Ви подаєте запит до державного архіву? Ваші персональні дані як запитувача інформації будуть збережені. Який має бути порядок обробки ваших даних, і чи потрібно державному архіву отримувати вашу згоду – читайте у нашій консультації.

Які персональні дані запитувачів збираються?

Уже рік триває карантин, пов’язаний з епідемією COVID-19, що обмежило, а здебільшого унеможливило роботу читачів у читальних залах архівів, а відтак єдиним механізмом взаємодії залишаються звернення до архівів щодо пошуку та виготовлення копій архівних документів. 

Вимоги до звернень визначаються статтею 5 Закону України “Про звернення громадян” запитувачі надають такі дані: прізвище, ім’я, по батькові, телефон, адреса проживання чи листування, фізичний підпис чи простий електронний.

Під час звернення до архіву також можуть збиратися персональні дані особи, про яку запитується, якщо така особа жива. Якщо запит стосується померлих осіб, документів, старших понад 75 років або документів репресивних органів, то тут Закон України “Про захист персональних даних” не застосовується.

Ці дані збираються для достатньої ідентифікації фізичної особи, щоб належним чином розглянути звернення. Для ідентифікації може бути достатньо ПІБ, Анатолій Хромов ідентифікується із зазначенням посади “Голова ДАСУ”, а Фаррух Булсара буде ідентифікований за сценічним псевдонімом Фредді Мерк’юрі. Якщо ж запитувачем буде умовний Іван Ткаченко, знадобиться більше ідентифікаторів. Простіше кажучи, персональних даних має бути достатньо, щоб відрізнити одну людину від іншої. 

Чи дійсно відбувається обробка персональних даних? 

Коли запитувач передає свої персональні дані до державного архіву, починається обробка персональних даних. Адже відповідно до статті 2 Закону України “Про захист персональних даних” під обробкою слід розуміти будь-яку дію або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення, знеособлення, знищення персональних даних, у тому числі з використанням інформаційних систем. Тобто будь-яка дія з персональними даними є обробкою, навіть якщо вони лежать в бекапі пошти на сервері. 

Отож, державні архіви є володільцями персональних даних – суб’єктом, який визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. 

Яка має бути підстава обробки персональних даних?

Це є дискусійним питанням. Загалом, відповідно до статті 11 Закону України “Про захист персональних даних” таких підстав шість: 

1. згода суб’єкта на обробку його персональних даних;
2. здійснення повноважень, наданих володільцю відповідно до закону;
3. укладення та виконання правочину;
4. захист життєво важливих інтересів;
5. виконання обов’язку володільця, який передбачений законом;
6. захист законних інтересів володільця персональних даних.

Друга підстава є основною для обробки персональних даних державними органами влади. Якщо орган влади має визначені законом повноваження, реалізація яких потребує обробки персональних даних, то відповідне положення закону є достатньою підставою для їх обробки. 

Наприклад, статтею 70 Податкового кодексу України передбачено створення Державного реєстру фізичних осіб – платників податків. Вказана стаття встановлює перелік даних, які міститимуться у вказаному Реєстрі, порядок їх збору та використання. А Порядок обробки персональних даних у базі персональних даних – Державному реєстрі фізичних осіб-платників податків детально регулює заходи захисту даних у реєстрі. 

Такі положення закону є достатніми для обробки персональних даних, і Державній податковій службі не потрібно отримувати додаткову згоду суб’єкта при отриманні ним реєстраційного номера облікової картки платників податків.

Однак, слід зазначити, що така підстава обробки можлива лише, якщо порядок обробки персональних даних державними органами влади чи повноваження органу стосовно персональних даних детально регламентується законодавством чи внутрішніми документами самого державного органу.

Враховуючи, що Закон України “Про звернення громадян” не передбачає порядок обробки персональних даних, державним архівам варто отримувати згоду суб’єкта звернення на обробку персональних даних або ж затвердити внутрішній документ, що регулює питання обробки персональних даних, і розмістити його на сайті.  

Наприклад, Урядовий контактний центр (центр для оперативного реагування органів виконавчої влади на звернення громадян) містить відповідний розділ на своєму сайті (обробка персональних даних). А КМДА повідомляє запитувачів на доступ до публічної інформації в онлайн формі:

Чому потрібно отримувати згоду чи затверджувати порядок обробки?

1. Стаття 6 Закону України “Про захист персональних даних” вказує, що мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних.

Якщо в законі не зазначено, то державний архів має сформулювати мету обробки у внутрішніх документах чи згоді на обробку персональних даних. А метою обробки може бути, наприклад, “для внесення даних в реєстр звернень” або ж “для надання відповіді по суті”. 

2. Також потрібно повідомити строк обробки. Та ж стаття 6 Закону зазначає, що персональні дані обробляються не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися. Тобто державний архів має знати та повідомити про те, скільки звернення зберігаються і коли знищуються. Після закінчення цього строку, персональні дані підлягають видаленню або знищенню.

3. Крім того, це потрібно для дотримання прав особи-запитувача. Відповідно до статті 8 Закону України “Про захист персональних даних”, особа має право знати:

• місцезнаходження своїх персональних даних, мету їх обробки;
• місцезнаходження володільця чи розпорядника персональних даних (наприклад, розпорядником є установа, якій належать сервери архіву);
• механізм автоматичної обробки персональних даних.

4. Крім того, архіви, у яких є значна кількість запитів від громадян Європейського союзу, мають дотримуватися Регламенту про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних відомий як GDPR. Адже пункт 23 Регламенту передбачає екстериторіальність норм за певних умов, зокрема, і значний обсяг наданих відповідей громадян ЄС може бути такою умовою.

Короткі висновки

У випадку взаємодії з фізичними особами архіви мають сформулювати чітку мету обробки персональних даних та строки зберігання таких даних у відповідному порядку чи повідомленні про обробку персональних даних. Орієнтовне формулювання може бути таке:

Повідомлення про обробку персональних даних

Державний архів {назва} повідомляє Вас про обробку наданих вами персональних даних, зібраних на виконання вимог статті 5 Закону України “Про звернення громадян” з метою:

• реєстрації вашого звернення в журналі {назва}, що ведеться {назва журналу, якщо він паперовий} / {назва програмного забезпечення};
• обробки вашого звернення з метою виявлення запитуваної інформації та надання відповіді по суті.

Строк збереження ваших персональних даних становить: {строк}. По закінченню строку ваші дані будуть видалені.

Ваші дані зберігаються у приміщенні Державного архіву {назва}  {адреса} з дотриманням заходів фізичної та програмно-апаратної безпеки від несанкціонованого доступу. Працівники архіву ознайомлені з вимогами щодо роботи з персональними даними та дотримуються встановлених правил поводження з персональними даними. 

Згода на обробку персональних даних

Я,  {ПІБ}, ознайомлений з метою обробки персональних даних для розгляду мого звернення та надаю згоду на таку обробку.