На якій правовій підставі український бізнес, як правило, обробляє персональні дані працівників для проведення перевірок внутрішньою службою безпеки?
Однією з найбільш розповсюджених правових підстав для обробки персональних даних у вітчизняній правозастосовній практиці є згода особи, яка використовується скрізь – від трудових відносин до встановлення комерційних зв’язків із клієнтами. Щоправда, не в усіх випадках її використання є виправданим і правомірним, а спектр обробки персональних даних, який вона може охопити, нерідко є значно вужчим, ніж здається на перший погляд.
На якій правовій підставі український бізнес, як правило, обробляє персональні дані працівників для проведення перевірок внутрішньою службою безпеки? Або застосовує різні форми контролю за діяльністю працівників? Або обмінюється кадровими даними всередині групи компаній? Або надсилає маркетингові повідомлення клієнтам? Або здійснює клієнтську підтримку? Або формує стратегію просування на основі аналітичних даних клієнтських профілів? Питання риторичні чи відповіді на ці питання будуть риторичними?
Пункт 6 ч. 1 ст. 11 Закону України "Про захист персональних даних" передбачає таку підставу для обробки як необхідність захисту законних інтересів володільця персональних даних. В яких випадках ця підстава може застосовуватись?
Одразу відзначу, що в цій публікації спиратимусь на європейську практику, адже в той час, як в Україні використання законного інтересу не є поширеним, в ЄС ситуація протилежна й тому вона варта уваги: Загальний регламент про захист персональних даних (GDPR), що діє в ЄС, передбачає таку ж підставу обробки (легітимний інтерес), і вона широко застосовується, а наглядові органи із захисту даних мають велику кількість рекомендацій для її правильного застосування.
До слова, GDPR передувала Директива № 95/46/ЄС про захист даних, на основі якої розроблено й Закон України "Про захист персональних даних", а це означає схожість підходів до регулювання відносин із захисту персональних даних.
Що слід знати бізнесу про законний (легітимний) інтерес?
GDPR дозволяє обробляти персональні дані на підставі легітимного інтересу, якщо така обробка необхідна суб’єкту господарювання для досягнення легітимних (законних) цілей, за виключенням випадків, коли інтереси фізичної особи, дані якої обробляються, переважають над інтересами суб'єкта господарювання.
Іншими словами, легітимний інтерес розглядається як засіб збалансування інтересів суб'єкта господарювання та фізичної особи-власника персональних даних. Ключовим у його застосуванні є те, чи має фізична особа розумні очікування, що її персональні дані зазнають певної обробки? Це вимагає від суб'єкта господарювання належним чином задокументувати свій легітимний інтерес та своєчасно належно повідомити фізичну особу про таку обробку.
Якщо порівнювати з іншими можливими підставами для обробки персональних даних (виконання договору, згода та ін.), легітимний інтерес є значно більш гнучкою підставою і може використовуватись для ширшого кола відносин щодо обробки даних, обумовлених законним інтересом суб’єкта господарювання.
Європейська комісія у роз’яснювальних матеріалах на своєму офіційному вебсайті пов’язує наявність права на обробку персональних даних за цією підставою зі звичайною господарською діяльністю суб’єкта господарювання: «Обробка персональних даних у цьому контексті не обов'язково може бути обумовлена юридичним зобов'язанням або відбуватися на виконання умов договору з фізичною особою. У таких випадках обробка персональних даних може бути здійснена на підставі легітимного інтересу».
Європейський суд справедливості у рішенні від 4 травня 2017 року (справа Rigas, C-13/16), аналізуючи на той час ще чинну Директиву № 95/46/ЄС постановив, що для наявності легітимного інтересу потрібна сукупність трьох умов: переслідування володільцем (контролером) легітимного інтересу; необхідність обробки персональних даних для досягнення переслідуваного легітимного інтересу; відсутність пріоритету основоположних прав і свобод суб'єкта даних над інтересами володільця (контролера) даних. Загалом, цей підхід є актуальним і зараз.
У рішеннях наглядових органів країн ЄС, які розглядають скарги фізичних осіб на порушення їх персональних даних, можливо зустріти підходи до застосування концепції легітимного інтересу.
Наприклад, Бельгійський наглядовий орган у справі № 46/2024 (рішення від 15.03.2024) дійшов висновку, що створення банком моделі клієнтських профілів з метою подальшого надання персоналізованих знижок слід розглядати як окрему обробку персональних даних, що здійснюється з урахуванням легітимного інтересу, адже вона є частиною позиціонування банку на ринку. Банк повинен сформувати уявлення про своїх клієнтів, реагуючи на суспільні зміни та тенденції, такі як оцифрування та персоналізація послуг. Без аналізу даних про транзакції модель не може навчатися й знижки не можуть бути запропоновані в персоналізованому порядку через додаток, а тому, за висновком наглядового органу, така обробка є необхідною для досягнення легітимного інтересу.
А як сформувалася українська судова практика?
На жаль, вітчизняна судова практика досі не зосереджує належної уваги на підставах обробки персональних даних, обмежуючись при розгляді поняття «легітимний інтерес» у різних категоріях справ застосуванням правової позиції єдиного органу конституційної юрисдикції України.
Тож у цьому рішенні Конституційний Суд України визначив поняття "охоронюваний законом інтерес" як прагнення до користування конкретним матеріальним та/або нематеріальним благом, як зумовлений загальним змістом об'єктивного і прямо не опосередкований у суб'єктивному праві простий легітимний дозвіл, що є самостійним об'єктом судового захисту та інших засобів правової охорони з метою задоволення індивідуальних і колективних потреб, які не суперечать Конституції і законам України, суспільним інтересам, справедливості, добросовісності, розумності та іншим загальноправовим засадам.
Верховний Суд у п. 23 постанови від 14.01.2022 у справі № 826/20453/16 вказав, що за своїм смисловим навантаженням термін "законний інтерес" є тотожним "охоронюваному законом інтересу", оскільки саме законність обумовлює надання інтересу правової охорони.
У іншій постанові від 29.01.2019 у справі № 824/332/17-а наявність легітимного інтересу Верховний Суд окреслює наступним чином: "юридичне (правове) значення першої стадії земельно-правової процедури [...] полягає в тому, що з отриманням такого дозволу в особи виникає обґрунтоване сподівання, що у разі проходження нею усіх визначених законом стадій цієї процедури [...] бажана земельна ділянка [...] буде їй надана у власність або користування, а тому в особи після отримання дозволу щодо певної земельної ділянки виникає легітимний інтерес, який може бути захищений в судовому порядку." Аналогічна позиція була висловлена адміністративними судами в постановах від 29.01.2019 (справа № 824/332/17-а), від 30.05.2023 (справа № 540/383/22), від 04.07.2023 (справа № 420/2801/22) та ін.
Чимало судових рішень містять схожі обґрунтування в частині визначення законного інтересу як об’єкту судового захисту і всі вони не пов'язані з розглядом спорів щодо правовідносин із захисту персональних даних. Чому? Тому що необхідність захисту законних інтересів володільця персональних даних як можлива підстава для обробки персональних даних (відповідно до п. 6 ч. 1 ст. 11 Закону) не є широко розповсюдженою, а відтак не стає об’єктом судового розгляду.
Проте, навіть з аналізу наявних вітчизняних судових рішень зрозуміло, що законний (легітимний) інтерес пов'язується з розумними очікуваннями фізичної особи, що випливають з конкретних правовідносин. У питаннях обробки персональних даних законний інтерес майже не застосовується через відсутність розуміння за яких умов його можна застосувати, яким чином його слід задокументувати, які фактори брати до уваги під час оцінки балансу інтересів. Тим часом саме використання законного інтересу «розвантажує» перелік обробок даних, що здійснюються (за поточних умов) на підставі згоди – в тих випадках, де вона не може слугувати належною підставою обробки і несе ризик визнання обробки незаконною з усіма наслідками. В умовах відсутності роз’яснень Уповноваженого Верховної Ради України з прав людини, ці прогалини можуть бути заповнені за рахунок правозастосовної практики європейських наглядових органів.
