Персональні дані користувачів — права та їх захист

Кожен користувач інтернету щодня залишає сліди своєї присутності: імена, адреси, номери телефонів, історія переглядів, геолокація – усе це персональні дані, які збирають, обробляють і зберігають різноманітні сервіси та платформи. Знання своїх прав у цій сфері дозволяє контролювати, хто і яким чином використовує вашу особисту інформацію.

Законодавство України, зокрема Закон «Про захист персональних даних», а також європейський регламент GDPR, надають фізичним особам широкий перелік можливостей: право на доступ до власних даних, право на їх виправлення, видалення або обмеження обробки. Ці норми зобов’язують компанії діяти прозоро і чесно щодо кожного, чиї відомості вони обробляють.

Розуміння того, які саме дані вважаються персональними, хто несе відповідальність за їх обробку та як правильно захистити себе від порушень – це не абстрактна теорія, а практичний інструмент для кожної людини. Від банківських реквізитів до фотографій у соціальних мережах – межі персональних даних значно ширші, ніж здається на перший погляд.

У цій статті розглянуто, які категорії інформації охороняються законом, які обов’язки мають організації, що збирають ваші дані, та які кроки варто зробити, якщо ваші права були порушені. Чітке розуміння цих питань допомагає приймати зважені рішення щодо власної конфіденційності та безпеки в мережі.

Що вважається персональними даними згідно з українським законодавством

Згідно із Законом України «Про захист персональних даних», персональними даними визнається будь-яка інформація або сукупність інформації, за допомогою якої можна ідентифікувати фізичну особу прямо або опосередковано. Це означає, що навіть окремий фрагмент даних – наприклад, номер телефону без імені – може підпадати під дію закону, якщо він дозволяє встановити особу.

До персональних даних належать: прізвище, ім’я та по батькові, дата народження, адреса проживання або реєстрації, номери документів (паспорт, ідентифікаційний код), контактні дані (телефон, електронна пошта), а також фотографії та відеозаписи, на яких можна розпізнати людину. Окрему категорію складають чутливі дані – інформація про стан здоров’я, расове або етнічне походження, політичні погляди, релігійні переконання, судимості та біометричні характеристики.

Біометричні дані – відбитки пальців, малюнок райдужної оболонки ока, геометрія обличчя – також є персональними даними і захищаються окремо через свою унікальність та неможливість зміни у разі витоку.

Закон чітко розмежовує дві ключові категорії суб’єктів у цій сфері. Суб’єкт персональних даних – це фізична особа, якої стосується та чи інша інформація. Володілець персональних даних – це організація або фізична особа, яка визначає мету та порядок обробки таких відомостей. Саме на володільця покладається відповідальність за дотримання всіх вимог законодавства щодо зберігання, захисту та використання зібраної інформації, і саме до нього суб’єкт може звернутися з вимогою надати або видалити свої дані.

Варто окремо звернути увагу на так звані непрямі ідентифікатори. IP-адреса пристрою, файли cookie, геолокаційні дані, поведінкові патерни в мережі – усе це може вважатися персональними даними, якщо за їх допомогою реально встановити конкретну людину. Українське законодавство у цьому питанні спирається на принцип можливості ідентифікації, а не лише на формальний перелік категорій.

Дані юридичних осіб – назва компанії, її адреса, корпоративний телефон – не підпадають під дію закону про захист персональних даних, оскільки він поширюється виключно на фізичних осіб. Однак якщо мова йде про індивідуального підприємця або дані конкретного працівника компанії, такі відомості вже отримують статус персональних і потребують відповідного захисту.

Які компанії зобов’язані захищати ваші персональні дані

Будь-яка організація, що збирає, зберігає або обробляє інформацію про фізичних осіб, зобов’язана дотримуватися норм захисту персональних даних. В Україні це регулюється Законом «Про захист персональних даних», а для компаній, що працюють із громадянами ЄС, – Регламентом GDPR. Під дію цих правил підпадають не лише великі корпорації, а й малий бізнес, фізичні особи-підприємці та некомерційні організації.

До переліку суб’єктів, які мають юридичний обов’язок захищати ваші дані, належать:

• банки та фінансові установи – при оформленні кредитів, карток, рахунків;
• інтернет-магазини та маркетплейси – при реєстрації та оформленні замовлень;
• медичні заклади – лікарні, клініки, лабораторії;
• роботодавці – щодо персональних даних працівників;
• державні органи – податкові служби, реєстраційні центри, поліція;
• телекомунікаційні компанії та інтернет-провайдери;
• страхові компанії та пенсійні фонди.

Окрему увагу варто приділити технологічним платформам. Соціальні мережі, пошукові системи, мобільні застосунки та хмарні сервіси щодня отримують величезні масиви даних про поведінку користувачів. Якщо такий сервіс має офіційне представництво або цілеспрямовано пропонує послуги жителям України чи ЄС – він підпадає під відповідне законодавство незалежно від країни своєї реєстрації. Саме тому Google, Meta та інші американські компанії отримували штрафи від європейських регуляторів.

Компанії поділяються на два типи за роллю в обробці даних:

1. Контролер даних – визначає мету і спосіб обробки (наприклад, інтернет-магазин, який збирає ваші адреси доставки).
2. Обробник даних – виконує технічну обробку за дорученням контролера (наприклад, хмарний сервіс або колл-центр на аутсорсингу).

Обидва типи несуть відповідальність, але контролер відповідає безпосередньо перед вами як суб’єктом даних. Якщо компанія передає ваші дані третій стороні без вашої згоди або без законної підстави – це є порушенням, яке ви маєте право оскаржити в Уповноваженому Верховної Ради з прав людини або, для резидентів ЄС, у відповідному наглядовому органі.

Як дізнатися, які ваші дані зберігає організація

Надішліть офіційний письмовий запит до організації – це найпряміший спосіб отримати інформацію про свої персональні дані. У більшості країн, що діють у межах законодавства про захист даних (зокрема GDPR в Європі або Закону України «Про захист персональних даних»), компанії зобов’язані відповісти на такий запит протягом 30 днів. У запиті зазначте своє повне ім’я, контактні дані та конкретне прохання: які категорії даних зберігаються, з якою метою, як довго та кому вони передаються.

Перед тим як надсилати запит, перевірте розділ «Політика конфіденційності» на сайті організації – там часто вказано, які саме дані збираються та як із ними поводяться. Деякі компанії мають окремі форми для подачі запитів щодо доступу до даних суб’єкта (Subject Access Request або SAR), які значно прискорюють процес.

Якщо організація ігнорує запит або відмовляє без обґрунтування, зверніться до регулятора – в Україні це Уповноважений Верховної Ради з прав людини, який контролює дотримання законодавства у сфері персональних даних. Регулятор може зобов’язати компанію надати інформацію або накласти санкції за відмову. Факт подачі скарги також нерідко стає приводом для того, щоб організація переглянула свою позицію.

Паралельно перевіряйте акаунти, які ви реєстрували в різних сервісах: у налаштуваннях профілю часто є розділи «Мої дані», «Завантажити дані» або «Конфіденційність», де можна побачити або експортувати зібрану інформацію. Такий функціонал є, наприклад, у Google, Facebook, Apple, а також у багатьох банківських застосунках.

Зберігайте копії всіх запитів і відповідей – це документальна база на випадок суперечок. Якщо ви виявили, що організація зберігає дані, які ви не надавали свідомо, або використовує їх не за призначенням, ви маєте право вимагати виправлення, обмеження обробки або повного видалення цих даних.

Як правильно надати згоду на обробку персональних даних

Перед тим як поставити галочку або натиснути кнопку «Погоджуюсь», уважно прочитайте текст згоди – він має чітко вказувати, які саме дані збираються, з якою метою та хто отримає до них доступ.

Згода вважається дійсною лише тоді, коли вона є добровільною, конкретною та поінформованою. Це означає, що компанія не може примушувати вас погоджуватися на обробку даних як обов’язкову умову користування послугою, якщо ця обробка не пов’язана безпосередньо з наданням такої послуги. Якщо без вашої згоди сервіс просто відмовляє в реєстрації – це вже порушення ваших прав.

Зверніть увагу на те, чи є в документі окремі пункти для різних цілей обробки. Наприклад, збір даних для виконання договору та збір даних для маркетингових розсилок – це різні підстави, і ви маєте право погодитися лише на одне з них.

Не підписуйте згоду, якщо текст написаний дрібним шрифтом, містить розмиті формулювання на кшталт «та інші цілі» або не вказує конкретних третіх осіб, яким передаватимуться ваші дані. Розпливчастість формулювань – це завжди привід поставити додаткові запитання або відмовитися від підписання.

Ви маєте право відкликати згоду в будь-який момент – і це право має бути прописане в самому документі. Процедура відкликання не повинна бути складнішою, ніж процедура надання згоди: якщо погодилися одним кліком, то й відмовитися маєте змогу так само легко.

У разі надання згоди в паперовому форматі переконайтеся, що вам залишили підписаний примірник. Зберігайте його так само, як зберігаєте інші документи, що підтверджують ваші права, – він може стати доказом у разі спору з організацією щодо незаконного використання ваших даних.

Якщо згоду запитують від імені дитини до 16 років, її мають надавати батьки або законні представники – дитина юридично не може самостійно розпоряджатися своїми персональними даними, і будь-яка платформа, що ігнорує цю вимогу, порушує чинне законодавство про захист персональних даних.

Як відкликати згоду на обробку ваших даних

Щоб відкликати згоду на обробку персональних даних, зверніться безпосередньо до компанії, яка їх обробляє, – надішліть письмовий запит на електронну адресу або поштову адресу, вказану в політиці конфіденційності. У запиті зазначте своє повне ім’я, контактні дані та чітко сформулюйте вимогу: припинити обробку конкретних категорій даних або всіх даних загалом. Відповідно до законодавства України про захист персональних даних, компанія зобов’язана відреагувати протягом 30 днів. Якщо ви надавали згоду через онлайн-форму або особистий кабінет на сайті, перевірте налаштування акаунту – у більшості сервісів є окремий розділ керування згодами, де можна деактивувати дозволи одним кліком. Зберігайте копію свого запиту та будь-яку відповідь від компанії – ці документи знадобляться, якщо виникне спір.

Відкликання згоди не скасовує законність обробки даних, яка вже відбулася до моменту вашого запиту, – це правило чітко закріплене в Регламенті GDPR та українському законодавстві. Після підтвердження відкликання компанія повинна припинити обробку та видалити дані, якщо для їх зберігання немає іншої правової підстави.

Як вимагати видалення своїх персональних даних

Подайте письмовий запит до компанії, яка зберігає ваші дані, – це найшвидший спосіб розпочати процедуру видалення. Запит можна надіслати електронною поштою, через форму зворотного зв’язку на сайті або рекомендованим листом, якщо йдеться про офлайн-організацію.

У запиті обов’язково зазначте:

• ваше повне ім’я та контактні дані для ідентифікації;
• конкретний перелік даних, які ви хочете видалити;
• підставу для видалення – наприклад, відкликання згоди або відсутність законної мети обробки;
• строк, протягом якого ви очікуєте відповідь (за законом – зазвичай 30 днів).

Відповідно до Закону України «Про захист персональних даних» та Регламенту GDPR (якщо компанія працює з ЄС), кожна особа має право вимагати знищення своїх даних без зайвих пояснень. Відмова можлива лише у випадках, передбачених законом, – наприклад, якщо дані необхідні для виконання судового рішення.

Якщо компанія ігнорує запит або відмовляє без достатніх підстав, дійте за такою схемою:

1. Надішліть повторний запит із посиланням на конкретні статті закону.
2. Зверніться до Уповноваженого Верховної Ради України з прав людини – він контролює дотримання законодавства у сфері захисту персональних даних.
3. Подайте скаргу до суду або регулятора країни ЄС, якщо компанія зареєстрована там.

Зберігайте всі підтвердження відправки запитів – скріншоти, квитанції, листи. Це ваші докази у разі спору.

Деякі платформи, зокрема Google, Facebook, Instagram та інші великі сервіси, мають окремі сторінки для запитів на видалення акаунту й пов’язаних даних. Знайти їх можна у розділах «Конфіденційність», «Налаштування акаунту» або «Центр допомоги». Перед видаленням акаунту завантажте копію своїх даних – більшість платформ надають таку можливість у тих самих налаштуваннях.

Якщо дані вже передані третім особам, компанія зобов’язана повідомити їх про ваш запит на видалення. Ви маєте право отримати перелік усіх одержувачів ваших даних – зробіть окремий запит про розкриття цієї інформації одночасно із запитом на видалення.

Що робити, якщо ваші персональні дані передали третім особам без дозволу

Зафіксуйте факт порушення якомога детальніше: зробіть скріншоти, збережіть листи, повідомлення або будь-які інші докази того, що ваші дані опинились у чужих руках без вашого відома. Ця документація стане основою для подальших дій – скарг, позовів або звернень до регуляторів.

Зв’яжіться з організацією, яка допустила витік. Напишіть офіційний запит із вимогою пояснити, кому, коли і на якій підставі були передані ваші персональні дані. Відповідно до українського законодавства, зокрема Закону «Про захист персональних даних», суб’єкт обробки даних зобов’язаний надати вам таку інформацію. Якщо компанія ігнорує запит або відмовляється відповідати, це є додатковим аргументом під час подачі скарги до уповноваженого органу.

Зверніться до Уповноваженого Верховної Ради України з прав людини – саме ця інституція розглядає скарги щодо порушення законодавства про персональні дані. Скаргу можна подати онлайн через офіційний сайт омбудсмена, додавши зібрані докази.

Якщо ваші дані передали третім особам, а це спричинило матеріальну або моральну шкоду – наприклад, ви почали отримувати шахрайські дзвінки, ваші дані використали для реклами без згоди чи в кредитних схемах – ви маєте право подати позов до суду. Відшкодування моральної шкоди у таких справах передбачено статтею 23 Цивільного кодексу України, і судова практика в цій сфері поступово формується на користь постраждалих осіб.

Паралельно змініть паролі до акаунтів, пов’язаних із витоком, увімкніть двофакторну автентифікацію та перевірте, чи не зареєстровані на ваше ім’я нові облікові записи або кредитні договори. Сервіси на кшталт Have I Been Pwned дозволяють перевірити, чи потрапила ваша електронна адреса до відомих баз витоків.

Якщо порушення стосується компанії, що діє на території Євросоюзу або обробляє дані громадян ЄС, ви також можете подати скаргу до відповідного наглядового органу країни ЄС згідно з регламентом GDPR. Цей механізм діє навіть тоді, коли компанія зареєстрована за кордоном, але надає послуги українцям через європейські структури.

Не залишайте ситуацію без реакції, сподіваючись, що вона вирішиться сама. Кожен випадок незаконної передачі персональних даних – це порушення ваших прав, і мовчання лише заохочує недобросовісних операторів продовжувати таку практику. Чим більше людей фіксують порушення й звертаються до регуляторів, тим більший тиск формується на ринку на користь відповідального ставлення до приватності.

Як захистити свої дані під час реєстрації на сайтах

Використовуйте унікальний пароль для кожного сайту – це базове правило, яке більшість користувачів ігнорує. Паролі на зразок «123456» або дати народження розкриваються зловмисниками за лічені секунди. Надійний пароль містить не менше 12 символів, великі та малі літери, цифри й спеціальні знаки. Щоб не тримати десятки паролів у пам’яті, скористайтеся менеджером паролів – наприклад, Bitwarden або KeePass. Ці програми зберігають облікові дані у зашифрованому вигляді й генерують складні комбінації автоматично.

Перед заповненням реєстраційної форми уважно перевіряйте адресний рядок браузера: сайт повинен працювати за протоколом HTTPS, а не HTTP. Відсутність замка поруч із посиланням – сигнал того, що передані вами дані можуть перехопити треті особи.

Не вказуйте зайвої інформації там, де вона не є обов’язковою. Якщо форма реєстрації запитує номер телефону, дату народження або домашню адресу, але поле не позначене зірочкою як обов’язкове – залиште його порожнім. Чим менше персональних даних отримує сервіс, тим менше інформації може потрапити до зловмисників у разі витоку. Деякі платформи свідомо збирають надлишкові відомості для передачі рекламним партнерам, тому читайте умови конфіденційності хоча б побіжно, звертаючи увагу на розділи про передачу даних третім особам.

Підключіть двофакторну автентифікацію (2FA) одразу після реєстрації.

Для сайтів, яким ви не повністю довіряєте або якими плануєте скористатися лише один раз, заведіть окрему поштову скриньку – так звану «сміттєву пошту». Це дозволить уникнути спаму на основній адресі й не ризикувати даними головного акаунта. Якщо сервіс зазнає злому, зловмисник отримає доступ лише до другорядної скриньки без жодного зв’язку з вашою реальною особою. Сервіси на зразок SimpleLogin або AnonAddy дозволяють створювати одноразові псевдоніми електронної пошти, які автоматично переадресовують листи на вашу основну адресу.

Куди скаржитися у разі порушення прав на персональні дані

Якщо ваші персональні дані були використані без вашої згоди, передані третім особам або оброблені незаконно – першим кроком є звернення до Уповноваженого Верховної Ради України з прав людини (Омбудсмана). Саме ця інституція розглядає скарги громадян щодо порушення права на захист персональних даних і має повноваження проводити перевірки та накладати санкції на порушників.

Скаргу до Омбудсмана можна подати онлайн через офіційний сайт ombudsman.gov.ua, поштою або особисто в секретаріаті. У зверненні потрібно чітко вказати: хто саме порушив ваші права, яким чином це відбулося, коли ви дізналися про порушення та які докази у вас є. Чим детальнішим і структурованішим буде ваш документ, тим швидше його буде опрацьовано.

Паралельно із зверненням до Омбудсмана варто звернутися безпосередньо до організації чи особи, яка допустила порушення, із письмовою вимогою припинити незаконну обробку даних, надати пояснення або видалити ваші дані зі своїх баз. Ця вимога фіксується письмово, і у відповідача є 10 робочих днів на реакцію згідно з українським законодавством.

У випадках, коли порушення пов’язане з кіберзлочинністю – наприклад, ваші дані були викрадені хакерами або потрапили у відкритий доступ через зловмисні дії – слід звертатися до Кіберполіції України. Заяву можна подати онлайн на сайті cyberpolice.gov.ua або у будь-якому відділенні поліції.

Якщо порушення стосується компанії, зареєстрованої в країні Європейського Союзу, або якщо обробка даних відбувалася відповідно до регуляторики ЄС, ви маєте право звернутися до наглядового органу тієї країни ЄС, де знаходиться головний офіс цієї компанії. Перелік усіх органів захисту даних країн-членів ЄС розміщено на сайті edpb.europa.eu.

Судовий захист – ще один дієвий інструмент. Позов до суду можна подати самостійно або через адвоката, якщо ви зазнали матеріальної чи моральної шкоди внаслідок незаконного використання ваших персональних даних. Суди в Україні розглядають подібні справи в рамках цивільного та адміністративного судочинства, а відповідальність для порушника може включати відшкодування збитків і штрафні санкції.

Зберігайте всі докази: скріншоти, листування, повідомлення, виписки з баз даних чи будь-які інші матеріали, що підтверджують факт порушення. Без документального підґрунтя будь-яке звернення – до Омбудсмана, поліції чи суду – буде значно складніше обґрунтувати та довести.

Якщо ви не знаєте, з чого почати або потребуєте безкоштовної правової допомоги, зверніться до Центрів безоплатної правової допомоги, які діють у кожному регіоні України. Там вам нададуть консультацію, допоможуть скласти скаргу та роз’яснять, який орган є найдоцільнішим у вашій конкретній ситуації.

Відео:

Як видалити персональні дані перед продажем техніки

Питання-відповідь: