Витік персональних даних — це не лише «неприємна новина», а порушення ваших особистих немайнових прав, які Закон України «Про захист персональних даних» визнає невід’ємними та непорушними. Суб’єкт персональних даних має право вимагати припинення незаконної обробки, зміни або знищення своїх даних, звертатися зі скаргами до Уповноваженого ВРУ з прав людини та до суду за компенсацією збитків. Тому після виявлення витоку важливо не лише змінити паролі, а й юридично зафіксувати інцидент і заявити свої вимоги.
Які ризики виникають при витоку даних
Персональні дані — це будь-яка інформація, що дозволяє вас ідентифікувати (ПІБ, контакти, документи, ідентифікаційні номери, фінансові дані тощо), а їх неправомірне поширення створює як фінансові, так і репутаційні ризики. Серед типових наслідків витоку юристи називають шахрайські дії з використанням ваших документів, оформлення кредитів, соціальну інженерію (дзвінки, фішинг, підміна особи), небажені дзвінки й розсилки, а також цільові атаки на акаунти.
Крім цього, у разі витоку медичних, біометричних або інших «чутливих» даних може йтися про серйозне порушення приватного життя, що посилює обсяг моральної шкоди. Саме тому закон передбачає як адміністративну й, у тяжчих випадках, кримінальну відповідальність для володільців та розпорядників, так і право постраждалого вимагати компенсації.
Як вимагати видалення персональної інформації
Закон прямо дає вам право пред’являти вмотивовану вимогу щодо зміни або знищення персональних даних, якщо вони обробляються незаконно чи є недостовірними. Це реалізація так званого «права на забуття», яке, за роз’ясненнями юристів, вже відображене у вітчизняному законодавстві як можливість вимагати знищення або зміни даних у випадку незаконної чи неправильної обробки.
Практично алгоритм такий:
- звернутися письмово до володільця / розпорядника персональних даних (компанії, сервісу, установи), пояснити, який витік стався і які саме дані стосуються вас;
- послатися на статтю 8 Закону та вимагати припинити незаконну обробку, обмежити доступ, змінити або знищити дані, а також надати відповідь у встановлений законом строк;
- окремо вимагати повідомити, кому та коли дані передавалися і які заходи вжито для мінімізації наслідків витоку.
Фахові рекомендації наголошують, що перед зверненням до Уповноваженого або суду бажано спочатку направити вимогу безпосередньо володільцю / розпоряднику, дії чи бездіяльність якого порушили ваше право.
Як зафіксувати факт витоку
Щоб захистити свої права, необхідно мати докази, що витік справді стався і стосується саме ваших даних. Допоможуть:
- повідомлення компанії чи сервісу про інцидент безпеки;
- скриншоти або копії баз, де видно ваші дані;
- листування, в якому вам підтвердили факт витоку або неправомірного доступу;
- технічні звіти (якщо надавалися) про інцидент, логи безпеки;
- докази наслідків: дзвінки шахраїв, спроби входу в акаунти, оформлені на вас послуги тощо.
Юристи радять фіксувати інцидент максимально швидко: зберегти вебсторінки, скриншоти, заголовки e‑mail, журнали подій у сервісах. Це потім стане базою як для звернення до володільця даних, так і для скарги Омбудсману чи позову до суду.
Чи можна отримати компенсацію збитків
Так. Законодавство передбачає цивільну відповідальність за неправомірну обробку персональних даних: суб’єкт може вимагати компенсації збитків (матеріальних і моральних), завданих порушенням. Для цього потрібно показати не лише сам факт витоку, а й те, які саме наслідки він для вас мав: фінансові втрати, витрати на захист, погіршення психологічного стану, порушення приватного життя тощо.
Паралельно до володільця даних можуть застосовуватися:
- адміністративні штрафи за порушення законодавства про захист персональних даних (у межах тисяч–десятків тисяч гривень залежно від ролі та тяжкості порушення);
- заходи контролю з боку регулятора: припинення обробки, видалення даних, інші приписи.
У практичних оглядах зазначається, що перспективи позову значно вищі, якщо ви можете прив’язати витік до конкретного володільця/розпорядника, показати недотримання ним вимог закону (відсутність належних технічних і організаційних заходів, незаконна передача даних, відсутність належної згоди тощо) і документально підтвердити шкоду.
Куди подавати скаргу
Окрім вимог до самого володільця даних, закон прямо дозволяє суб’єкту персональних даних:
- звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини;
- звертатися до суду за захистом прав і компенсацією збитків.
Офіс Омбудсмана приймає скарги письмово (поштою, електронною поштою чи через онлайн‑форму) з дотриманням вимог Закону «Про звернення громадян»: у скарзі потрібно вказати ПІБ, адресу, контактні дані, описати порушення, додати копії звернень до володільця даних і його відповіді (якщо були) та інші докази. Строк подання скарги — протягом року після виявлення порушення.
Якщо звернення до володільця даних і Омбудсмана не дають результату, або якщо ви одразу хочете домогтися компенсації шкоди, доцільно звертатися до суду з позовом про порушення прав на персональні дані та стягнення збитків. При цьому можна одночасно посилатися на результати перевірки Уповноваженого, якщо вона вже була проведена.
Витік персональних даних — це інцидент, який варто сприймати серйозно: захист починається з фіксації факту, письмових вимог до володільця даних і, за потреби, звернення до Омбудсмана та суду за компенсацією.
Юристи з кримінального права «Центру Правової Допомоги» можуть допомогти у таких ситуаціях з аналізом інциденту, підготовкою вимоги до компанії‑володільця, формуванням доказової бази, складанням скарги до Уповноваженого та підготовкою позову до суду про стягнення матеріальної й моральної шкоди, завданої витоком ваших персональних даних.
