Обробка та захист персональних даних в процесі верифікації соціальних виплат громадян

Размещено на http://www.allbest.ru/

Обробка та захист персональних даних в процесі верифікації соціальних виплат громадян

Мельник К.С., доктор філософії (Ph.D) з юридичних наук

Анотація

Ключові слова: персональні дані, захист персональних даних, обробка персональних даних, соціальні виплати, верифікація соціальних виплат, приватність, інформаційна безпека людини.

Аннотация

В статье осуществлен анализ проблемных аспектов обработки и защиты персональных данных в процессе верификации социальных выплат гражданам, предложены пути преодоления возможных негативных последствий нарушения приватности и информационной безопасности человека.

Ключевые слова: персональные данные, защита персональных данных, обработка персональных данных, социальные выплаты, верификация социальных выплат, приватность, информационная безопасность человека.

Summary

Keywords: personal data, personal data protection, processing of personal data, social payments, verification of social payments, privacy, information security ofperson.

Постановка проблеми

Питання інформаційної безпеки людини та захисту її приватного життя в нашій державі з останніми роками набуває дедалі вагомішого значення. Особливої ваги зазначене питання набуває, коли потенційними порушниками виступають суб'єкти державної влади, тобто держава, яка, навпаки, має охороняти право на недоторканність приватного життя своїх громадян. Варто нагадати, що відповідно до статті 3 Конституції України права і свободи людини та їх гарантії визначають зміст і спрямованість діяльності держави. Держава відповідає перед людиною за свою діяльність. Утвердження і забезпечення прав і свобод людини є головним обов'язком держави [1].

У грудні 2016 року з засобів масової інформації та офіційної інформації Уповноваженого Верховної Ради України з прав людини стало відомо про безпрецедентне порушення прав на захист персональних даних та приватне життя внутрішньо переміщених осіб (далі - ВПО) [2 - 3]. Внутрішньо переміщеною особою є громадянин України, іноземець або особа без громадянства, яка перебуває на території України на законних підставах та має право на постійне проживання в Україні, яку змусили залишити або покинути своє місце проживання у результаті або з метою уникнення негативних наслідків збройного конфлікту, тимчасової окупації, повсюдних проявів насильства, порушень прав людини та надзвичайних ситуацій природного чи техногенного характеру [4].

Так, за інформацією громадських організацій, останнім часом ВПО почали отримувати дзвінки від ТОВ “Дельта М Юкрейн” на номери телефонів, які вони повідомляли органам соціального захисту при взятті їх на облік. Співробітники цієї компанії, посилаючись на ініціативу Міністерства фінансів України привітати їх із новорічними святами, просили уточнити місце перебування таких громадян та іншу конфіденційну інформацію про особу. При цьому, якщо абонент відмовлявся надати запитувану інформацію, йому повідомляли, що така відмова вплине на здійснення у подальшому соціальних виплат [2].

З огляду на широкий резонанс та прискіпливу увагу суспільства до цього питання, важливим вбачається розгляд актуальних та проблемних питань обробки та захисту персональних даних в процесі верифікації соціальних виплат, пошук найоптимальніших шляхів врегулювання цих питань у вітчизняному правовому полі.

Метою статті є аналіз правових питань обробки та захисту персональних даних в процесі верифікації соціальних виплат, пошук шляхів подолання можливих негативних наслідків порушення приватності та інформаційної безпеки людини.

Виклад основного матеріалу

Аналіз правомірності обробки персональних даних з боку третіх осіб вимагає детального дослідження фактів такої обробки та їх правової оцінки.

Проте, насамперед, слід нагадати, що в цивілізованому світі вкладається в поняття “право на приватність”. Найбільш влучно позицію щодо необхідності захисту права на приватне життя людини зображують англо-американські дослідники цієї проблематики. Право на приватність, як вважає американський дослідник Рональд Холлборг, є “моральним принципом поваги до індивідуальної свободи” [5, с. 15]. У свою чергу, британський дослідник Артур Міллер зазначає, що “основною умовою для ефективної реалізації права на приватність є особиста можливість контролювати циркуляцію інформації, що стосується особи, яка є суттєвою для підтримання соціальних стосунків і особистих свобод” [6, с. 27]. Остання думка британського вченого є визначальною при формуванні підходів до захисту приватності людини.

Говорячи про аналіз правомірності обробки персональних даних з боку третіх осіб, звернемося до вже відомої, відкритої інформації, яка стала відома широкому колу громадськості, а також офіційних результатів позапланової перевірки офісом Уповноваженого Верховної Ради України з прав людини наведених фактів.

На підставі договору з Державним підприємством “Головний проектно-виробничий і сервісний центр комп'ютерних фінансових технологій” (Головфінтех) Міністерства фінансів України колекторська компанія ТОВ “Дельта М Юкрейн” отримала базу персональних даних громадян України. Відповідний договір підписаний за результатами двох виграних тендерів на проведення телефонної та фізичної верифікації (999 999 та 987 000 грн відповідно). У той же час, надані на запит ЗМІ роз'яснення Міністерства фінансів щодо передачі ТОВ “Дельта М Юкрейн” лише ПІБ та номерів телефонів отримувачів соціальних виплат, викликають багато питань.

Інформація, яку співробітники ТОВ “Дельта М Юкрейн” (за ініціативи Міністерства фінансів України!) використовували, є відомостями, за якими “особа може бути конкретно ідентифікованою”, тобто, відповідно до українського законодавства та міжнародного права, така інформація є “персональними даними”, які, в свою чергу, є невід'ємною складовою приватного життя людини та охороняються законом [7 - 9].

Після проведення позапланової перевірки, офісом Омбудсмена було встановлено, що ТОВ “Дельта М Юкрейн” надає послуги з проведення “телефонної верифікації” громадян на підставі договору з Державним підприємством “Головний проектно- виробничий і сервісний центр комп'ютерних фінансових технологій”. За умовами договору вказане підприємство передало ТОВ “Дельта М Юкрейн” базу даних “з дотриманням захисту персональних даних”. Разом з цим, доведено, що співробітники

ТОВ “Дельта М Юкрейн” у ході телефонних розмов просили уточнити у ВПО місце перебування таких громадян та іншу конфіденційну інформацію про особу, зокрема, стосовно року народження, реєстрації місця проживання на непідконтрольній території та місця фактичного проживання [3] .

Закон України “Про захист персональних даних” [7] встановлює вимоги до обробки та захисту персональних даних. Обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем (стаття 2 Закону).

Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних (стаття 6 Закону).

Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону (стаття 14 Закону).

Крім цього, відповідно до статті 4 згаданого Закону, володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи-підприємці, які обробляють персональні дані відповідно до закону. Водночас, розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Знову звернемось до результатів позапланової перевірки відповідно до законодавства. Встановлено, що на сьогоднішній день володільцем персональних даних, зібраних у процесі верифікації та моніторингу достовірності інформації, поданої фізичними особами для нарахування та отримання соціальних виплат, пільг, субсидій, пенсій, заробітної плати, інших виплат, що здійснюються за рахунок коштів державного та місцевих бюджетів, коштів Пенсійного фонду України, фондів загальнообов'язкового державного соціального страхування, є Міністерство фінансів України. Проте, розпорядником персональних даних внутрішньо переміщених осіб, володільцем яких є Міністерство фінансів України, наразі визначено юридичну особу приватного права - ТОВ “Дельта М Юкрейн”, що є порушенням вимог Закону України “Про захист персональних даних”. Всупереч вказаного закону було здійснено і передачу персональних даних внутрішньо переміщених осіб, які були зібрані Міністерством фінансів України в рамках процедури “верифікації і моніторингу” [3].

Отже, проаналізувавши вищенаведену інформацію, вбачається порушення цілої низки норм Закону України “Про захист персональних даних”, зокрема статей 2, 4, 6 та 14. Окрім цього, згадані порушення містять ознаки злочину, передбаченого статтею 182 Кримінального кодексу України (далі - КК України) [10]. Так, відповідно до статті 182 КК України незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, - караються штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

У своєму відкритому зверненні Уповноваженим Верховної Ради України з прав людини було визначено: “...така ситуація є не лише кричущим випадком порушення права значної кількості осіб на недоторканність приватного життя, а й загрожує іміджу нашої держави на міжнародній арені. Адже однією з ключових умов повноправного входження України до європейського співтовариства є створення в нашій державі ефективного механізму захисту персональних даних, який би відповідав міжнародним стандартам у цій сфері” [3].

Стосовно негативних наслідків незаконного поширення персональних даних приватній компанії із сумнівною репутацією слід зазначити наступне. Так, аналітик Громадської організації “ОПОРА” О. Клюжев повідомив, що Міністерство фінансів передало ТОВ “Дельта М Юкрейн” усю інформацію, яку ВПО надавали при реєстрації: прізвище, ім'я, дата народження, телефон, місце проживання в анексованому Криму чи на окупованій частині території Донбасу, місце реєстрації на підконтрольній території, тощо. За його словами, це вже призвело до скорочення соціальних виплат [11]. Факти негативних наслідків наводять і інші громадські діячі , які визначають наступне [2]:

Порушення права громадян на захист персональних даних. Не дивлячись на публічну заяву Омбудсмана, Міністерство фінансів досі не надало жодних відомостей, які би давали мінімальні гарантії контролю за використанням вже переданих баз даних фізичних осіб. Як засвідчують звернення громадян на “гарячу лінію ” (050 477 0800), будь-яка особа, яка дзвонить до колл-центру “Дельта М Юкрейн ”, може фактично безперешкодно отримати персональну інформацію щодо іншого громадянина, маючи його номер телефону. Тому, крім самого факту неналежного використання державним органом персональних даних громадян є підстави вважати, що ці дані неналежно захищені і можуть використовуватися не за призначенням.

Порушення права на недоторканність приватного життя, яке вже відбулося після передачі даних третій стороні, додатково загострюється внаслідок проведеного тендеру на фізичну верифікацію. Згідно з додатком №3 до тендерної документації на закупівлю послуг з проведення фізичної верифікації, “метою збирання (звірки) інформації є перевірка особистих даних, місця проживання, місця праці фізичних осіб, фотографування місця проживання фізичних осіб для встановлення достовірності наданої ними попередньо інформації”.

Залучення компаній з управління заборгованостями до виконання державних функцій потенційно створює умови для психологічного насильства щодо громадян, враховуючи специфіку методів роботи колекторських компаній. Зокрема, на гарячу лінію ГО “Громадський Холдинг “Група Впливу” надійшло звернення жінки, яка повідомляла про те, що після її відмови спілкуватися з невідомими особами, оператори кол-центру дзвонили їй вісім разів протягом доби з різних номерів телефону, застосовуючи методи психологічного тиску.

Міжнародний характер діяльності групи компаній “Дельта М”, у тому числі на території Російської Федерації, створює ризики отримання нерезидентами України персональних даних громадян України з державних реєстрів. У випадку з внутрішньо переміщеними особами відповідна ситуація є особливо неприйнятною, враховуючи можливість проведення незаконної діяльності на окупованій та непідконтрольній території, зокрема щодо родичів та майна переселенців. Ця ж ситуація є неприпустимою щодо інших категорій громадян України, персональні дані яких можуть бути передані приватній структурі.

Варто зазначити, що проблеми практичної реалізації процедури “верифікації та моніторингу” достовірності інформації, поданої фізичними особами для нарахування та отримання тих чи інших виплат, набули системного характеру і пов'язані, перш за все, з відсутністю належного законодавчого регулювання. Нормативні акти, якими наразі врегульовано ці питання, мають відсилочний (бланкетний) характер стосовно ключових питань обробки персональних даних осіб, щодо яких проводиться верифікація. А це, у свою чергу, створює умови для безконтрольного доступу Міністерства фінансів України до персональних даних, що може спричинити безпідставне втручання у право особи на приватність.

Яскравим прикладом, яким створюється правова невизначеність питань обробки та захисту персональних даних у соціальній сфері в цілому, є прийняття Верховною Радою України Закону України “Про внесення змін до деяких законодавчих актів України” від 06.12.16 р. № 1774-VIII яким, серед іншого, вносяться зміни до частини 2 статті 13 Основ законодавства України про загальнообов'язкове державне соціальне страхування, зокрема до положення, у якому міститься заборона без згоди застрахованої особи розголошувати відомості про її страховий стаж, страхові випадки, результати медичних обстежень, суми одержуваних виплат тощо. Дану статтю доповнено словами “крім випадків, встановлених законом” та не враховується того, що випадки, за яких зазначені вище відомості можуть бути розголошені без згоди застрахованої особи, законом не визначені. Крім цього, згадана норма не узгоджується з одним із основних принципів регулювання інформаційних відносин, а саме з принципом захищеності особи від втручання в її особисте та сімейне життя (стаття 2 Закону України “Про інформацію”), та не враховує вимоги цього Закону, згідно з якими інформація про фізичну особу є конфіденційною і може поширюватися тільки за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов (частина 2 статті 21 Закону України “Про інформацію”) [12]. Така невизначеність і нечіткість норми може призвести до зловживань з боку державних органів та їх посадових осіб і ставить під сумнів у цілому захист персональних даних та право на таємницю приватного життя.

приватність інформаційний безпека соціальний

Висновки

Комплексний аналіз проблемних правових питань обробки та захисту персональних даних в процесі верифікації соціальних виплат свідчить про необхідність інтенсивного пошуку підходів до їх вирішення державою, суспільством, науковим середовищем, простими громадянами нашої держави.

Пошук шляхів подолання можливих негативних наслідків порушення приватності та інформаційної безпеки людини в згаданому контексті має здійснюватись за наступними напрямками:

- усунення порушень права на недоторканність приватного життя, зокрема припинення незаконної обробки ТОВ “Дельта М Юкрейн” персональних даних внутрішньо переміщених осіб, шляхом впливу та чіткої взаємодії органів державної влади, Уповноваженого Верховної Ради України з прав людини;

законодавче врегулювання повноважень державних органів України в рамках процесу верифікації та моніторингу достовірності інформації, поданої фізичними особами для нарахування та отримання соціальних виплат;

- внесення змін до чинного законодавства України з метою приведення законодавства у сфері соціального захисту громадян у відповідність до законодавства у сфері захисту персональних даних;

- прозоре розслідування фактів можливого незаконного поширення персональних даних з боку Міністерства фінансів України, незаконної обробки персональних даних ТОВ “Дельта М Юкрейн” компетентними правоохоронним органами нашої держави;

- широка інформаційно-роз'яснювальна робота працівників офісу Уповноваженого Верховної Ради України з прав людини серед державних службовців щодо правових питань обробки та захисту персональних даних.

Використана література

1. Конституція України : Закон України від 28.06.96 р. № 254к/96-Вр // Відомості Верховної Ради України (ВВР). - 1996. - № 30. - С. 141.

2. Про забезпечення прав і свобод внутрішньо переміщених осіб : Закон України від 20.10.14 р. № 1706-VII // Відомості Верховної Ради (ВВР). - 2015. № 1. - Ст. 1.

3. Hallborg R.B. Principles of Liberty and Right to Privacy // Law and Philosophy. 1986. № 5. - P. 13-20.

4. Arthur R. Miller The Assault on Privacy. - Univ. of Mich. Press, 1971 - P. 25-32.

5. Про захист персональних даних : Закон України від 01.06.10 р. № 2297-VI Офіційний вісник України. - 2010. - № 49. - С. 199.

6. Про захист осіб у зв'язку з автоматизованою обробкою персональних даних : Конвенція Ради Європи від 28.01.81 р. № 108 // Офіційний вісник України. - 2011. - № 1. С. 701.

7. Кримінальний кодекс України : Закон України // Відомості Верховної Ради України (ВВР). - 2001. - № 25 - 26. - Ст. 131.

Размещено на Allbest.ur