Договор с физлицом: нужен ли пункт о персональных данных?
Можно ли, заключая гражданско-правовой договор с физическим лицом, вместо отдельно оформленного согласия на использование его персональных данных включить соответствующее условие о согласии в сам договор?
(г. Луганск)
Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI действительно указывает на необходимость получения согласия физического лица, персональные данные которого будут обрабатываться в ходе деятельности предприятия (ч. 6 ст. 6). На основании этой нормы Государственная служба по защите персональных данных изначально настаивает на том, что факт получения какой-либо персональной информации от любого физического лица является достаточным основанием, чтобы говорить об обязанности субъекта хозяйствования получить от такого лица его согласие на обработку персональных данных. Одновременно с этим она говорит и об обязанности зарегистрировать базу персональных данных «Контрагенты» либо любую другую, аналогичную ей по содержанию. Подробно о требованиях, предъявляемых к субъектам хозяйствования в связи с необходимостью защиты персональных данных, см. «Налоги и бухгалтерский учет», 2012, № 48.
Дело в том, что само по себе отсутствие согласия со стороны физлица на обработку его персональных данных применение каких-либо мер ответственности к субъекту хозяйствования или его должностным лицам не влечет. Все нарушения, за которые установлена ответственность (в частности, ст. 18839 КоАП), так или иначе связаны с наличием базы персональных данных. А потому у тех субъектов хозяйствования, которые заключили с физлицами договоры, не испросив у них согласия на обработку персональных данных, есть целый ряд аргументов в свою пользу:
1. Закон о защите персональных данных требует получения согласия на обработку персональных данных, под которой, в свою очередь, понимается любое действие либо совокупность действий, осуществленных полностью либо частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, возобновлением, использованием и распространением, обезличиванием, уничтожением сведений о физическом лице.
Как видим, речь идет не о любых операциях со сведениями о физлице, а лишь о тех из них, которые осуществляются в информационных (автоматизированных) системах и / или картотеках. В одной из своих пресс-конференций представители Минюста указывали на то, что при этом сведения должны быть структурированы по определенным критериям, касающимся физических лиц, таким образом, чтобы обеспечить легкий доступ к соответствующим персональным данным (см. http://www.minjust.gov.ua/0/38307).
Иначе говоря, далеко не каждая совокупность документов, в которых встречаются те или иные сведения о физических лицах, может считаться базой персональных данных, поскольку, чтобы найти в таких документах информацию о физлице, придется приложить определенные усилия и затратить время. По справедливому выводу Минюста, легкий доступ к сведениям о физлице — один из признаков базы персональных данных.
В последующем представители Минюста, руководствуясь данным выводом, указали, что только лишь упоминания тех или иных данных физического лица (даже если они позволяют идентифицировать такое лицо) недостаточно, чтобы считалось, что на предприятии есть БПД. Данное утверждение сотрудниками Минюста было проиллюстрировано таким примером. Предприятие заключает гражданско-правовые договоры с физлицами-предпринимателями и формирует их в папки в хронологическом порядке. Такой способ упорядочить информацию не говорит о наличии базы персональных данных, поскольку в основе ее систематизации и структурирования лежат не сведения о физлице, а дата заключенного с ним договора. Если бы предприятие, к примеру, формировало папки в алфавитном порядке по фамилиям физлиц-предпринимателей, с которыми заключены договоры, были бы основания указывать на наличие БПД.
2. Необходимо проводить разграничение между информацией, позволяющей идентифицировать физическое лицо, и персональными данными. Так, Конституционный Суд Украины в решении от 20.01.2012 г. № 2-рп/2012 по делу по конституционному представлению Жашковского районного совета Черкасской области относительно официального толкования положений частей первой, второй статьи 32, частей второй, третьей статьи 34 Конституции Украины указал, что персональные данные о лице — это любые сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, а именно: национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, материальное положение, адрес, дата и место рождения, место жительства и нахождения и т. п., данные о личных имущественных и неимущественных отношениях данного лица с другими лицами, в частности членами семьи, а также сведения о событиях и явлениях, которые происходили или происходят в бытовом, интимном, товарищеском, профессиональном, деловом и других сферах жизни лица, за исключением данных относительно исполнения полномочий лицом, занимающим должность, связанную с осуществлением функций государства или органов местного самоуправления. Как видим, сведения, с помощью которых можно идентифицировать лицо (именно они, как правило, указываются в договорах), сами по себе персональными не являются. Под защиту Закона подпадает лишь та информация, которую можно установить дополнительно к данным, позволяющим лицо идентифицировать (анализ крови лица, кардиограмма, заработная плата, служебная характеристика).
В то же время, если субъект хозяйствования рисковать не хочет*, он может выбрать форму, в которой заручится согласием физлица на обработку его персональных данных. Это может быть как отдельно составленный документ, так и отдельный пункт, включенный в договор (анкету). Кроме того, одновременно с получением согласия следует заручиться подтверждением со стороны физлица о том, что он ознакомлен с предоставляемыми ему законодательными гарантиями в части защиты персональных данных. Текст может быть примерно следующим:
«Клієнт підтверджує, що:
— він ознайомлений Виконавцем з його правами як суб’єкта персональних даних, визначеними Законом України «Про захист персональних даних», метою збору таких даних та осіб, яким можуть передаватися його персональні дані;
— Клієнт підтверджує згоду на здійснення обробки таких персональних даних щодо нього:
1) ідентифікаційні дані: прізвище, ім’я та по батькові; індивідуальний податковий номер;
2) особисті відомості: вік, стать, сімейний стан, склад сім’ї;
3) відомості щодо освіти, посади, місця роботи;
— Клієнт надає свою згоду включити до бази персональних даних Виконавця «Контрагенти» свої персональні дані (надані відомості) з метою забезпечення реалізації цивільних, господарських, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку та аудиту».
Сторони дійшли згоди, що Виконавець має право обробляти персональні дані Клієнта виключно з метою виконання цього Договору, а також у випадках, передбачених чинним законодавством України.
Виконавець зобов’язується належним чином охороняти персональні дані Клієнта, забезпечувати їх конфіденційність та безпеку під час їх обробки.
Отметим, что 02.10.2012 г. парламентом Украины был принят Закон Украины «О внесении изменений в Закон Украины «О защите персональных данных», которым, в частности, предусматривалось, что в ситуации, когда сведения о физическом лице получены в результате заключения с ним договора, получать согласие на обработку таких сведений не нужно. Кроме того, этим же Законом планировалось ввести норму, отменяющую обязательность регистрации базы персональных данных «Работники». Однако Президент ветировал этот Закон.
Елена Уварова, юрист
* Мы не можем исключать, к примеру, и того, что сами физические лица, будучи наслышаны о мерах по защите персональных данных, будут настаивать на том, чтобы у них запросили согласие на использование персональных данных. В противном случае вполне возможно, что все закончится жалобой на субъекта хозяйствования в Госслужбу по защите персональных данных, что уже само по себе — основание для проверки.
