25 липня 2025 року справа №320/28811/24
Київський окружний адміністративний суд у складі судді Білоноженко М.А., розглянувши у порядку спрощеного позовного провадження без повідомлення учасників справи адміністративну справу за позовом ОСОБА_1 до Державного підприємства «Дія» про визнання дій протиправними, зобов'язання вчинити дії -
ОСОБА_1 ( АДРЕСА_1 ) звернулась до Київського окружного адміністративного суду з позовом до Державного підприємства «Дія» (03150, м. Київ, вул. Ділова, 24, код ЄДРПОУ 43395033), в якому просила суд:
- визнати протиправною бездіяльність Державного підприємства «Дія» стосовно ігнорування звернень ОСОБА_1 з вимогою видалення своїх персональних даних з Порталу «Дія»;
- зобов'язати знищити Державне підприємство «Дія» персональні дані ОСОБА_1 у базі даних Порталу «Дія».
В обґрунтування заявлених позовних вимог позивач зазначив, що примушування до обробки персональних та конфіденційних даних та не видалення їх за вимогою є неправомірним втручанням в особисте життя позивача та порушення вимог ст.8 ЗУ «Про захист персональних даних».
Ухвалою суду від 09 липня 2024 року відкрито провадження у справі за правилами спрощеного позовного провадження без повідомлення учасників справи.
Відповідач, не погоджуючись із доводами позивача, надав відзив на позовну заяву, в якому зазначив, що звернення позивача були розглянуті та надані відповіді на електронну адресу заявника. Зауважив, що персональні дані користувачів мобільного додатку Порталу Дія, які отримуються ним з реєстрів, на серверах не зберігаються, а передаються та зберігаються на мобільному телефоні користувача. Відтак, персональні дані видаляються користувачем разом з видаленням цього додатку з мобільного пристрою.
Розглянувши подані документи і матеріали, з'ясувавши фактичні обставини, на яких ґрунтується позов, оцінивши докази, які мають юридичне значення для розгляду справи і вирішення спору по суті, судом встановлено наступне.
29.09.2023 та 27.01.2024 позивач зверталась із заявами до ДП «Дія», в яких просила видалити свої дані із вказаного сервісу, проте жодної відповіді на свої звернення не отримала, в зв'язку із чим була змушена звернутись до суду із даним позовом, при вирішенні якого суд виходить із наступного.
Відповідно до п. 1.1. Статуту Державного підприємства «Дія» (далі - ДП «Дія»), затвердженого наказом Міністерства цифрової трансформації України від 03.12.2019 № 14 (у редакції наказу Міністерства цифрової трансформації України від 19.10.2022 № 107, далі- Статут), підприємство засноване на державній власності та належить до сфери управління Міністерства цифрової трансформації України.
Згідно з п.п. 1 п. 2.2. Статуту, предметом діяльності підприємства є, зокрема, створення, розробка, підтримка, адміністрування, забезпечення функціонування, супроводження, модернізація, удосконалення та технічне супроводження електронних інформаційних ресурсів (реєстрів, автоматизованих інформаційних систем, баз даних), програмно-інформаційних комплексів та інших інформаційних систем, держателем (розпорядником) яких є Міністерство цифрової трансформації України та інші органи державної влади відповідно до законодавства.
Мету, основні завдання, функціональні можливості та суб'єктів Порталу Дія, зміст розміщеної на ньому інформації та порядок її внесення, порядок ведення Реєстру адміністративних послуг, а також інші питання функціонування Порталу Дія визначає Положення про Єдиний державний веб-портал електронних послуг, затвердженого постановою Кабінету Міністрів України від 04.12.2019 № 1137 (далі-Положення).
Відповідно до п. 14 Положення Портал Дія - організована сукупність інформаційно-комунікаційних, інформаційних систем, які діють як єдине ціле та у взаємодії з іншими інформаційними та інформаційно-комунікаційними системами. Портал Дія організаційно-технічно складається, зокрема, з мобільного додатка Порталу Дія, освітнього мобільного додатка «Мрія», Реєстру адміністративних послуг, електронного кабінету користувача, мобільних додатків, інформаційних систем, підсистеми перевірки даних, інших складових.
Пунктом 2 Положення визначено, що до суб'єктів Порталу Дія належать: користувач - будь-яка фізична або юридична особа, яка після проходження ідентифікації та автентифікації в порядку, встановленому цим Положенням, використовує засоби Порталу Дія відповідно до їх функціонального призначення; технічний адміністратор - державне підприємство «Дія», що належить до сфери управління Мінцифри.
Згідно п. 8 Положення, користувач використовує Портал Дія для отримання електронних публічних послуг, інформації, розгляду заяв (звернень, запитів) та адміністративних справ, проходження опитування, доступу до благодійної (волонтерської) діяльності, перегляду теле- і радіопрограм та/або теле- і радіопередач, отримання інформації з національних електронних інформаційних ресурсів, інших інформаційно-комунікаційних систем, єдиних інформаційних систем та систем електронного документообігу. Пунктом 11 Положення передбачено, що технічний адміністратор ДП «Дія» здійснює створення, модернізацію, розвиток, адміністрування та забезпечення функціонування Порталу Дія.
Підпунктом 4 п. 5 Положення встановлено, що Портал Дія виконує такі основні завдання, як забезпечення через електронний кабінет користувача доступу до інформації з національних електронних інформаційних ресурсів, інших інформаційно комунікаційних систем, зокрема, про користувача.
Відповідно до п. 25 Положення, на Порталі Дія також використовується (обробляється) інформація, яка подається користувачем та/або надходить до Порталу Дія в порядку електронної інформаційної взаємодії з національних електронних інформаційних ресурсів, інших інформаційно-комунікаційних систем відповідно до визначених цим Положенням завдань та функціональних можливостей Порталу Дія.
Таким чином, відомості електронного кабінету користувача Порталу Дія збираються з національних електронних інформаційних ресурсів, інших інформаційно-комунікаційних систем, користувачем, що є наслідком відображення в електронній формі інформації.
Пунктом 11 Положення передбачено, що технічний адміністратор - ДП «Дія» здійснює створення, модернізацію, розвиток, адміністрування та забезпечення функціонування Порталу Дія.
Володільцями (держателями) персональних даних користувачів, які зберігаються в державних електронних інформаційних ресурсах, є органи державної влади та місцевого самоврядування, визначені законодавством.
При цьому, суд зауважує, що повноваження відповідача, як технічного адміністратора Порталу Дія, серед іншого, обмежуються здійсненням захисту Порталу Дія, зокрема, захистом цілісності його бази даних, апаратного та програмного забезпечення, достовірності даних Порталу Дія, захистом від несанкціонованого доступу, незаконного використання, незаконного копіювання, спотворення, знищення даних Порталу Дія, безпеки персональних даних (абзац 7 пункт 11 Положення).
Відповідно до положень статті 1 Закону України «Про захист персональних даних» (далі - Закон) Закон регулює правові відносини, пов'язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема, права на невтручання в особисте життя, у зв'язку з обробкою персональних даних. Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, шо містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Відповідно до частини першої статті 11 Закону підставами для обробки персональних даних є: згода суб'єкта персональних даних на обробку його персональних даних; дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень; укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних; захист життєво важливих інтересів суб'єкта персональних даних; необхідність виконання обов'язку володільця персональних даних, який передбачений законом; необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такі інтереси.
Відповідно до частини п'ятої статті 6 Закону, обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Пункт 1.1. Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 (далі - Типовий порядок обробки персональних даних) передбачає, що цим порядком обробки персональних даних визначено загальні вимоги до обробки та захисту персональних даних суб'єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Пункт 2.1 Типового порядку обробки персональних даних встановлює, що володілець визначає: 1) мету та підстави обробки персональних даних; 2) категорії суб'єктів персональних даних; 3) склад персональних даних; 4) порядок обробки персональних даних, а саме: спосіб збору, накопичення персональних даних; строк та умови зберігання персональних даних; умови та процедуру зміни, видалення або знищення персональних даних; умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані; порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб'єктів персональних даних; заходи забезпечення захисту персональних даних; процедуру збереження інформації про операції, пов'язані з обробкою персональних даних та доступом до них.
Власником (держателем) Порталу Дія та виключних майнових прав інтелектуальної власності на його програмне забезпечення є держава в особі Міністерство цифрової трансформації (далі - Мінцифри).
В зв'язку з цим, наказом Мінцифри від 20.05.2020 № 72 було затверджено Порядок обробки та захисту персональних даних (далі - Порядок).
Згідно з пунктом 6 розділу І Загальні положення Порядку, персональні дані в інформаційних системах Мінцифри обробляються автоматизовано в електронному вигляді за допомогою програмних засобів та у паперовому вигляді (зберігання звернень, запитів на доступ до публічної інформації, які надійшли в паперовому вигляді; документів, що містять персональні дані працівників Мінцифри).
Відповідно до пункту 7 розділу І Загальні положення Порядку, володільцем персональних даних є Мінцифри. Розпорядниками персональних даних можуть бути підприємства, установи та організації, які належать до сфери управління Мінцифри, і яким доручається обробка персональних даних відповідно до законодавства.
Згідно з пунктом 2 розділу ІІ мета та підстави обробки персональних даних Порядку, обробка персональних даних здійснюється на підставі відповідних положень Конституції України, Законів України «Про захист персональних даних», «Про Кабінет Міністрів України», «Про центральні органи виконавчої влади», «Про адміністративні послуги», «Про електронні довірчі послуги» та інших законів України з метою здійснення повноважень Мінцифри.
Підставою для обробки персональних даних користувачів Порталу Дія, в тому числі позивача, є дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень.
Тобто, державний орган може обробляти персональні дані, які необхідні для виконання наданих йому законом повноважень, незалежно від надання чи не надання згоди суб'єкта персональних даних.
Таким чином, твердження позивача, що його персональні дані обробляються на Порталі Дія на підставі його згоди на обробку персональних даних є безпідставними.
В обґрунтування заявлених позовних вимог, позивач зазначила, що 29.09.2023 та 27.01.2024 зверталась із заявами до ДП «Дія» з вимогою знищити її персональні дані. Однак, відповіді на них не отримала. В зв'язку із чим, просить суд визнати протиправною бездіяльність Державного підприємства «Дія» стосовно ігнорування її звернень.
Дослідивши наявні в матеріалах справи докази, суд вважає вказані вимоги позивача необґрунтованими з огляду на наступне.
Так, матеріалами справи підтверджено, що відповідачем було розглянуто заяви ОСОБА_1 від 01.10.2023 та від 27.01.2024, і надано відповіді листами від 18.10.2023 № 6171/04.3-17 та від 27.02.2024 №1498/03.4-17 на електронну адресу заявника ІНФОРМАЦІЯ_1 у встановленому законодавством порядку. Копії вказаних відповідей долучені до матеріалів справи та досліджені судом.
До того ж, як зазначено відповідачем, заява ОСОБА_1 від 29.09.2023 не надходила до ДП «Дія», що підтверджується відсутністю відомостей за номером трекінгу відправлення 6500707559653 АТ "Укрпошта", на який посилається позивач. При цьому, позивач не надав до позовної заяви роздруківки трек-номеру 6500707559653.
Враховуючи викладене, вимоги позивача щодо визнання діяльності ДП «Дія» протиправною в частині ігнорування звернень позивача з вимогою видалення її персональних даних з Порталу Дія є необґрунтованими, в зв'язку із чим задоволенню не підлягають.
Згідно із Законом України «Про захист персональних даних», Типового порядку обробки персональних даних, Порядку обробки та захисту персональних даних, володільцем яких є Міністерство цифрової трансформації України, під час реєстрації на Порталі Дія або у мобільному додатку Порталу Дія (Дія), користувачу надається актуальна версія повідомлення про обробку персональних даних, яким користувача актуалізується, зокрема, про володільця, розпорядника, місцезнаходження, склад і мету збору персональних даних, що обробляються за допомогою програмних засобів Порталу Дія, в тому числі мобільному додатку Порталу Дія (Дія), третіх осіб, яким передаються такі персональні дані, та права суб'єкта персональних даних.
Відповідно до пункту 7 Повідомлення, яке отримує користувач під час реєстрації на Порталі Дія, персональні дані зберігаються Міністерством цифрової трансформації України протягом строку функціонування електронного кабінету суб'єкта персональних даних на Порталі Дія, але не довше 5 років, якщо законодавством не визначено інший строк їх зберігання.
При цьому, під час розгляду справи судом встановлено, що персональні дані користувачів Порталу Дія, які отримуються ними з реєстрів, не зберігаються, а застосовується підхід data-in-transition, згідно з яким дані з реєстрів передаються та зберігаються на пристрої користувача, а не на сервері. Такі персональні дані видаляються разом з видаленням електронного кабінету.
Таким чином, Міністерство цифрової трансформації України не має доступу до даних, переданих з реєстрів, а персональні дані видаляються користувачем разом з видаленням цього додатку з мобільного пристрою.
Відповідно до пункту 6 частини 2 статті 8 Закону суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
За змістом пункту 2.12 Типового порядку обробки персональних даних, суб'єкт персональних даних має право пред'являти вмотивовану вимогу володільцю персональних даних щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається володільцем впродовж 10 днів з моменту отримання.
Відповідно до пункту 2.13 Типового порядку обробки персональних даних, якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта (їх частина) обробляються незаконно володілець припиняє обробку персональних даних суб'єкта (їх частини) та інформує про це суб'єкта персональних даних.
Якщо за результатами розгляду такої вимоги виявлено, що персональні дані суб'єкта (їх частина) є недостовірними, володілець припиняє обробку персональних даних суб'єкта (чи їх частини) та/або змінює їх склад/зміст та інформує про це суб'єкта персональних даних.
Отже, виходячи з системного аналізу наведених вище норм законодавства, вимога суб'єкта персональних даних повинна бути обґрунтована однією із таких підстав, як відсутність у володільця законних підстав обробляти персональні дані або якщо такі дані є недостовірними.
Вимога пред'являється володільцю персональних даних зі строком розгляду 10 днів з моменту її отримання.
Згідно з пунктом 2.14 Типового порядку обробки персональних даних, у разі якщо вимога не підлягає задоволенню, суб'єкту надається мотивована відповідь щодо відсутності підстав для її задоволення.
В зв'язку з вищевикладеним відповідачем листами від 18.10.2023 № 6171/04.3-17 та від 27.01.2024 №1498/03.4-17 були надані мотивовані відповіді щодо відсутності підстав для задоволення вимог позивача.
За змістом пункту 2.15 Типового порядку обробки персональних даних, суб'єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода суб'єкта
персональних даних.
З моменту відкликання згоди володілець зобов'язаний припинити обробку персональних даних.
Суд зауважує, що відкликання згоди можливе лише стосовно майбутньої обробки персональних даних, але не тих даних, які вже були оброблені. Рішення та процеси, які були здійснені під час обробки персональних даних, не можуть бути анульованими (лист Міністерства юстиції України від 26.04.2013 № 5543-0-33-13/16.1).
Тобто, відкликання суб'єктом персональних даних згоди на обробку персональних даних не передбачає дію володільця щодо видалення або знищення персональних даних такого суб'єкта персональних даних, анулювання рішень та процесів, які були здійснені під час обробки персональних даних до моменту відкликання згоди на обробку персональних даних, а лише зобов'язує володільця припинити обробку персональних даних.
Відповідно до пункту 7 розділу І Загальні положення Порядку та пункту 1,2 повідомлення про обробку персональних даних, яке отримує користувач під час реєстрації на Порталі Дія, згідно з частиною 2 статті 12 Закону, володільцем персональних даних, що обробляються за допомогою програмних засобів Порталу Дія, у тому числі з використанням мобільного додатку Порталу Дія (Дія), є держатель Порталу Дія - Міністерство цифрової трансформації України.
Розпорядником персональних даних є державне підприємство «Дія».
Крім того, відповідно до абзацу 4 підпункту 4 підпункту 2.1. пункту 2 Типового порядку обробки персональних даних, володілець визначає порядок обробки персональних даних, зокрема, умови та процедуру зміни, видалення або знищення персональних даних.
Главою 3 Внесення змін, видалення або знищення персональних даних розділу IV Порядку, визначено умови зміни, видалення або знищення персональних даних, в тому числі на Порталі Дія.
Однак, процедури видалення та знищення персональних даних не передбачено.
Таким чином, персональні дані користувачів Порталу Дія видаляються разом з видаленням електронного кабінету користувача. Тобто, позивач при видаленні мобільного додатку «Дія» фактично видаляє свої персональні дані, які отримуються відповідачем з різних реєстрів і не зберігаються на його серверах.
В зв'язку із наведеним, вимога про зобов'язання знищити персональні дані ОСОБА_1 у базі даних Порталу «Дія» є необґрунтованою і задоволенню не підлягає.
Відповідно до частини другої статті 19 Конституції України органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України.
Частиною другою статті 2 Кодексу адміністративного судочинства України передбачено, що у справах щодо оскарження рішень, дій чи бездіяльності суб'єктів владних повноважень адміністративні суди перевіряють, чи прийняті (вчинені) вони: 1) на підставі, у межах повноважень та у спосіб, що визначені Конституцією та законами України; 2) з використанням повноваження з метою, з якою це повноваження надано; 3) обґрунтовано, тобто з урахуванням усіх обставин, що мають значення для прийняття рішення (вчинення дії); 4) безсторонньо (неупереджено); 5) добросовісно; 6) розсудливо; 7) з дотриманням принципу рівності перед законом, запобігаючи всім формам дискримінації; 8) пропорційно, зокрема з дотриманням необхідного балансу між будь-якими несприятливими наслідками для прав, свобод та інтересів особи і цілями, на досягнення яких спрямоване це рішення (дія); 9) з урахуванням права особи на участь у процесі прийняття рішення; 10) своєчасно, тобто протягом розумного строку.
Згідно з частиною першою статті 77 Кодексу адміністративного судочинства України кожна сторона повинна довести ті обставини, на яких ґрунтуються її вимоги та заперечення, крім випадків, встановлених статтею 78 цього Кодексу.
Відповідно до частини другої статті 77 Кодексу адміністративного судочинства України в адміністративних справах про протиправність рішень, дій чи бездіяльності суб'єкта владних повноважень обов'язок щодо доказування правомірності свого рішення, дії чи бездіяльності покладається на відповідача.
На думку суду, відповідачем доведено правомірність своїх дій та рішення вимогам, встановленим частиною другою статті 19 Конституції України та частиною другою статті 2 Кодексу адміністративного судочинства України, а тому, виходячи з меж заявлених позовних вимог, системного аналізу положень законодавства України та доказів, наявних у матеріалах справи, адміністративний позов не підлягає задоволенню.
Відповідно до статті 139 Кодексу адміністративного судочинства України, в зв'язку із відмовою у задоволенні позову, судові витрати розподілу не підлягають.
Керуючись статтями 139, 241-246, 250 Кодексу адміністративного судочинства України, суд, -
У задоволенні адміністративного позову ОСОБА_1 ( АДРЕСА_1 ) відмовити повністю.
Рішення набирає законної сили після закінчення строку подання апеляційної скарги всіма учасниками справи, якщо скаргу не було подано. У разі подання апеляційної скарги рішення, якщо його не скасовано, набирає законної сили після повернення апеляційної скарги, відмови у відкритті апеляційного провадження чи закриття апеляційного провадження або прийняття постанови судом апеляційної інстанції за наслідками апеляційного перегляду.
Апеляційна скарга на рішення суду подається до Шостого апеляційного адміністративного суду протягом тридцяти днів з дня його проголошення.
У разі оголошення судом лише вступної та резолютивної частини рішення, або розгляду справи в порядку письмового провадження, апеляційна скарга подається протягом тридцяти днів з дня складення повного тексту рішення.
Суддя Білоноженко М.А.