Конфіденційна інформація, інформація про особу та персональні дані: співвідношення і регулювання

January 24, 2019

В українському законодавстві одразу кілька законів регулюють питання надання інформації про фізичних та юридичних осіб. Це і Закон «Про інформацію», що регулює відносини щодо одержання і поширення інформації, і Закон «Про захист персональних даних», що визначає захист і обробку персональних даних, і Закон «Про доступ до публічної інформації», який надає право на отримання інформації, що знаходиться у володінні розпорядників. 

Одні й ті ж визначення у цих Законах не ідентичні, а подеколи частково суперечать один одному, чим створюють проблеми із реалізацією особою свого права на інформацію. Тому, пропонуємо розібратись у тонкощах регулювання  відносин щодо поширення інформації, найперше саме про фізичних осіб

ІНФОРМАЦІЯ ПРО ОСОБУ ТА ПЕРСОНАЛЬНІ ДАНІ

Розпочати варто звичайно із поняття інформації про особу. До такої інформації відноситься будь-які відомості, що стосується фізичної особи, як от біографічні дані, її вподобання (наприклад, улюблена книга чи колір), погляди тощо. Це дуже широкий обсяг інформації. Та чи є будь-яка інформація про фізичну особу її персональними даними?

Закон України «Про інформацію» ототожнює ці два поняття. У статті 11 цього Закону міститься таке визначення: «інформація про фізичну особу (персональні дані)відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована…». Аналогічне визначення персональних даних закріплено у статті 1 Закону «Про захист персональних даних»: «персональні данівідомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Проте у цьому Законі прямо не сказано, що вся інформація про особу – це її персональні дані.

Ключовим є розуміння того, яка особа є ідентифікованою, або такою, що може бути ідентифікована. Не виникає, як правило, питань щодо таких відомостей, як ім’я, адреса проживання, індивідуальний податковий номер. Ці дані окремо або в сукупності дають змогу володільцеві цих даних чітко ідентифікувати конкретну особу. Ситуація є трохи складнішою з даними, що ідентифікують особу опосередковано. Наприклад, ви купуєте в магазині певні продукти і використовуєте дисконтну картку. Сама по собі інформація про куплені продукти не є персональними даними, хоча і стосуються фізичної особи. Адже будь-хто міг купити такі ж самі продукти в цьому або іншому магазині.

Та якщо ви купили і використали дисконтну картку – це дає змогу продавцеві ідентифікувати конкретну особу, а отже ваша історія покупок у поєднанні з інформацією про картку стає персональними даними. Так, ми можемо говорити, що персональними даними будуть відомості про номер картки, ім’я її власника, дата і час покупки, її вартість, а також інформація про куплені речі. І ці дані будуть захищатись відповідно до законодавства та повинні збиратись із законною метою.

Тобто, якщо певна інформація дає змогу володільцю виділити із групи людей конкретну особу, то її можна вважати персональними даними. Тому, дані, які самі по собі не є персональними даними, за певних обставин (коли вони дають змогу ідентифікувати особу) ними стають.

Проте, якщо сукупність певних даних не дає змогу ідентифікувати особу, то їх обробка не захищається Законом «Про захист персональних даних». Хочемо звернути увагу, що така ж позиція викладена і в Регламенті Європейського Парламенту і Ради (ЄС) 2016/679 – головному документі ЄС, що регулює захист прав фізичних осіб під час обробки персональних даних. Це, зокрема стосується і даних, які були деперсоналізовані (стали анонімними).

Так, у пункті 26 цього Регламенту сказано, що «принципи захисту даних, відповідно, не можна застосовувати до анонімної інформації, зокрема інформації, що не стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати, або персональних даних, що стали анонімними у такий спосіб, що суб’єкта даних неможливо чи більше неможливо ідентифікувати. Таким чином цей Регламент не стосується опрацювання такої анонімної інформації, у тому числі, для статистичних або дослідницьких цілей».

ПЕРСОНАЛЬНІ ДАНІ – ЦЕ ІНФОРМАЦІЯ ПРО ФІЗИЧНУ ОСОБУ. НЕ ВСЯ ІНФОРМАЦІЯ ПРО ОСОБУ Є ЇЇ ПЕРСОНАЛЬНИМИ ДАНИМИ. ВСЕ ЗАЛЕЖИТЬ ВІД ТОГО, ЧИ ДАЄ ЗМОГУ ЦЯ ІНФОРМАЦІЯ ІДЕНТИФІКУВАТИ ОСОБУ.

ПРОБЛЕМИ ВИЗНАЧЕННЯ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ

І персональні дані, і конфіденційна інформація стосуються фізичних осіб. Та ці поняття не є тотожними.

Відповідно до Закону «Про доступ до публічної інформації» конфіденційною є інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов. Схоже визначення нам дає Закон «Про інформацію» у статті 21, а саме: «конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом».

Одразу зазначимо, що обидва закони вказують, що тільки особи приватного права можуть вирішувати, яка інформація про них є конфіденційною, а яка відкритою. Однак існує багато прикладів, коли не особа, а закон відносить якийсь вид інформації до конфіденційної, тобто законом за замовченням встановлено режим “конфіденційно” Наприклад, Закон «Про інформацію» вказує, що до конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата і місце народження. Закон «Про державну статистику» містить положення, згідно з яким до конфіденційної інформації віднесено первинні дані, отримані органами державної статистики від респондентів під час проведення статистичних спостережень, а також адміністративні дані щодо респондентів, отримані органами державної статистики від органів, що займаються діяльністю, пов’язаною із збиранням та використанням адміністративних даних. І такі приклади у законодавстві не поодинокі.

Експерти наголошували, що «ймовірно, законодавець виходив з того, що в більшості випадків фізична особа не вчинятиме активних дій з обмеження доступу інформації про себе (як це вимагається у визначенні, що міститься у Законі «Про доступ до публічної інформації»: «інформація, доступ до якої обмежено фізичною або юридичною особою»). Таким чином, держава надала захист від розголошення певній, здебільшого чутливій, інформації навіть до обмеження доступу до неї фізичною чи юридичною особою, тим самим припускаючи бажання особи обмежити доступ до такої інформації через її «чутливість». При цьому в самої особи зберігається право прийняти рішення про розкриття цієї інформації та не обмежувати надалі доступ до неї» (Науково-практичний коментар до Закону України «Про доступ до публічної інформації»/за заг. ред. Д Котляра – К., 2012 – с. 122, 126).

Варто також наголосити, що не вся інформація за бажанням особи може бути віднесена до конфіденційної. Є багато випадків, коли різними законами передбачено відкритість певної інформації, наприклад, про займану посаду і робочі контакти, розпорядження бюджетними коштами, відомості із відкритих реєстрів тощо. Отже, законами може бути заборонено будь-кому обмежувати доступ до певної інформації. Фактично особа, якої стосується інформація, не має права визначати режим доступу до такої інформації.

Тому, можемо зробити висновок, що:

  • конфіденційною є інформація про фізичну або юридичну особу, крім суб’єктів владних повноважень, яка обмежена у доступі цією особою, а також попередньо обмежена законодавством до моменту, поки особа не відкриє таку інформацію за власним бажанням
  • така інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом
  • законодавством може бути заборонено віднесення певної інформації до обмеженої у доступі, зокрема і конфіденційної

ПЕРСОНАЛЬНІ ДАНІ ТА КОНФІДЕНЦІЙНА ІНФОРМАЦІЯ

Проте повернемось до співвідношення понять конфіденційної інформації та персональних даних.

Перше, що важливо запам’ятати персональні дані – це завжди інформація про фізичну особу, при чому лише живу особу. Відповідно до статей 24 і 25 Цивільного кодексу України людина як учасник цивільних відносин вважається фізичною особою. Її цивільна правоздатність виникає в момент народження і припиняється в момент смерті. Тому, враховуючи положення Закону «Про захист персональних даних» і Цивільного кодексу, інформація про померлу особу не є її персональними даними.

Однак, до конфіденційної може відноситись також інформація про юридичну особу, наприклад, “комерційна таємниця”. Відповідно до статті 505 Цивільного кодексу України це можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру (за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці) і щодо яких ця юридична особа вжила заходи щодо збереження секретності. До конфіденційної юридичною особою може бути віднесена також і інша інформація.

В той же час законодавством може бути заборонено віднесення певних персональних даних фізичної особи до конфіденційної інформації. Відкритою є, наприклад, така інформація:

  • прізвища, імена, по батькові фізичних осіб, які отримали бюджетні кошти, отримали у володіння, користування чи розпорядження державне та/або комунальне майно (частина п’ята статті 6 Закону «Про доступ до публічної інформації»)
  • персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень (частина друга статті 5 Закону «Про захист персональних даних»)

В обох випадках прізвища, імена, по батькові фізичних осіб, які отримали бюджетні кошти або займають певну посаду, є їх персональними даними, адже ці відомості дають змогу ідентифікувати конкретну особу. Проте будь-які дії із відкритими персональними даними, наприклад, збирання, поширення тощо, не підпадають під регулювання Закону «Про захист персональних даних». І хоча це прямо не закріплено у цьому Законі, проте таке розуміння логічно випливає із його положень, адже всі дії щодо обробки (збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем) спрямовані на захист саме тих персональних даних, які є конфіденційною інформацією. Інакше, на володільця покладався б надмірний тягар обов’язків (наприклад, повідомляти суб’єкта персональних даних про зміну, видалення чи знищення його персональних даних відповідно до статті 21 Закону «Про захист персональних даних»), які неможливо було б виконати на практиці. Це фактично паралізувало б роботу будь-яких володільців таких даних.

Ці дані є відкритими у доступі відповідно до законодавства і не можуть бути віднесені до конфіденційної навіть за бажанням відповідної особи. Будь-хто може обробляти їх без обмежень.

Варто також додати, що відповідно до судової практики до конфіденційної не може бути віднесено і іншу інформацію про посадових чи службових осіб (наприклад, дані про освіту, досвід роботи, знання іноземної мови, відсутність судимості тощо), якщо до посади, пов’язаної з виконанням функцій держави або органів місцевого самоврядування, встановлені відповідні кваліфікаційні чи інші обов’язкові для займання цієї посади вимоги (п. 5.8 Постанови Пленуму ВАСУ № 10 від 29.09.2016р. «Про практику застосування адміністративними судами законодавства про доступ до публічної інформації»).

НЕ ВСІ ПЕРСОНАЛЬНІ ДАНІ Є КОНФІДЕНЦІЙНОЮ ІНФОРМАЦІЄЮ. У ВИПАДКАХ, ВСТАНОВЛЕНИХ ЗАКОНОДАВСТВОМ, ДЕЯКІ ПЕРСОНАЛЬНІ ДАНІ Є ВІДКРИТОЮ ІНФОРМАЦІЄЮ. ВОДНАЧАС КОНФІДЕНЦІЙНА ІНФОРМАЦІЯ ВКЛЮЧАЄ В СЕБЕ НЕ ТІЛЬКИ ПЕРСОНАЛЬНІ ДАНІ.

ЧИ МОЖУТЬ РОЗГОЛОШУВАТИСЬ ПЕРСОНАЛЬНІ ДАНІ?

З’ясувавши як співвідносяться між собою всі ці поняття, варто також розібратись чи може поширюватись така інформація і в якому порядку.

Одразу зазначимо, що вільно поширюватись може та інформація про фізичну, юридичну особу, яка є відкритою відповідно до законодавства. Це також стосується інформації, яка раніше була правомірно оприлюднена розпорядником (частина третя статті 6 Закону «Про доступ до публічної інформації»).

Також поширюватись може конфіденційна інформація про особу, її персональні дані, якщо ця особа надала свою згоду на поширення або самостійно поширила її серед необмеженого кола осіб, наприклад, розповіла про певні факти свого життя  в прямому ефірі телеканалу, опублікувала її у соціальних мережах без обмеження режиму доступу

В деяких випадках така інформація може поширюватись без згоди особи. Відповідно до частини другої статті 14 Закону «Про захист персональних даних» поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини. До таких законів ми можемо віднести, наприклад, податкове чи кримінально-процесуальне законодавство, що надають право відповідним органам отримувати обмежену у доступі інформацію для виконання своїх функцій.

Одним із законів, що дозволяє поширювати такі дані є Закон «Про доступ до публічної інформації». У ньому закріплено загальну конструкцію, що регулює поширення обмеженої у доступі інформації – трискладовий тест (частина друга статті 6 цього Закону).

Трискладовий тест зобов’язує розпорядників інформації, розглядаючи запит на публічну інформацію або вирішуючи чи оприлюднювати інформацію на сайті, з’ясовувати:

  • чи обмежується доступ до інформації на підставі закону в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя?

У випадку із конфіденційною інформацією таким інтересом скоріш за все буде захист репутації або прав інших людей, або запобігання розголошенню інформації, одержаної конфіденційно. Доступ до такої інформації може бути обмежено Законом «Про захист персональних даних» або іншими законами.

  • чи може розголошення інформації завдати істотної шкоди цим інтересам?

Розпорядник повинен з’ясувати чи настануть для особи, якої стосується конфіденційна інформація, негативні наслідки через поширення цієї інформації. Якщо поширення інформації не матиме значний негативний вплив, то інформація може поширюватись. Якщо розголошення завдасть істотної шкоди, то розпорядник повинен перейти до наступного питання, а саме:

  • що переважає: шкода від оприлюднення такої інформації чи суспільний інтерес в її отриманні, що полягає в інтересах національної безпеки, економічного добробуту та прав людини?

Іншими словами, розпорядник інформації повинен у конкретній ситуації оцінити, збалансувати та вирішити, який інтерес має більший пріоритет. Якщо переважає інтерес суспільства – надати інформацію, а якщо інтерес захисту приватності – відмовити. При цьому, розпорядник зобов’язаний врахувати вимоги частини сьомої статті 6 Закону «Про доступ до публічної інформації», а саме: надати сам запитуваний документ (якщо запитувач просив надати документ), вилучивши з нього ці конфіденційні відомості.

На відміну від інших видів обмеженої у доступі інформації, розпорядники конфіденційної інформації  за відсутності згоди суб’єкта персональних даних можуть поширити таку інформацію лише в інтересах національної безпеки, економічного добробуту та прав людини.

КОНФІДЕНЦІЙНА ІНФОРМАЦІЯ ПРО ОСОБУ, В ТОМУ ЧИСЛІ ПЕРСОНАЛЬНІ ДАНІ, МОЖУТЬ ПОШИРЮВАТИСЬ РОЗПОРЯДНИКОМ ЗА ЗГОДИ ЦІЄЇ ОСОБИ АБО БЕЗ ТАКОЇ ЗГОДИ НА ПІДСТАВІ ЗАКОНУ

ЗАКОН «ПРО ДОСТУП ДО ПУБЛІЧНОЇ ІНФОРМАЦІЇ» ДОЗВОЛЯЄ ПОШИРЮВАТИ ТАКУ ІНФОРМАЦІЮ, ЯКЩО СУСПІЛЬНИЙ ІНТЕРЕС В ЇЇ ОТРИМАННІ (ЩО ПОЛЯГАЄ В ІНТЕРЕСАХ НАЦІОНАЛЬНОЇ БЕЗПЕКИ, ЕКОНОМІЧНОГО ДОБРОБУТУ ТА ПРАВ ЛЮДИНИ) ПЕРЕВАЖАЄ ШКОДУ, ЯКА МОЖЕ БУТИ ЗАВДАНА РОЗГОЛОШЕННЯМ ІНФОРМАЦІЇ.

З першого погляду, одразу два закони регулюють відносини щодо надання конфіденційної інформації про фізичну особу, що знаходиться у володінні розпорядників інформації. І ці закони мають різні вимоги щодо оформлення запитів на інформацію. Відповідно до Закону «Про доступ до публічної інформації» запитувач має право отримати інформацію незалежно від того, стосується вона його особисто чи ні, без пояснення причини подання запиту. Йому достатньо вказати у запиті своє ім’я, контактні дані, опис запитуваної інформації (підпис і дату, якщо запит письмовий). В той же час Закон «Про захист персональних даних», зобов’язує запитувача не тільки ідентифікувати себе (зазначати паспортні дані, місце проживання тощо), а й вказувати мету і підстави отримання інформації.

Оскільки недотримання вимог оформлення запиту має наслідком відмову у наданні запитуваної інформації, важливо все таки з’ясувати, яким законом має керуватись розпорядник при розгляді запиту. У пункті 1 статті 16 Закону «Про захист персональних даних» міститься відсилкова норма: «…Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України «Про доступ до публічної інформації». Також, у частині четвертій статті 13 Закону «Про доступ до публічної інформації» зазначено, що «усі розпорядники інформації незалежно від нормативно-правового акта, на підставі якого вони діють, при вирішенні питань щодо доступу до інформації мають керуватися цим Законом».

Із зазначеного вище випливає, що керуватись слід саме Законом «Про доступ до публічної інформації». Тому, вирішальним є те, до кого звернувся запитувач: до розпорядника інформації, визначеного у статті 13 Закону «Про доступ до публічної інформації» – цей Закон, якщо до іншого володільця персональних даних, визначеного у статті 2 Закону «Про захист персональних даних» – відповідно Закон «Про захист персональних даних».

Те, що конфіденційна інформація буде надаватись відповідно до Закону «Про доступ до публічної інформації», зовсім не означає, що вона може легко на розсуд службовця, який розглядає запит, поширюватись серед необмеженого кола осіб. Трискладовий тест зобов’язує якомога повніше оцінювати обставини справи. І тільки дуже вагомі аргументи на користь суспільного інтересу (який полягає лише в інтересах національної безпеки, економічного добробуту та прав людини) можуть схилити терези на користь розголошення інформації. Тим більше, якщо це стосується чутливої інформації.

Без такого балансу, ми автоматично закриваємо усі персональні дані, що не відповідає практиці Європейського суду з прав людини. У цьому і специфіка, і родзинка, і звичайно ж складність застосування цих двох законів: ні право на інформацію, ні право на приватність не мають пріоритету один над одним. Тільки у конкретній ситуації з врахуванням конкретних обставин ми можемо сказати, яке з цих прав переважає.