Сайт для бухгалтеров №1 в Украине

Получайте
новости почтой!


22.01.12
1102 2 Печатать

База персональных данных: правовой анализ ключевых вопросов

   Актуальність питань, пов’язаних із захистом персональних даних фізичних осіб, зростає з кожним днем, адже наближається дата набрання чинності нормами, які встановлюють нову кримінальну та адміністративну відповідальність за недотримання вимог законодавства у вказаній сфері відносин. Ці питання стосуються кожного суб’єкта господарювання, державного органу влади та органу управління, діяльність яких неможлива без використання персональних даних щодо певних категорій фізичних осіб — працівників, клієнтів, контрагентів, позичальників, вкладників, землевласників та землекористувачів тощо.
   
   ьогодні нормативні засади у сфері персональних даних встановлює Закон України "Про захист персональних даних" (далі — Закон про ПД), який набрав чинності з 1 січня 2011 р. Але, хоч цей законодавчий акт діє, практичне застосування його вимог досі викликає низку труднощів, усунення яких залежатиме від обрання правильних правових підходів. Застосовуючи Закон про ПД, необхідно звернути увагу на такі правові аспекти.
   
   Насамперед Закон про ПД встановлює імперативну норму (ст. 9), якою суб’єктів господарювання, державні органи влади та управління зобов’язано вчинити необхідні дії з метою проведення державної реєстрації належних їм баз персональних даних (далі також — БПД). Закон називає суб’єкта, щоініціюватиме таку реєстрацію, володільцем БПД (далі — володілець). До початку проведення таких дій кожен із вказаних суб’єктів повинен визначити групи фізичних осіб залежно від категорій правовідносин з останніми, щоб встановити кількість БПД, які підлягатимуть реєстрації.
   
   Реєстрація БПД та змін до них здійснюється за заявочним принципом шляхом подання кожним володільцем до Державної служби України з питань захисту персональних даних (далі — Державна служба) заяви у встановленій формі, затвердженій наказом Мін’юсту" від 08.07.2011 р. № 1824/5. Зауважимо, що механізм державної реєстрації БПД визначений не лише Законом про ПД (ст. 9), але й Постановою Кабінету міністрів України "Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення" від 25.05.2011 р. № 616 (далі — Постанова КМУ № 616).
   
   Відповідна заява може бути подана як на паперових носіях, так і в електронному вигляді. Оскільки порядок подання заяви на паперових носіях не встановлений законодавством чітко, володілець має право подати такий документ як безпосередньо представникам Державної служби, так і шляхом поштового відправлення, яке забезпечило б отримання відправником доказів вручення кореспонденції. Подання додаткових документів законодавство не вимагає.
   
   Доцільно також звернути увагу на правильність заповнення вказаної заяви володільцем БПД, щоб усунути підстави для відмови в реєстрації БПД через неповноту чи недостовірність зазначених у ній відомостей (ч. 5 ст. 9 Закону про ПД, п. 13 Постанови КМУ № 616).
   
   Розглядаючи вимоги вітчизняного законодавства у сфері захисту ПД в розрізі чинних міжнародних документів, зокрема Директиви 95/46 Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" від 24.10.1995 р. (далі — Директива 95), слід звернути увагу на певні розбіжності із зазначеним документом. Зокрема, на відміну від положень Директиви 95, згідно з якою володілець зобов’язаний лише повідомити про наявність БПД, без необхідності її реєстрації, Закон про ПД вимагає вчинити дії, спрямовані на реєстрацію таких БПД, що є додатковим навантаженням, у тому числі і для Державної служби.
   
   З метою неухильного дотримання ст. 9 Закону про ПД всіма суб’єктами господарювання і державними органами, які здійснюють обробку ПД у створених ними БПД, законодавець встановлює адміністративну відповідальність за ухилення від реєстрації БПД, до якої можна буде притягати вже з 1 січня 2012 р. (Закон України "Про внесення змін в деякі законодавчі акти України відносно посилення відповідальності за порушення законодавства про захист персональних даних" від 02.06.2011 р. № 3554-VI; далі — Закон № 3554).
   
   Крім того, слід взяти до уваги, що Закон № 3554 встановлює також відповідну адміністративну або кримінальну відповідальність за порушення інших вимог у сфері захисту ПД, окрім ухилення від реєстрації БПД. При цьому кримінальна відповідальність може настати за незаконні дії з усіма ПД, у тому числі й ті, що не входять до БПД (ст. 182 Кримінального кодексу України, що вводиться в дію Законом № 3554).
   
   З метою попередження недотримання вимог законодавства у сфері захисту ПД і, відповідно, уникнення відповідальності, яка встановлюється за його порушення, кожному суб’єкту чи державному органу насамперед слід визначитись із таким: 1) чи є в нього БПД, яка відповідає ознакам, встановленим Законом про ПД; 2) якщо така БПД існує, то чи є потреба у продовженні її використання; 3) з якими групами фізичних осіб залежно від категорії правовідносин із ними він працює. Відповіді на ці запитання допоможуть визначити кількість БПД, а отже, і необхідність державної реєстрації кожної з них.
   
   Вважаємо, що зазначені відповіді можна отримати, проаналізувавши визначення понять "база персональних даних" та "персональні дані", наведені у ст. 2 Закону про ПД, та пов’язані з ними інші правові категорії.
   
   Так, базу персональних даних Закон про ПД визначає як іменовану сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
   
   Враховуючи зазначене, можна дійти висновку, що:
   
   - БПД має складатися із сукупності ПД, які мають бути іменованими та впорядкованими;
   - відомості (їх сукупність) про фізичну особу мають бути такими, щоб на їх підставі можна було ідентифікувати відповідну особу;
   - БПД може вестися в електронній (автоматизованій) системі та/або у вигляді картотеки.
   
   Досліджуючи правову природу ПД на підставі вимог закону, слід взяти до уваги, що: 1) відомості є інформацією в розумінні Цивільного кодексу України (ст. 200), Закону України "Про інформацію" (ст. 1); 2) інформація може існувати у вигляді відомостей та/або даних, які можуть бути як збережені на матеріальних носіях, так і відображені в електронному вигляді (ст. 200 ЦКУ), що, відповідно, свідчить про можливість отримання ПД з листів, книг, ілюстрацій, фотографій особи, кінофільмів, звукових записів тощо; 3) інформація про фізичну особу як різновид інформації (тобто ПД) є сукупністю документованих відомостей або публічно оголошених відомостей про таку особу; 4) публічною інформацією є відображена чи задокументована будь-якими засобами чи на будь-яких носіях інформація, що була отримана або створена в процесі виконання обов’язків або є у володінні суб’єктів владних повноважень, інших розпорядників публічної інформації (ст. 1 Закону України "Про доступ до публічної інформації"); 5) інформацією з відкритих джерел є інформація, призначена для громадськості, інформація із зовнішніх джерел (наукова література, офіційна інформація), інформація, що видається засобами масової інформації чи іншими суб’єктами господарювання; 6) ідентифікація особи є засобом її встановлення, що допомагає виділити її з-поміж інших (наприклад, наявність лише е-mail, належного невизначеній особі, не дозволяє ідентифікувати її, однак у сукупності з іншими ПД про цю особу за допомогою таких даних особа може бути встановлена); 7) ідентифікаційними ознаками є унікальні ознаки, притаманні кожній людині, зокрема: риси обличчя, біометричні характеристики, особисті коди, шифри, печатки тощо.
   
   Із зазначеного випливає, що інформація про фізичну особу в будь-якому вигляді, відображена на будь-яких носіях, за допомогою якої може бути ідентифікована відповідна особа, є персональними даними. Однак слід розуміти, що дії кожного суб’єкта з ПД вважатимуться обробкою в розумінні Закону про ПД, лише якщо здійснюватимуться в інформаційній (автоматизованій) системі та/або в картотеках, що, відповідно, й зумовлює необхідність виділення певних БПД, які можуть вестися в електронному вигляді та/або на паперових носіях.
   
   Визначаючи правову природу БПД в рамках Закону про ПД, слід звернути увагу на те, що БПД має містити впорядковані й іменовані дані (їх сукупність) про фізичних осіб (тобто систематизовані й іменовані відносно кожної фізичної особи). Як зазначалося, Закон про ПД відрізняє БПД, що ведеться в електронному вигляді в електронній (автоматизованій) системі, від БПД, яка ведеться у вигляді картотеки. При цьому електронну (автоматизовану) систему не можна ототожнювати з БПД, оскільки вона є лише "оболонкою" для такої бази і засобом обробки ПД у ній. Стосовно картотеки слід зазначити, що її поняття не визначене жодним законодавчим актом України. Проте, виходячи з положень Директиви 95, картотекою ПД можна вважати систематизовано викладену на паперових носіях інформацію про фізичних осіб (ця картотека має бути структурованою за відповідними критеріями, щоб можна було забезпечити легкий доступ до ПД (див. пп. 15,27 Директиви 95). Якщо застосувати наведене визначення картотеки у сфері обробки ПД, наприклад, відносно працівників будь-якого суб’єкта чи державного органу, то кожна особова справа щодо такої фізичної особи не може відноситись до картотеки, що прямо підтверджується Директивою 95 (п. 27).
   
   Таким чином, від відповіді суб’єкта, органу влади чи управління на запитання, чи є в нього БПД, залежатиме й поширення на нього вимог законодавства про захист ПД щодо обов’язковості державної реєстрації кожної БПД. Водночас, оскільки БПД можуть складати ПД насамперед працівників суб’єкта чи органу, відповідно, кожен суб’єкт чи орган, який систематизує ПД таких фізичних осіб (а можливо, й інших осіб) в інформаційно-автоматизованій системі та/або у вигляді картотек, повинен дотримуватись вимог вказаного законодавства, зокрема:
   
   - зареєструвати БПД (ст. 9 Закону про ПД), визначивши розпорядників БПД (ст. 2 Закону про ПД);
   
   - скласти внутрішній документ, що встановлюватиме механізм обробки володільцем ПД у його БПД і захисту ПД у БПД (ч. 1 ст. 6, ст. 24 Закону про ПД);
   
   - визначити осіб та/або структурний підрозділ (-ли), який відповідатиме (-муть) за законність обробки ПД в БПД і за захист від незаконного їх розголошення та доступу до них (ч. 5 ст. 24 Закону про ПД), документально оформивши їх зобов’язання в посадових інструкціях, положеннях про структурні підрозділи, наказах, внутрішньому документі з питань обробки ПД, включаючи обов’язок таких осіб не розголошувати ПД з БПД, які стали їм відомі або були довірені у зв’язку з виконанням професійних чи трудових або службових обов’язків (ч. 3 ст. 10 Закону про ПД);
   
   - забезпечити документування законності обробки ПД в БПД, і, зокрема, шляхом отримання письмових згод від кожної фізичної особи, ПД якої обробляються в БПД (у вигляді окремого письмового підтвердження, підписаного особою, чи умови, викладеної в договорі (іншому правочині), укладення володільцем БПД з його розпорядником договору на право обробки останнім ПД в БПД володільця (ст. 11 Закону про ПД);
   
   - забезпечити внутрішню систему захисту ПД в БПД, створеній в електронному вигляді (шляхом встановлення комплексу апаратно-програмних засобів захисту відповідно до закону) та/або у вигляді картотек (шляхом встановлення певних організаційно-правових правил на рівні внутрішнього документа);
   
   - вжити заходів для взяття третьою особою, яка матиме доступ до ПД в БПД, зобов’язання відносно дотримання нею вимог Закону про ПД (ч. 2 ст. 16 Закону про ПД);
   
   - забезпечити дотримання транскордонного захисту ПД у разі їх передачі іноземним суб’єктам відносин (ст. 29 Закону про ПД);
   
   - вирішити інші ключові питання, що випливають із Закону про ПД (оформлення письмових повідомлень фізичним особам відповідно до ч. 2 ст. 12 та ч. 1 і ч. 3 ст. 21 Закону про ПД; використання необхідних правових засобів захисту ПД шляхом складення відповідних документів чи включення умов до змісту договорів тощо).
   
   Тарас ЛУКАШ, Наталія ДРОЗДОВА
   Правовий тиждень №1-3, 18 січня 2012
По материалам Мониторинг СМИ
Рубрика:

Бухгалтер 911 подчеркивает: содержание авторских материалов может не совпадать с политикой и точкой зрения редакции. Среди авторов материалов, которые публикуются, есть не только представители редакционной команды.

Информация, представленная в конкретной публикации, отражает позицию автора. Редакция не вмешивается в авторские материалы, не редактирует тексты и, следовательно, не несет ответственности за их содержание.

Комментарии
  • Злой Бух
22.01.12 13:36

похоже статья устарела

Ответить
  • Вал
22.01.12 20:50

Ничего нового, и еще не упомялули, что строки подачи продлили!

Ответить
Комментирование новости отключено
Спасибо, что читаете нас Войдите и читайте дальше
Для того, чтоб распечатать текст необходимо оформить подписку
copy-print__image
Данная функция доступна только
авторизованным пользователям