Обробка персональних даних

15 листопада, 2011 Ексклюзив

В умовах інформаційного суспільства, в якому роль надсучасних комп’ютерних технологій є домінуючою, проблема правомірного використання персональних даних стає все більш актуальною.

Спроби врегулювати цю сферу на законодавчому рівні робились ще у 2001 році, коли до Верховної Ради України було внесено проект Закону України “Про інформацію персонального характеру” від 12.11.2001 р. № 7432. Тим не менш, Закон України “Про захист персональних даних” (далі – “Закон про персональні дані”), який на сьогоднішній день регулює питання використання та захисту персональних даних, було прийнято лише 01.06.2010 р.

Закон був прийнятий на виконання міжнародних зобов’язань України з метою наближення до Європейського Союзу, адже необхідність його прийняття згадувалась ще у Концепції Загальнодержавної програми адаптації законодавства України до законодавства Європейського Союзу (схвалена Законом України від 21.11.2002 року). Окрім прийняття вищезгаданого Закону, Україна також ратифікувала Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних від 28.01.1981 року (далі – “Конвенція”) та Додатковий протокол до неї, що не пройшло непоміченим з боку Європейського Союзу [1].

Український бізнес сприйняв цей Закон досить негативно, проте відсутність відповідальності за невиконання його норм дозволило більшості юридичних осіб довгий час не звертати на нього особливої уваги.

Наразі можемо констатувати, що з 01.01.2012 р. набуде чинності Закон України “Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних” від 02.06.2011 р., який вводить адміністративну та кримінальну відповідальність за порушення вимог законодавства про персональні дані. Саме тому необхідність приведення своєї діяльності до вимог законодавства в сфері обробки, використання та захисту персональних даних стає нагальною.

Що слід розуміти під персональними даними?

Розробники Закону про персональні дані, намагаючись втілити в ньому європейський досвід, адаптували визначення терміна “персональні дані”, наведене в Конвенції, до українських реалій. В результаті чого персональні дані у ч. 1. ст. 2 вищезгаданого Закону визначені як “відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована”. Як бачимо, визначення є досить абстрактним та потребує подальшої конкретизації.

На відміну від українського Закону, Конвенція визначає персональні дані як “будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною“.

Як бачимо, Конвенція та Закон про персональні дані оперують різними термінами: в Конвенції вживається термін “інформація”, в той час як в Законі про персональні дані – “відомості”. Згідно з ч. 1. ст. 1 Закону України “Про інформацію” від 02.10.1992 р. (далі – “Закон про інформацію”) інформацією є будь-які відомості та/ або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді. Отже, інформація включає в себе відомості, але не обмежується ними. Термін “відомості” в українському законодавстві досі не визначений, що, в свою чергу, ускладнює розуміння терміну “персональні дані”.

Відповідно до ч. 1 ст. 11 Закону про інформацію персональні дані повністю ототожнені з інформацією про фізичну особу, що спричинює ще більшу плутанину понять.

Отже, персональними даними відповідно до Закону про інформацію є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, що можуть бути збережені на матеріальних носіях або відображені в електронному вигляді.

Таким чином, відомості, ідентифікуючі конкретну фізичну особу, які знаходяться на накопичувачеві пам’яті, сім-картці мобільного телефону, в записнику, в комп’ютерних файлах або на Вашому корпоративному сайті (наприклад, в біографії засновника компанії або в анкеті, яку заповнюють користувачі сайту) також належать до персональних даних. Натомість публічно оголошені відомості про фізичну особу або відомості, які не можна зберегти на матеріальних носіях, згідно з Законом про інформацію персональними даними не вважаються.

Які саме відомості про фізичну особу є персональними даними?

Як вже зазначалось раніше, персональними даними є лише ті відомості про фізичну особу, які дозволяють її ідентифікувати. При цьому слід зазначити, що перелік таких відомостей у Законі про персональні дані відсутній, що є його значним недоліком.

Згідно з ч. 2 ст. 11 Закону про інформацію конфіденційною інформацією про фізичну особу (а інформація про особу ототожнюється з персональними даними) є: національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, адреса, дата та місце народження. При цьому вчинення дій з конфіденційною інформацією без згоди фізичної особи забороняється.

З аналізу цих положень можна зробити висновок про те, що не всі персональні дані належать до конфіденційної інформації про особу. Вчинення будь-яких дій з вищенаведеними персональними даними можливе навіть без отримання згоди особи. Отже, якщо відомості про фізичну особу не стосуються її національності, освіти, сімейного стану, релігійних переконань, стану здоров’я, адреси, дати та місця народження, будь-які дії з такими відомостями можуть вчинятись без отримання відповідної згоди. Тим не менш, це ще не свідчить про те, що такі відомості не є персональними даними.

Ще один перелік відомостей про особу, які є персональними даними, можна знайти в Рішенні Конституційного Суду України у справі щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України “Про інформацію” та статті 12 Закону України “Про прокуратуру” (справа К.Г. Устименка) від 30.10.1997 р. В п. 1 цього Рішення, зокрема, зазначається, що до конфіденційної інформації, зокрема, належать свідчення (тлумачення цього поняття свідчить про те, що його зміст є аналогічним змісту поняття “відомості”) про особу: освіта, сімейний стан, релігійність, стан здоров’я, дата і місце народження, майновий стан та інші персональні дані.

Якщо порівняти вищенаведені переліки персональних даних, то можна виявити, що вони відрізняються, адже в Законі про інформацію не згадується майновий стан особи, в той час як в рішенні Конституційного Суду України – національність та адреса (хоча не слід забувати, що перелік є невичерпним).

Крім того, слід визнати, що ці переліки охоплюють обмежене коло відомостей і є застарілими. Адже в жодному з переліків не згадується, наприклад, ідентифікаційний код особи, номер та серія паспорта, номер мобільного телефону, номер платіжної картки, тощо.

Таким чином, на сьогоднішній день в чинному законодавстві України відсутній вичерпний перелік відомостей про фізичну особу, які слід вважати персональними даними. Це, в свою чергу, може призвести до того, що абсолютно будь-які відомості про фізичну особу, можуть бути визнані персональними даними, в тому числі, прізвище, ім’я та по-батькові. Сукупність таких відомостей навіть про декілька осіб в документарній чи електронній формі, які використовуються не для особистих цілей, буде визнаватись базою персональних даних, яку слід реєструвати в Державному реєстрі баз персональних даних.

Відсутність переліку персональних даних, невдале визначення терміну “база персональних даних”, яке сприяє його широкому тлумаченню, може створити чимало проблем для юридичних осіб та фізичних осіб-підприємців. Проте, з іншого боку, таку невизначеність можна використати на свою користь, щоб уникнути реєстрації бази даних. В цьому випадку в разі проведення перевірки Державною службою України з питань захисту персональних даних доведеться доводити, що використовувані відомості про фізичних осіб не є персональними даними.

Які персональні дані дозволено обробляти?

Обробка персональних даних згідно з ч. 1 ст. 2 Закону про персональні дані передбачає здійснення будь-яких дій стосовно персональних даних, тобто процес обробки охоплює всі стадії, починаючи від збирання персональних даних і закінчуючи їх знищенням.

Слід зазначити, що згадуваний у ч. 10 ст. 6 Закону про персональні дані Типовий порядок обробки персональних даних у базах персональних даних на сьогоднішній день ще не затверджений. Однак проект Типового порядку вже розроблений і наразі знаходиться на стадії публічного обговорення.

Однією з загальних вимог до обробки персональних даних, передбачених ч. 3 ст. 6 Закону про персональні дані, є ненадмірність їх складу та змісту порівняно з встановленою метою їх обробки. При цьому володільці чи розпорядники баз персональних даних фактично можуть суб’єктивно оцінювати відповідність складу та змісту оброблюваних персональних даних меті їх обробки.

Мета обробки персональних даних відповідно до ч. 1 ст. 6 Закону про персональні дані має бути визначена в законодавстві, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних. На сьогоднішній день мета обробки персональних даних в чинному законодавстві не встановлена, проте типові цілі обробки закріплені в проекті Типового порядку обробки персональних даних у базах персональних даних. Не викликає сумніву, що мета обробки персональних даних не зазначена і в установчих документах юридичних осіб, які не поспішають приводити свою діяльність у відповідність із законодавством про захист персональних даних.

Таким чином, володільці баз персональних даних, які уповноважені затверджувати мети обробку таких даних, можуть наразі встановити та затвердити будь-яку мету обробку. Все це фактично дозволяє зловживати вимогою ненадмірності складу та змісту персональних даних порівняно з встановленою метою їх обробки. В результаті чого від фізичної особи можна вимагати надання досить значного кола відомостей.

Слід однак враховувати, що Закон про персональні дані хоча і не обмежує коло відомостей про особу, які є персональними даними, проте не всі персональні дані він дозволяє обробляти. Так, зокрема, в ч. 1 ст. 7 Закону про персональні дані зазначається, що обробка персональних даних про расову приналежність, етнічне походження, політичні, релігійні або світоглядні переконання, членство у політичних партіях та професійних спілках, даних, що стосуються здоров’я, статевого життя особи, заборонена, за винятком випадків, передбачених у ч. 2 ст. 7 цього Закону.

Відразу ж зауважимо, що вищенаведена норма Закону про персональні дані була частково запозичена з Конвенції, проте ч. 1 ст. 6 Конвенції не дозволяє обробку так званих “вразливих” персональних даних лише якщо внутрішнє законодавство держави не забезпечує гарантій їх захисту.

Отже, замість того, щоб розробити особливі гарантії захисту цієї категорії персональних даних та дозволити їх обробку, український законодавець обрав найпростіший шлях, а саме, заборонив їх обробку та встановив лише декілька винятків. Доречно наголосити на тому, що винятки, передбачені ч. 2 ст. 7 Закону про персональні дані, охоплюють досить обмежене коло випадків. Як наслідок, наприклад, будь-які страхові компанії будуть позбавлені можливості обробляти дані про стан здоров’я своїх клієнтів (якщо мова йде, наприклад, про страхування життя чи здоров’я), в разі якщо вони не зможуть отримати однозначну згоду суб’єкта персональних даних на обробку. Отримання ж такої згоди від суб’єктів, персональні дані яких оброблялись ще до набрання чинності цим Законом, може викликати багато складнощів.

Таким чином, на сьогоднішній день можна цілком правомірно обробляти будь-які відомості про фізичну особу, окрім тих, які передбачені в ч. 1 ст. 7 Закону про персональні дані. Варто, проте, мати на увазі, що вищенаведене формулювання ч. 1 ст. 7 Закону про персональні дані є досить широким, адже, наприклад, під поняття “світоглядні переконання” можна підвести досить значну кількість відомостей про особу. Це, в свою чергу, дозволить фізичним особам, посилаючись на вищезгадану статтю, ігнорувати вимогу надання власних персональних даних для обробки.

Право на обробку персональних даних належить володільцю або розпоряднику бази персональних даних. На відміну від володільця, розпорядник бази даних має право здійснювати обробку персональних даних лише за наявності письмового договору з володільцем або на підставах, передбачених законом.

В разі укладення договору з володільцем, розпорядник згідно з ч. 3 ст.11 Закону про персональні дані обробляє персональні дані відповідно до мети, визначеної володільцем, та в обсязі, встановленому договором. Якщо ж право розпорядника обробляти персональні дані передбачено законом, відкритим залишається питання, хто в цьому випадку затверджує мету обробки, встановлює склад персональних даних, які підлягають обробці, та власне процедуру обробки. Доцільним в цьому випадку було б більш детально визначити в Законі про персональні дані повноваження володільця та розпорядника баз персональних даних, а також чітко їх розмежувати.

Для визнання обробки персональних даних правомірною, кожна юридична особа та фізична особа-підприємець, які є володільцями баз персональних даних, з 01.07.2011 р. фактично зобов’язані зареєструвати базу персональних даних у Державному реєстрі баз персональних даних. Така вимога суттєво збільшує час на адміністрування бізнесу, збільшує кількість контролюючих органів та перевірок, а, отже, і значно ускладнює ведення бізнесу в Україні. Наскільки нам відомо, більшість українських компаній не поспішає реєструвати власні бази персональних даних у Державному реєстрі баз персональних даних.

За ухилення від реєстрації бази персональних даних, а також за роботу з базами до проведення відповідної реєстрації Законом України “Про внесення змін до деяких законодавчих актів України стосовно порушення законодавства про захист персональних даних” від 11.11.2010 р. передбачена адміністративна відповідальність у вигляду штрафу. Однак штрафи за вищезазначені порушення можуть бути накладені лише з 01.01.2012 р., коли цей Закон набере чинності.

Враховуючи те, що обов’язок реєстрації баз персональних даних законодавцем фактично покладений на володільця баз персональних даних, вважаємо, що відповідальність за ухилення від реєстрації буде нести саме володілець.

Таким чином, до 01.01.2012 р. юридичні особи та фізичні особи-підприємці, перш за все, володільці баз персональних даних,  мають привести свою діяльність у повну відповідність із законодавством про персональні дані, адже за окремі порушення цього законодавства Законом України “Про внесення змін до деяких законодавчих актів України стосовно порушення законодавства про захист персональних даних” від 11.11.2010 р. встановлена, в тому числі, кримінальна відповідальність. З метою приведення діяльності у відповідність із законодавством про персональні дані ми рекомендуємо зробити наступне:

  • Виявити всі наявні бази персональних даних, після чого вирішити, які з цих баз даних є актуальними та будуть використовуватись, а які ні. Бази даних, які є застарілими та не відповідають дійсності, доцільно знищити.
  • Призначити особу, відповідальну за захист баз персональних даних (такою особою може бути, наприклад, системний адміністратор), а також за роботу із персональними даними.
  • Розробити порядок обробки персональних даних, затвердити мету такої обробки.
  • Встановити систему захисту та безпеки баз персональних даних.
  • Отримати письмову згоду від осіб, персональні дані яких підлягають обробці.
  • Зареєструвати актуальні бази персональних даних в державному реєстрі баз персональних даних.
  • Укласти за необхідності договір із розпорядником баз персональних даних стосовно обробки персональних даних.
  • Включати пункт про надання згоди суб’єкта на обробку його персональних даних, а також про конфіденційність отриманої інформації до договорів з фізичними особами.
  • Прийняття Закону України “Про захист персональних даних» та ратифікація Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних від 28.01.1981 р., а також Додаткового протоколу до неї згадуються в документі спільної робочої групи “Реалізація Європейської політики сусідства у 2010 році. Звіт про хід реалізації проекту в Україні” SEC (2011) 646.

Звертаємо Вашу увагу на те, що наведений вище коментар не є консультацією і пропонується з інформаційною метою. В конкретних ситуаціях рекомендується отримання повної фахової консультації.

З повагою,

© ТОВ «КМ Партнери», 2011

Перегляди 7973

Прокоментувати