Лист № 120 від 12.10.2020 Уповноваженій ВРУ з прав людини щодо запиту на надання рекомендацій щодо застосування провайдерами програмної послуги законодавства про захист персональних даних

12.10.2020
Вихідні реквізити: 
Вих. № 120 від 12.10.2020
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
Уповноважений Верховної Ради України з прав людини

Уповноваженій Верховної Ради України з прав людини

у сфері захисту персональних даних

ДЕНІСОВІЙ Л.Л.

 

Вих. № 120

від 12.10.2020

 

Щодо надання рекомендацій щодо

застосування провайдерами програмної послуги

законодавства про захист персональних даних

 

Шановна Людмило Леонтіївно!

Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання України у сфері інформаційно-комунікаційних технологій, висловлює Вам свою повагу та звертається з приводу наступного.

Відповідно до Статуту, одним із напрямків діяльності ІнАУ є представництво та захист учасників в органах центральної та місцевої влади, інших державних та недержавних установах і організаціях з питань розвитку Інтернету, послуг в мережі Інтернет та ІКТ.

До ІнАУ надійшло звернення від учасника ТОВ «ЕМ АЙ АЙ ТІ» з проханням, в межах повноважень, сприяти врегулюванню ситуації та захисту його законних інтересів. Суть проблеми полягає в тому, що ТОВ «Поверхность-Інвест» подало позовну заяву до Постійно діючого третейського суду при Асоціації «Українська правнича фундація» та вимагає стягнути з ТОВ «ЕМ АЙ АЙ ТІ» 350 тис. грн, нарахованих як штраф за невиконання умов договору, а саме, неподання Звіту про кількість Абонентів та списку унікальних ідентифікаторів Абонентів.

Зокрема, як нам повідомлено, 27 грудня 2018 року між ТОВ «Поверхность-Інвест» (код ЄДРПОУ 38238961) та ТОВ «ЕМ АЙ АЙ ТІ» укладено договір (далі – Договір), за умовами якого останнє отримує Програму Sport 1. Відповідно до Договору ТОВ «ЕМ АЙ АЙ ТІ» зобов’язане щомісячно надавати до  ТОВ «Поверхность-Інвест» звіт про кількість Абонентів та звіт, який містить список унікальних ідентифікаторів Абонентів, підписаних на пакети, що включають в себе Програму Sport 1, згідно з установленими у Договорі формами. У разі невиконання таких умов Договору, передбачено сплату штрафу у значному розмірі.

Тобто, фактично склалась ситуація, коли провайдер програмної послуги, дотримуючись законодавства, вживає заходів щодо недопущення поширення персональних даних фізичних осіб, повинен сплатити значний штраф компанії, пов’язаній з телерадіоорганізацією.

Хочемо звернути Вашу увагу на те, що це не поодинокий випадок, коли телерадіоорганізації, намагаючись здійснити контроль за кількістю споживачів їх продукту (програми), вимагають від провайдерів програмної послуги не лише кількісну інформацію про таких користувачів, а вигадують для обліку подібні «ідентифікатори» абонентів. Принаймні, це питання є доволі частим у дискусіях між телерадіоорганізаціями та провайдерами програмної послуги.

Статтею 32 Конституції України гарантовано, що не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Відповідно до Закону України «Про захист персональних даних», персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.  

Відповідно до статті 6 Закону України «Про захист персональних даних», первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.

Статтею 24 Закону України «Про захист персональних даних» встановлено, що володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.

Законодавством, в т.ч. у сфері телебачення і радіомовлення, не визначено, що таке «унікальний ідентифікатор абонента». Проте, телерадіоорганізації та пов’язані з ними компанії, які постачають програми, як ми бачимо на цьому прикладі, вимагають таку інформацію. Зазначене, на нашу думку, є протиправним, оскільки, вважаємо, що з використанням таких даних фізична особа може бути ідентифікованою.

Надаючи будь-яку інформацію про власних абонентів, яка не передбачена законодавством, визначаючи при цьому власні способи їх уніфікації (ідентифікації), телерадіоорганізації та провайдери програмної послуги можуть розголошувати персональні дані своїх абонентів та припуститись порушення Закону України «Про захист персональних даних».

Статтею 23 Закону України «Про захист персональних даних» встановлено, що Уповноважений Верховної Ради України з прав людини у сфері захисту персональних даних має, зокрема, такі повноваження у сфері захисту персональних даних:

отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду;

надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз’яснювати права і обов’язки відповідних осіб за зверненням суб’єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб, тощо.

Враховуючи вищенаведене, просимо Вас розглянути наше звернення та надати рекомендації щодо практичного застосування провайдерами програмної послуги законодавства про захист персональних даних з метою недопущення поширення персональних даних про фізичну особу, у разі, коли телерадіоорганізації (чи пов’язані з ними компанії) вимагають надання списків унікальних ідентифікаторів абонентів за відсутності такого визначення на рівні законодавства. А також, які дані можуть надаватись (і взагалі чи можуть надаватись) провайдером програмної послуги про своїх споживачів (абонентів) при укладенні договору з телерадіоорганізацією чи постачальником програм?

 

З повагою

Голова Правління Інтернет Асоціації України                                                                                                 А. Пятніков