Имеет ли право кассир или официант сканировать Дию?

Доброго дня, Олексію!

Перш за все, звичайно, хотілось би дізнатися, з якої причини офіціант сканує Дію? Які персональні дані можуть йому знадобитись в цьому застосунку для роботи з клієнтом?!

Як би там не було, офіціант не відноситься до категорії тих осіб, які за законом мають доступ до персональних даних та право на їх обробку, але давайте все розглянемо по порядку і згідно українського законодавства...

Захист персональних даних в Україні регулюється наступними законами та нормативними актами:

• Конвенція про захист прав людини і основоположних свобод від 04 листопада 1950 року
• Конституція України
• Закон України "Про захист персональних даних"
• Закон України "Про доступ до публічної інформації"
• Кодекс України про адміністративні правопорушення
• Наказ Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02-14 "Про затвердження документів у сфері захисту персональних даних"
• Роз'яснення Міністерства юстиції України від 21 грудня 2011 року "Деякі питання практичного застосування Закону України "Про захист персональних даних""
• Роз'яснення Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року "Роз'яснення до Типового порядку обробки персональних даних"

До суб'єктів відносин, пов'язаних із персональними даними, відносяться:

Згідно з положеннями статті 8 Закон України "Про захист персональних даних" суб'єктом персональних даних є фізична особа, персональні дані якої обробляються і яка має право:

1. знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2. отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3. на доступ до своїх персональних даних;
4. отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5. пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6. пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7. на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8. звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
9. застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10. вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11. відкликати згоду на обробку персональних даних;
12. знати механізм автоматичної обробки персональних даних;
13. на захист від автоматизованого рішення, яке має для нього правові наслідки.

Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.

Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.Третьою особою є будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Відповідно до статті 5 Закон України "Про захист персональних даних" об’єктами захисту є персональні дані.

Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою.

Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, уповноваженою на виконання функцій держави або місцевого самоврядування, посадових або службових повноважень.

Персональні дані, зазначені у декларації особи, уповноваженої на виконання функцій держави або місцевого самоврядування, оформленій за формою, визначеною відповідно до Закону України "Про запобігання корупції", не належать до інформації з обмеженим доступом, крім відомостей, визначених Законом України "Про запобігання корупції".

Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених ст. 6 Закону України "Про доступ до публічної інформації".

Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.

Підстави для обробки персональних даних наступні:

1. згода суб'єкта персональних даних на обробку його персональних даних;
2. дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3. укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних;
4. захист життєво важливих інтересів суб'єкта персональних даних;
5. необхідність виконання обов'язку володільця персональних даних, який передбачений законом;
6. необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб'єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес (стаття 11 Закону України "Про захист персональних даних"

Під час обробки персональних даних можливі такі дії6

I. Збирання: суб'єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, мету збору персональних даних та осіб, яким передаються його персональні дані:

II. Накопичення персональних даних - дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.III. Зберігання персональних даних - дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.IV. Поширення персональних даних - дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.

НАРЕШТІ!

Відповідальність за порушення законодавства про захист персональних даних наступає така:

Адміністративна відповідальність

Громадяни, посадові особи, громадяни – суб'єкти підприємницької діяльності притягуються до адміністративної відповідальності (стаття 18839 Кодексу України про адміністративні правопорушення) за вчинення таких правопорушень:

За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до кримінальної відповідальності (стаття 182 Кримінального кодексу України).

Виникнуть додаткові питання, тисніть кнопку "звернутись" біля мого фото. Охоче на них відповім!

Добрий день.

Такі дії офіціанта є правомірними.

Документи в Дії мають коди перевірки (QR-код та штрихкод), які генеруються під час натискання на картку документа в застосунку. Ви можете відсканувати їх за допомогою спеціальних зчитувачів, сканера QR-кодів у Дії або ввести 13-значний код. Коди не містять ніякої персональної інформації, вони одноразові та діють протягом 3 хвилин.

При валідації можна отримувати підтвердження дійсності документа, відповідності ПІБ користувача даним у вашій системі або відповідності віку користувача.

Якщо ви використовуєте "Дію", для того, щоб пред’явити свій цифровий документ, то ви маєте показати QR-код. Оператор, який у вас його дивиться, повинен зчитати його пристроєм, наприклад, звичайним телефоном, на якому встановленим серверний додаток "Дія", і від державного реєстру отримати підтвердження, що саме цей QR-код відповідає або ковідному сертифікату, або водійським правам, або паспорту тощо.

Відрізнити підроблений COVID-сертифікат від справжнього можна лише відсканувавши QR-код, який буде порівняно з реєстром у МОЗ. Ані паперову довідку, ані цифровий скан неможливо відрізнити неозброєним оком.

Тому всі працівники відповідних установ, де потрібне сканування QR-коду, повинні бути забезпечені виконавчою владою відповідним програмним забезпеченням та гаджетами, якщо ми будемо забезпечувати цей механізм.

Сам додаток "Дія" це програмне забезпечення, яке не зберігає персональні дані. Воно є місточком між екраном вашого телефону та тими реєстрами, які знаходяться на території України і захищені відповідними державними органами. Додаток "Дія" робить обмін інформацією.

Таким чином, офіціант не зберігає в себе вашу персональну інформацію, він лише робить перевірки дійсності того документа, який ви пред'являєте в електронній формі.

Щодо безпечності додатку, то Мінцифри регулярно проводить пента-тести, коли винаймають етичних хакерів, які постійно ламають "Дію" і шукають вразливості. Крім того, цифровий документ більш захищений, ніж паперовий.

Нормативна база

КАБІНЕТ МІНІСТРІВ УКРАЇНИ ПОСТАНОВА від 18 серпня 2021 р. № 911 Про затвердження Порядку формування та перевірки е-паспорта і е-паспорта для виїзду за кордон, їх електронних копій

8. Е-паспорт, е-паспорт для виїзду за кордон пред’являються особою на електронному пристрої, критерії якого підтримують використання мобільного додатка Порталу Дія.

9. Перевірка е-паспорта та е-паспорта для виїзду за кордон з використанням унікального електронного ідентифікатора у режимі реального часу є обов’язковою умовою їх використання особою для отримання адміністративних та інших послуг, у будь-яких інших випадках, передбачених законодавством.

Перевірка е-паспорта, е-паспорта для виїзду за кордон здійснюється за допомогою електронних пристроїв шляхом зчитування або введення унікального електронного ідентифікатора, який забезпечує отримання даних з Реєстру інформаційними ресурсами єдиної інформаційної системи МВС на запит Порталу Дія.

Перевірка та підтвердження даних про реєстраційний номер облікової картки платника податків реєстраційним даним особи, внесеним до Державного реєстру фізичних осіб - платників податків, здійснюється Порталом Дія за допомогою технічних засобів, зокрема з використанням унікального електронного ідентифікатора шляхом інформаційної взаємодії з Державним реєстром фізичних осіб - платників податків з урахуванням вимог законодавства з питань захисту інформації в інформаційно-телекомунікаційних системах.

За результатами перевірки на електронному пристрої, за допомогою якого здійснювалася така перевірка засобами Порталу Дія, формується відповідне інформаційне повідомлення.

...

12. Органи державної влади, органи місцевого самоврядування, юридичні та фізичні особи для забезпечення можливості перевірки е-паспорта та е-паспорта для виїзду за кордон та отримання електронних копій (відомостей, даних) підключають власні інформаційні системи до Порталу Дія.

Для підключення інформаційних систем до Порталу Дія органами державної влади, органами місцевого самоврядування, юридичними та фізичними особами разом з держателем Порталу Дія визначається порядок інформаційної взаємодії та формат файлів, які містять електронні копії (відомості, дані), що передаються.

Інформаційні системи органів державної влади, органів місцевого самоврядування, юридичних та фізичних осіб, що підключаються до Порталу Дія для забезпечення можливості отримання електронних копій (відомостей, даних), повинні відповідати вимогам законодавства у сфері захисту інформації в інформаційно-телекомунікаційних системах.

Органи державної влади, органи місцевого самоврядування, юридичні та фізичні особи забезпечують належне функціонування та безперебійну роботу власних інформаційних систем для забезпечення можливості перевірки е-паспорта та е-паспорта для виїзду за кордон та для отримання за рішенням особи електронних копій (відомостей, даних).

Органи державної влади, органи місцевого самоврядування, юридичні та фізичні особи під час обробки персональних даних забезпечують виконання вимог Закону України “Про захист персональних даних” у зв’язку з отриманням електронних копій (відомостей, даних).

16. Використання та/або перевірка е-паспорта та е-паспорта для виїзду за кордон може здійснюватися також з використанням резервного унікального електронного ідентифікатора у формі QR-коду (далі - резервний QR-код) у разі відсутності підключення електронних пристроїв до Інтернету та/або працездатності Порталу Дія, та/або відсутності електронної інформаційної взаємодії між Порталом Дія та Реєстром та/або автоматизованими інформаційними і довідковими системами, реєстрами та банками даних, держателями (адміністраторами) яких є органи державної влади, органи місцевого самоврядування.

Резервний QR-код формується автоматично засобами Порталу Дія та містить інформацію з Реєстру, зазначену в пунктах 5 і 6 цього Порядку, та оновлюється кожні 48 годин за умови підключення електронного пристрою до Інтернету та наявності необхідної інформації в Реєстрі.

Резервний QR-код зберігається з мобільного додатка Порталу Дія на електронний пристрій особи та розміщується в його сховищі.

Використання та/або перевірка е-паспорта та е-паспорта для виїзду за кордон за резервним QR-кодом здійснюється виключно у таких випадках:

перевезення пасажирів транспортом загального користування (залізничним, морським, річковим, автомобільним, авіаційним та міським електротранспортом);

допуску до складення зовнішнього незалежного оцінювання та іспитів у закладах освіти.

17. Інформаційна взаємодія здійснюється з використанням засобів системи електронної взаємодії державних електронних інформаційних ресурсів.

У разі відсутності технічної можливості передачі даних з використанням каналів зв’язку системи електронної взаємодії державних електронних інформаційних ресурсів інформаційна взаємодія суб’єктів інформаційних відносин може здійснюватися з використанням інших інформаційно-телекомунікаційних систем із застосуванням в них відповідних комплексних систем захисту інформації з підтвердженою відповідністю за результатами державної експертизи в порядку, встановленому законодавством.

Технічна процедура інформаційної взаємодії визначається Мінцифри разом із суб’єктами інформаційної взаємодії.

Обмін інформацією здійснюється в електронній формі з дотриманням вимог Законів України “Про електронні довірчі послуги”, “Про захист персональних даних”, “Про захист інформації в інформаційно-телекомунікаційних системах”.

При виникненні додаткових питань натискайте кнопку "Звернутися". Буду радий допомогти.

Доброго дня, кюар код на сертифікат з вакцинації не містив ні яких персональних даних. Тому офіціант має право в певнитися в вашій вакцинації.

ВИСНОВОК якщо ви хочете відвідати заклад вы повинні надати кюар код., Нічого тут страшного не має.

Якщо я допоміг вирішити ваше питання ставте ✅ біля фото підтримайте лайком залиште відгук.

Для детальної консультації натискайте кнопку звернутися.

Доброго дня!

По Вашому питанню повідомляю наступне:

Дані, що підтверджують проходження обов язкових щеплень може отримати, якщо це передбачено регламентом закладу на виконання постанов КМУ.

Все інше лише за вашою згодою , або на підставі рішень суду чи правохоронних органів.

вільно поширюватись може та інформація про фізичну, юридичну особу, яка є відкритою відповідно до законодавства. Це також стосується інформації, яка раніше була правомірно оприлюднена розпорядником (частина третя статті 6 Закону «Про доступ до публічної інформації»).

Також поширюватись може конфіденційна інформація про особу, її персональні дані, якщо ця особа надала свою згоду на поширення або самостійно поширила її серед необмеженого кола осіб, наприклад, розповіла про певні факти свого життя в прямому ефірі телеканалу, опублікувала її у соціальних мережах без обмеження режиму доступу

В деяких випадках така інформація може поширюватись без згоди особи. Відповідно до частини другої статті 14 Закону «Про захист персональних даних» поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини. До таких законів ми можемо віднести, наприклад, податкове чи кримінально-процесуальне законодавство, що надають право відповідним органам отримувати обмежену у доступі інформацію для виконання своїх функцій.

Одним із законів, що дозволяє поширювати такі дані є Закон «Про доступ до публічної інформації». У ньому закріплено загальну конструкцію, що регулює поширення обмеженої у доступі інформації – трискладовий тест (частина друга статті 6 цього Закону).

Трискладовий тест зобов’язує розпорядників інформації, розглядаючи запит на публічну інформацію або вирішуючи чи оприлюднювати інформацію на сайті, з’ясовувати:

• чи обмежується доступ до інформації на підставі закону в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя?

У випадку із конфіденційною інформацією таким інтересом скоріш за все буде захист репутації або прав інших людей, або запобігання розголошенню інформації, одержаної конфіденційно. Доступ до такої інформації може бути обмежено Законом «Про захист персональних даних» або іншими законами.

Розпорядник повинен з’ясувати чи настануть для особи, якої стосується конфіденційна інформація, негативні наслідки через поширення цієї інформації. Якщо поширення інформації не матиме значний негативний вплив, то інформація може поширюватись. Якщо розголошення завдасть істотної шкоди, то розпорядник повинен перейти до наступного питання, а саме:

Іншими словами, розпорядник інформації повинен у конкретній ситуації оцінити, збалансувати та вирішити, який інтерес має більший пріоритет. Якщо переважає інтерес суспільства – надати інформацію, а якщо інтерес захисту приватності – відмовити. При цьому, розпорядник зобов’язаний врахувати вимоги частини сьомої статті 6 Закону «Про доступ до публічної інформації», а саме: надати сам запитуваний документ (якщо запитувач просив надати документ), вилучивши з нього ці конфіденційні відомості.

На відміну від інших видів обмеженої у доступі інформації, розпорядники конфіденційної інформації за відсутності згоди суб’єкта персональних даних можуть поширити таку інформацію лише в інтересах національної безпеки, економічного добробуту та прав людини.

КОНФІДЕНЦІЙНА ІНФОРМАЦІЯ ПРО ОСОБУ, В ТОМУ ЧИСЛІ ПЕРСОНАЛЬНІ ДАНІ, МОЖУТЬ ПОШИРЮВАТИСЬ РОЗПОРЯДНИКОМ ЗА ЗГОДИ ЦІЄЇ ОСОБИ АБО БЕЗ ТАКОЇ ЗГОДИ НА ПІДСТАВІ ЗАКОНУ

ЗАКОН «ПРО ДОСТУП ДО ПУБЛІЧНОЇ ІНФОРМАЦІЇ» ДОЗВОЛЯЄ ПОШИРЮВАТИ ТАКУ ІНФОРМАЦІЮ, ЯКЩО СУСПІЛЬНИЙ ІНТЕРЕС В ЇЇ ОТРИМАННІ (ЩО ПОЛЯГАЄ В ІНТЕРЕСАХ НАЦІОНАЛЬНОЇ БЕЗПЕКИ, ЕКОНОМІЧНОГО ДОБРОБУТУ ТА ПРАВ ЛЮДИНИ) ПЕРЕВАЖАЄ ШКОДУ, ЯКА МОЖЕ БУТИ ЗАВДАНА РОЗГОЛОШЕННЯМ ІНФОРМАЦІЇ.

З першого погляду, одразу два закони регулюють відносини щодо надання конфіденційної інформації про фізичну особу, що знаходиться у володінні розпорядників інформації. І ці закони мають різні вимоги щодо оформлення запитів на інформацію. Відповідно до Закону «Про доступ до публічної інформації» запитувач має право отримати інформацію незалежно від того, стосується вона його особисто чи ні, без пояснення причини подання запиту. Йому достатньо вказати у запиті своє ім’я, контактні дані, опис запитуваної інформації (підпис і дату, якщо запит письмовий). В той же час Закон «Про захист персональних даних», зобов’язує запитувача не тільки ідентифікувати себе (зазначати паспортні дані, місце проживання тощо), а й вказувати мету і підстави отримання інформації.

Оскільки недотримання вимог оформлення запиту має наслідком відмову у наданні запитуваної інформації, важливо все таки з’ясувати, яким законом має керуватись розпорядник при розгляді запиту. У пункті 1 статті 16 Закону «Про захист персональних даних» міститься відсилкова норма: «…Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України «Про доступ до публічної інформації». Також, у частині четвертій статті 13 Закону «Про доступ до публічної інформації» зазначено, що «усі розпорядники інформації незалежно від нормативно-правового акта, на підставі якого вони діють, при вирішенні питань щодо доступу до інформації мають керуватися цим Законом».

Із зазначеного вище випливає, що керуватись слід саме Законом «Про доступ до публічної інформації». Тому, вирішальним є те, до кого звернувся запитувач: до розпорядника інформації, визначеного у статті 13 Закону «Про доступ до публічної інформації» – цей Закон, якщо до іншого володільця персональних даних, визначеного у статті 2 Закону «Про захист персональних даних»

Те, що конфіденційна інформація буде надаватись відповідно до Закону «Про доступ до публічної інформації», зовсім не означає, що вона може легко на розсуд службовця, який розглядає запит, поширюватись серед необмеженого кола осіб. Трискладовий тест зобов’язує якомога повніше оцінювати обставини справи. І тільки дуже вагомі аргументи на користь суспільного інтересу (який полягає лише в інтересах національної безпеки, економічного добробуту та прав людини) можуть схилити терези на користь розголошення інформації. Тим більше, якщо це стосується чутливої інформації.

Без такого балансу, ми автоматично закриваємо усі персональні дані, що не відповідає практиці Європейського суду з прав людини. У цьому і специфіка, і родзинка, і звичайно ж складність застосування цих двох законів: ні право на інформацію, ні право на приватність не мають пріоритету один над одним. Тільки у конкретній ситуації з врахуванням конкретних обставин ми можемо сказати, яке з цих прав переважає.

У Вашій ситуації інформація про компанію , особу чи інше може бути розголошена , якщо вона становить інтерес для кримінального провадження за попереднього погодження з прокуратурою , або така інформація може буди отримана за ухвалою суду, а особа котра вимагає надати інформацію повинна надати вам копію документа на основі якого вона має право отримати цю інформацію(санкція прокурора або ухвала суду) без вказаних документів не має підстав для надання персональних даних про особу чи організацію в порядку ст.214 КПК України.

З повагою,

Костянтин Гончаренко