. 5. Провести додаткові інструктажі для працівників прес-служб та інформаційних відділів щодо правил висвітлення питань, пов’язаних із поверненням військовополонених. 6. Визначити відповідальну особу, яка буде здійснювати контроль за дотриманням вимог законодавства при публікації інформації про звільнених з полону осіб. 7. Ознайомитись із тематичною брошурою «Яким може бути шахрайство та як йому протидіяти?», розробленою Офісом Уповноваженого спільно з Кіберполіцією України у рамках інформаційної кампанії з протидії шахрайству на темі військовополонених та зниклих безвісти. Електронна версія брошури доступна за посиланням: https://www.ombudsman.gov.ua/storage/app/media/uploadedfiles/yakim-mozhe-buti-shakhraistvo-veb.pdf . З огляду на зазначене, керуючись статтею 101 Конституції України, статтями 22, 23 Закону України «Про захист персональних даних», статтями 13, 22 Закону України «Про Уповноваженого Верховної Ради України з прав людини», з метою запобігання порушення законодавства про захист персональних даних прошу врахувати надані рекомендації у роботі та не допускати випадки неправомірного поширення персональних даних осіб, що повернулися з полону.
