НЕКОТОРЫЕ ВОПРОСЫ ПРАКТИЧЕСКОГО ПРИМЕНЕНИЯ ЗАКОНА УКРАИНЫ «О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ»
В связи с многочисленными обращениями граждан по поводу практического применения некоторых положений Закона Украины «О защите персональных данных» Министерство юстиции предоставило разъяснения по наиболее актуальным и распространенным вопросам*.
* По информации, размещенной на официальном сайте Министерства юстиции Украины http://www.minjust.gov.ua.
ЦЕЛЬ ЗАКОНА
Статьей 32 Конституции Украины провозглашено право человека на невмешательство в его личную жизнь. Кроме того, не допускаются сбор, хранение, использование, распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
С целью конкретизации права человека, гарантированного статьей 32 Конституции Украины, и определения механизмов его реализации 1 июня 2010 года Верховной Радой Украины был принят Закон Украины «О защите персональных данных» (далее — Закон), вступивший в силу с 1 января 2011 года. Предметом правового регулировании Закона являются правоотношения, связанные с защитой персональных данных во время их обработки.
ЧТО ТАКОЕ «ПЕРСОНАЛЬНЫЕ ДАННЫЕ»
Определение понятия «персональные данные» приводится в абзаце восьмом статьи 2 Закона, согласно которому персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Однако законодательством Украины не установлен и не может быть установлен четкий перечень сведений о физическом лице, являющихся персональными данными, для возможности применения положений Закона к разнообразным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.
Например, в соответствии со статьей 24 Кодекса законов о труде Украины гражданин при заключении трудового договора обязан подать паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, — также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.
В связи с этим персональные данные работника, содержащиеся в паспорте или документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документе о состоянии здоровья и других документах, которые он подал при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).
Таким образом, информация о наемных работниках является базой персональных данных, поскольку личные дела, трудовые книжки, копии паспортов, документов об образовании хранятся и обрабатываются работодателем.
ЧТО ТАКОЕ «БАЗА ПЕРСОНАЛЬНЫХ ДАННЫХ»
Понятие «база персональных данных» определено абзацем вторым статьи 2 Закона, согласно которому база персональных данных — поименованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Учитывая это, база персональных данных является упорядоченной совокупностью логично связанных данных о физических лицах:
— которые хранятся и обрабатываются соответствующим программным обеспечением, являются базой персональных данных в электронной форме;
— которые хранятся и обрабатываются на бумажных носителях информации, являются базой персональных данных в форме картотек.
Картотекой персональных данных является любой структурированный массив персональных данных, являющихся доступными с определенными критериями, независимо от того, является ли такой массив централизованным, децентрализованным или разделенным на функциональных или географических принципах
Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным.
Стоит отметить, что исходя из положений статьи 2 Закона персональные данные одновременно могут быть упорядочены и в электронной форме, и в форме картотек.
ЧТО НЕ ЯВЛЯЕТСЯ БАЗОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
Физические лица — предприниматели и самозанятые лица самостоятельно определяют, владеют ли они базами персональных данных в контексте Закона.
Законодатель распространил действие Закона на все виды деятельности, связанные с созданием баз персональных данных и обработкой персональных данных в этих базах, за исключением деятельности, осуществляемой:
— физическим лицом — исключительно для непрофессиональных личных или бытовых нужд;
— журналистом — в связи с исполнением им служебных или профессиональных обязанностей;
— профессиональным творческим работником — для осуществления творческой деятельности.
Так, при осуществлении своей профессиональной деятельности на адвокатов законодательством не возложена обязанность ведения баз персональных данных клиентов. Однако, если адвокаты формируют дела на своих клиентов, которые они постоянно обновляют и поддерживают в актуальном состоянии, такие дела являются базой персональных данных и подлежат государственной регистрации.
Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако документы нотариального делопроизводства и архив нотариуса, определенные в статье 14 Закона Украины «О нотариате», не являются базой персональных данных в контексте Закона Украины «О защите персональных данных» и не подлежат государственной регистрации.
Кроме того, если физические лица — предприниматели заключают договоры выполнения работ или предоставления услуг с физическими лицами, такие договоры также не являются базой персональных данных и не подлежат государственной регистрации.
КТО ЯВЛЯЕТСЯ ВЛАДЕЛЬЦЕМ И РАСПОРЯДИТЕЛЕМ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Владельцем базы персональных данных согласно абзацу третьему статьи 2 Закона является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных и процедуру их обработки, если иное не определено законом.
Так, если персональные данные обрабатываются юридическим лицом, то владельцем базы персональных данных является юридическое лицо.
Распорядителем базы персональных данных согласно абзацу девятому статьи 2 Закона может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.
Практическим примером могут быть отношения между юридическими лицами и их представительствами, филиалами, отделениями и т. п. Так, в контексте Закона эти представительства, филиалы, отделения будут выступать распорядителями баз персональных данных, владельцем которых является юридическое лицо.
Согласно статье 4 Закона владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, обрабатывающие персональные данные в соответствии с законом.
Но если владельцем базы персональных данных является орган государственной власти или орган местного самоуправления, то распорядителем базы персональных данных, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, относящееся к сфере управления этого органа.
ПОРЯДОК РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии со статьей 9 Закона база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
Если юридическое лицо, физическое лицо — предприниматель, самозанятое лицо устанавливает, что оно не обрабатывает персональные данные, у такого лица отсутствует обязанность регистрировать базу персональных данных.
Указом Президента Украины «Об утверждении Положения о Государственной службе Украины по вопросам защиты персональных данных» от 6 апреля 2011 года определена уполномоченным государственным органом по вопросам защиты персональных данных Государственная служба Украины по вопросам защиты персональных данных, одной из основных задач которой является регистрация баз персональных данных.
Регистрация базы персональных данных осуществляется по заявочному принципу путем уведомления. Суть заявочного принципа заключается в том, что основным является подача владельцем базы персональных данных заявления о регистрации базы персональных данных, а не получение свидетельства о государственной регистрации базы персональных данных. Следовательно, ключевым и определяющим является факт внесения соответствующей записи Государственной службой Украины по вопросам защиты персональных данных в Государственный реестр баз персональных данных, а не получение владельцем базы персональных данных свидетельства о государственной регистрации, что является следствием указанного факта.
Сайт Государственного реестра баз персональных данных — https://rbpd.informjust.ua, на котором имеется возможность следить за ходом государственной регистрации заявления в режиме он-лайн.
ОФОРМЛЕНИЕ ЗАЯВЛЕНИЯ О РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Заявление о регистрации базы персональных данных подается владельцем такой базы или уполномоченным представителем в бумажной или электронной форме, требования к заполнению и порядок подачи которого определены постановлением Кабинета Министров Украины «Об утверждении Положения о Государственном реестре баз персональных данных и порядка его ведения» от 25 мая 2011 года № 616 и приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их подачи» от 8 июля 2011 года № 1824/5. Ознакомиться с указанным приказом в электронном виде можно на сайте Верховной Рады Украины: http://zakon2.rada.gov.ua/laws/show/z0890-11.
В частности, заявление о регистрации базы персональных данных, подаваемое в электронной форме, должно соответствовать требованиям законов Украины «Об электронной цифровой подписи» и «Об электронных документах и электронном документообороте». А именно: такое заявление должно содержать электронную подпись, которая является обязательным реквизитом электронного документа и налагается владельцем базы персональных данных для его идентификации Государственной службой Украины по вопросам защиты персональных данных.
Заявление о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных, в частности, должно содержать информацию о цели обработки персональных данных с определением категории обработки персональных данных.
В соответствии с частью первой статьи 6 Закона цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных.
Учитывая изложенное выше, целью обработки персональных данных является обеспечение владельцем базы персональных данных надлежащего осуществления деятельности, которая определена в законах, других нормативно-правовых актах, положениях, учредительных документах, регулирующих его деятельность, и в результате которой возникает необходимость в совершении любого действия или совокупности действий по обработке персональных данных в базах. Следует обратить внимание на то, что состав и содержание персональных данных должны соответствовать и не быть излишними касательно определенной цели их обработки.
Определение категории обработки персональных данных зависит от требований к обработке персональных данных, содержащихся в базах персональных данных заявителя.
Так, Законом предусмотрены общие и особые требования обработки персональных данных. Статьей 6 Закона установлены общие требования обработки всех имеющихся в общественной жизни персональных данных лица, за исключением персональных данных, для которых статьей 7 Закона определены особые требования обработки. К таким персональным данным относятся данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни.
Подводя итоги изложенному, отметим, что категория обработки персональных данных определяется владельцем базы персональных данных в зависимости от требований к обработке персональных данных, которые установлены статьями 6, 7 Закона и которые владелец базы персональных данных обязан соблюдать при обработке персональных данных.
Дополнительно обращаем внимание на то, что владелец регистрирует базу персональных данных, а именно предоставляет сведения о ней, которые включаются в Государственный реестр баз персональных данных, однако не передает Государственной службе Украины по вопросам защиты персональных данных имеющиеся в ней персональные данные.
Согласно части 4 статьи 9 Закона владелец базы персональных данных обязан уведомлять Государственную службу Украины по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации базы персональных данных, не позднее чем в течение 10 рабочих дней со дня наступления такого изменения.
Владелец базы персональных данных направляет Государственной службе Украины по вопросам защиты персональных данных заявление о внесении изменений в сведения, необходимые для регистрации, по форме, установленной приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их подачи» от 8 июля 2011 года № 1824/5. Владелец помечает «удалить» те сведения заявления, которые изменились. На замену им путем обозначения «добавить» владелец подает новые сведения.
Свидетельство о внесении изменений в сведения, необходимые для регистрации базы персональных данных, не предоставляется. При этом Государственная служба принимает решение о внесении изменений в сведения, необходимые для регистрации базы персональных данных, путем направления владельцу базы персональных данных письма, в котором сообщает о принятом решении.
Для удаления базы персональных данных из Государственного реестра баз персональных данных владелец такой базы направляет в Государственную службу защиты персональных данных заявление о внесении изменений в сведения Государственного реестра баз персональных данных и помечает «изъять» все поля внесенных сведений.
СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТРЕБОВАНИЯ К ЕГО ОФОРМЛЕНИЮ
Обработка персональных данных в соответствии с частью 5 статьи 6 Закона осуществляется с согласия субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.
Так, в соответствии с абзацем пятым статьи 2 Закона согласием субъекта персональных данных является любое задокументированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.
Обработка данных о физическом лице без его согласия не допускается, кроме случаев, определенных Законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. В этом случае под законами понимаются все другие законы, предоставляющие право на обработку персональных данных с указанием четкого перечня таких данных.
Закон также разрешает осуществлять обработку персональных данных без согласия субъекта персональных данных, если обработка персональных данных является необходимой для защиты его жизненно важных интересов. В таком случае обрабатывать персональные данные без согласия субъекта персональных данных можно до того момента, когда получение согласия станет возможным.
Согласно требованиям Закона согласие субъекта персональных данных на обработку персональных данных должно содержать информацию о:
— цели, определяемой владельцем базы персональных данных в зависимости от вида его деятельности, при осуществлении которой возникает необходимость в обработке персональных данных в базах персональных данных, конкретных целях обработки персональных данных, для достижения которых владелец базы персональных данных обрабатывает персональные данные в этой базе (статья 2 Закона);
— объеме персональных данных, а именно четком перечне персональных данных физического лица, которые могут обрабатываться владельцем базы персональных данных в этой базе (статья 6 Закона);
— порядке использования персональных данных, который предусматривает действия владельца базы по обработке этих данных, в том числе использованию персональных данных работниками владельца базы персональных данных, в соответствии с их профессиональными или служебными либо трудовыми обязанностями, действиях по их защите, а также действиях по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными (статья 10 Закона);
— порядке распространения персональных данных, который предусматривает действия владельца базы персональных данных по передаче сведений о физическом лице из базы персональных данных (статья 14 Закона);
— порядке доступа к персональным данным третьих лиц, который определяет действия владельца базы персональных данных в случае получения запроса от третьего лица о доступе к персональным данным, в том числе порядке доступа субъекта персональных данных к сведениям о себе (статья 16 Закона).
ПОРЯДОК И ОСНОВАНИЯ УВЕДОМЛЕНИЯ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ О ЕГО ПРАВАХ, КАСАЮЩИХСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Одной из составляющих процесса обработки персональных данных является их сбор, который предусматривает действия по подбору или упорядочению сведений о физическом лице и внесению их в базу персональных данных.
Так, согласно статье 12 Закона владелец базы персональных данных в течение десяти рабочих дней со дня включения персональных данных в базу персональных данных, что является действием по сбору персональных данных, обязан уведомить субъекта персональных данных исключительно в письменной форме о его правах, определенных статьей 8 Закона, цели сбора данных, определяемой владельцем базы персональных данных, и лицах, которым будут передаваться персональные данные.
Владелец базы освобождается от выполнения указанной обязанности только в случае, если персональные данные собираются им из общедоступных источников. Под определением «общедоступные источники информации», в частности, понимаются печатные средства массовой информации, средства телерадиовещания, интернет-порталы, публичные выступления и другие источники информации, к которым физические и юридические лица имеют свободный, не ограниченный действующим законодательством, доступ.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИМИ ЛИЦАМИ — ПРЕДПРИНИМАТЕЛЯМИ И САМОЗАНЯТЫМИ ЛИЦАМИ
Частью 1 статьи 24 Закона определено, что физические лица — предприниматели, в том числе врачи, имеющие соответствующую лицензию, адвокаты, нотариусы лично обеспечивают защиту персональных данных, которыми они владеют согласно требованиям закона.
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Осуществление контроля за соблюдением законодательства о защите персональных данных в соответствии со статьей 23 Закона возложено на Государственную службу Украины по вопросам защиты персональных данных.
Так, в соответствии с подпунктом 14 пункта 3 Положения о Государственной службе Украины по вопросам защиты персональных данных, утвержденного Указом Президента Украины от 6 апреля 2011 года № 390, Государственная служба Украины по вопросам защиты персональных данных осуществляет контроль за соблюдением законодательства о защите персональных данных путем проведения выездных и безвыездных проверок владельцев и (или) распорядителей баз персональных данных.
Также в соответствии с подпунктом 16 пункта 3 этого Положения Государственная служба Украины по вопросам защиты персональных данных составляет административные протоколы о выявлении нарушения законодательства в сфере защиты персональных данных.
Однако дела об административных правонарушениях в сфере защиты персональных данных рассматриваются согласно статье 221 Кодекса Украины об административных правонарушениях исключительно районными, районными в городе, городскими или горрайонными судами.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ*
С целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями, организациями независимо от формы собственности требований Закона 2 июня 2011 года Верховной Радой Украины был принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных», вступивший в силу с 1 января 2012 года.
В соответствии с этим Законом граждане, должностные лица, граждане — субъекты предпринимательской деятельности привлекаются к административной ответственности за совершение следующих правонарушений:
1) неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются;
2) неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, подаваемых для государственной регистрации базы персональных данных;
3) уклонение от государственной регистрации базы персональных данных;
4) несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним;
5) невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных по устранению нарушений законодательства о защите персональных данных.
За нарушение неприкосновенности частной жизни, а именно за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, виновное лицо привлекается к уголовной ответственности.
* Штрафы за нерегистрацию баз персональных данных могут отложить.
В Верховную Раду Украины внесен проект Закона Украины «О внесении изменений в Заключительные положения Закона Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 20.12.2011 г. № 9624 о переносе срока введения в действия, которым хотят отложить вступление в силу норм, предусматривающих ответственность за нарушение законодательства по защите персональных данных (в частности, за уклонение от регистрации баз персональных данных, а также за неуведомление физического лица, сведения о котором включены в такую базу, о его правах). Если депутаты успеют оперативно рассмотреть предложенный законопроект, то дата вступления в силу Закона Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 2 июня 2011 года № 3454-VI перенесется на 01.07.2012 г. Это будет обозначать одновременный перенос и предельных сроков регистрации баз персональных данных теми субъектами хозяйствования, которые на сегодняшний день уже владеют ими, но еще не подали в Государственную службу по вопросам защиты персональных данных соответствующее заявление.
На дату подготовки этого номера указанный проект закона не принят ВРУ и не подписан Президентом. — Примеч. ред.
