У своїй професійній діяльності адвокати обробляють спектральні персональні дані, а відтак, встановлення чіткого регламенту такої обробки має основоположне значення для дотримання прав людини. Окрім того, недотримання обігу даних в роботі адвоката може за собою тягнути і дисциплінарні наслідки та породжувати численні питання до роботи адвоката та бути інструментом в руках опонентів.
У ст. 7 Правил адвокатської етики, затверджених Звітно-виборним з’їздом адвокатів України від 09.06.2017 (далі — ПАЕ),зазначено, що у своїй професійній діяльності адвокат (адвокатське бюро, адвокатське об’єднання) зобов’язаний використовувати всі свої знання та професійну майстерність для належного захисту й представництва прав та законних інтересів клієнта, дотримуючись чинного законодавства України, сприяти утвердженню та практичній реалізації принципів верховенства права та законності [1].
Одним із складних питань практики є праворозуміння щодо реалізації професійного обов’язку адвоката повідомляти Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про зміну відомостей, що підлягають повідомленню, та про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці. В основному адвокати доходять висновку, що у зв’язку з необхідністю зберігати адвокатську таємницю, що, приміром, закріплена в ст. 22 Закону України «Про адвокатуру та адвокатську діяльність», ст. 12 ПАЕ, жодних додаткових повідомлень омбудсмена не повинно бути.
Отож, спробуємо привідкрити правову завісу та висвітлити алгоритм роботи адвоката при обробці даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних. Особливо акцентуємо увагу на діяльності адвокатів при провадженні медичних справ, в яких здійснюється обіг даних, які є об’єктом лікарської таємниці.
У ч. 3 ст. 21 Закону України «Про адвокатуру та адвокатську діяльність» зазначено, що адвокат забезпечує захист персональних даних про фізичну особу, якими він володіє, відповідно до законодавства з питань захисту персональних даних [2]. Отже, ця бланкетна норма скеровує адвоката до законодавства про захист персональних даних, яким, за ст. 3 Закону України «Про захист персональних даних», є Конституція України, цей Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов’язковість яких надана Верховною Радою України [3]. Відповідно до ч. 1 ст. 9 Закону України «Про захист персональних даних», володілець персональних даних повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних.
Згідно з п. 1.2. Порядку повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації затвердженого Наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1-02/14 (далі — Порядок), обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів — це будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про:
1) расове, етнічне та національне походження;
2) політичні, релігійні або світоглядні переконання;
3) членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
4) стан здоров’я;
5) статеве життя;
6) біометричні дані;
7) генетичні дані;
8) притягнення до адміністративної чи кримінальної відповідальності;
9)застосування щодо особи заходів в рамках досудового розслідування;
10) вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;
11) вчинення щодо особи тих чи інших видів насильства;
12) місцеперебування та/або шляхи пересування особи [4].
Володілець персональних даних повідомляє Уповноваженого про здійснення ним будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, крім випадків, встановлених у цьому Порядку. До переліку винятків не належить провадження адвокатської діяльності.
У п. 3 Роз’яснення Уповноваженого Верховної Ради України з прав людини основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, від 08.01.2014 зазначено, що обробка вважатиметься чутливою в разі, якщо:
1) склад персональних даних про особу, які обробляються володільцем, включає відомості вказані в п. 2 змісту або
2) коли володільцем обробляються персональні дані певної категорії суб’єктів, яку можна виділити за вказаним в п. 2 критерієм [5].
Підкреслимо, що в п. 2 Роз’яснення перелічено дані, визначені в Порядку. При провадженні адвокатської діяльності адвокат обробляє персональні дані, які згідно з цим Порядком віднесено до таких, що становлять особливий ризик для прав і свобод суб’єктів.
Відповідно до Листа Уповноваженого Верховної Ради України з прав людини № 864.8/С/917.7/22/22/45.2 від 19.12.2022, наданого за зверненням ГО «Фундація медичного права та біоетики України»: «Володілець, розпорядник персональних даних самостійно визначають перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сфері захисту персональних даних, інформаційної безпеки. Відповідно до ч. 4 ст. 24 Закону України «Про захист персональних даних», фізичні особи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють, згідно з вимогами закону… При цьому, ч. 3 ст. 21 Закону України «Про адвокатуру та адвокатську діяльність» встановлено, що адвокат забезпечує захист персональних даних про фізичну особу, якими він володіє, відповідно до законодавства з питань захисту персональних даних… З огляду на зазначене, володільці персональних даних, на яких поширюється вимога повідомлення Уповноваженого про обробку та структурний підрозділ або відповідальну особу, в тому числі особи, які здійснюють адвокатську діяльність, повідомляють Уповноваженого в будь-який доступний їм спосіб».
Розглянемо, приміром, обсяг даних, які оброблятиме адвокат при провадженні медичних справ. До таких належатимуть: стан здоров’я, статеве життя, біометричні дані, генетичні дані як спеціальні, а також загальні дані — притягнення до адміністративної відповідальності, притягнення до кримінальної відповідальності, застосування щодо особи заходів в рамках досудового розслідування, місцеперебування та/або шляхи пересування особи.
З огляду на наведене сформулюємо поради для адвоката з метою дотримання ними законодавства про захист персональних даних у своїй діяльності:
1) підготувати і затвердити для адвокатської практики Положення про обробку персональних даних;
2) повідомляти Уповноваженого Верховної Ради України з прав людини про чутливу обробку даних;
3) повідомляти Уповноваженого Верховної Ради України з прав людини про структурний підрозділ або відповідальну особу за обробку даних, які становлять особливий ризик для прав і свобод суб'єктів персональних даних;
4) подавати до Секретаріату Уповноваженого Верховної Ради України з прав людини Заяву про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних (Додаток 1 до Порядку). Кожна сторінка заяви має бути пронумерована та скріплена печаткою (у разі наявності) і підписом уповноваженої на те особи;
5) при чутливій обробці даних повідомити омбудсмена про створення структурного підрозділу або призначення відповідальної особи, що організовує роботу, пов’язану із захистом персональних даних при їх обробці. До Секретаріату Уповноваженого Верховної Ради України з прав людини подається Заява про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язануіз захистом персональних даних при їх обробці (Додаток 4 до Порядку);
6) щодо строків повідомлення слід пам’ятати: а) адвокат повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки; б) адвокат повідомляє Уповноваженого про створення структурного підрозділу або призначення відповідальної особи впродовж 30 днів з моменту створення підрозділу абопризначення відповідальної особи;
7) повідомлення здійснюються на вибір адвоката в такі способи: надсилаються листом, електронною поштою, факсом, а також можна подати особисто через спеціально встановлену скриньку для вхідної кореспонденції у приміщенні Секретаріату омбудсмена. В разі направлення заяви електронною поштою така заява має бути відсканована;
8) адвокатові слід сформувати систему заходів щодо захисту даних при провадженні діяльності, зокрема не допускати незаконної обробки.
Література:
1. Правила адвокатської етики, затверджені Звітно-виборнимз’їздом адвокатів України від 09.06.2017 (зі змінами і доповненнямивід 15.02.2019). URL: https://cutt.ly/QwqEs0ak
2. Закон України «Про адвокатуру та адвокатську діяльність» від 05.07.2012 № 5076-VI. URL: https://cutt.ly/twqEdOQR
3. Закон України «Про захист персональних даних» від 01.06.2012№ 2297-VI. URL: https://cutt.ly/LwqEdALR
4. Порядок повідомлення Уповноваженого Верховної Ради Україниз прав людини про обробку персональних даних, яка становитьособливий ризик для прав і свобод суб’єктів персональних даних про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, атакож оприлюднення вказаної інформації, затверджений НаказомУповноваженого Верховної Ради України з прав людини від 08.01.2014 №1-02/14. URL: https://cutt.ly/uwqEfoa8
5. Роз’яснення Уповноваженого Верховної Ради України з правлюдини основних положень Порядку повідомленняУповноваженого щодо визначення обробки персональних даних,яка становить особливий ризик для прав і свобод суб'єктівперсональних даних від 08.01.2014. URL: https://cutt.ly/7wqEffol
Підготувала Ірина Сенюта, доктор юридичних наук, професор, завідувач кафедри медичного права ФПДО Львівського національного медичного університету імені Данила Галицького, голова Комітету медичного і фармацевтичногоправа та біоетики НААУ
Матеріал опубліковано у збірнику матеріалів ХІІІ Міжнародної науково-практичної конференції «Глобалізація українського законодавства як результат війни Російської Федерації проти України» (м. Київ, 19 квітня 2023 р.). https://cutt.ly/CwqEsubS