Анализируем изменения в сфере законодательства о защите персональных данных

ГКУ — Гражданский кодекс Украины от 16.01.2003 г. № 435-IV.

Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.

Закон № 5491 — Закон Украины «О внесении изменений в Закон Украины «О защите персональных данных» от 20.11.2012 г. № 5491-VI.

БПД — база персональных данных.

ГСЗПД — Государственная служба Украины по вопросам защиты персональных данных.

Сначала напомним определение БПД, приведенное в ст. 2 Закона № 2297. Так, БПД — это именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

При этом персональные данные определены как сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Обращаем внимание, что при формировании БПД следует учитывать только сведения о физических лицах. Сведения о юридических лицах не относятся в состав БПД.

ГСЗПД на своем официальном сайте (http://zpd.gov.ua) приводила конкретные сведения, под которыми следует понимать персональные данные. Таким образом, существуют персональные данные следующих категорий:

— данные общего характера (фамилия, имя и отчество, дата и место рождения, гражданство, местожительство, личные сведения (возраст, пол, семейное положение и т. п.), состав семьи, образование, профессия, финансовая информация, электронные идентификационные данные, запись изображений (фото, видео и т. п.));

— уязвимые (чувствительные) данные (расовое или этническое происхождение, политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни).

Также ГСЗПД отмечала, что каждое предприятие (учреждение, организация) является владельцем не менее двух БПД — работников и клиентов.

Однако Законом № 5491 внесены изменения в ст. 9 Закона № 2297, согласно которым владелец персональных данных освобождается от обязанности регистрации БПД:

— ведение которых связано с обеспечением и реализацией трудовых отношений;

— членов общественных, религиозных организаций, профессиональных союзов, политических партий.

Это означает, что владелец персональных данных с 20.12.2012 г. освобождается от регистрации БПД, содержащих в себе персональные данные, в частности, о работниках.

Тогда возникает абсолютно логический вопрос, как быть тем учреждениям и организациям, которые, побаиваясь значительных штрафов, направили заявление о регистрации БПД «Работники», однако так и не получили соответствующего свидетельства. Учитывая загруженность ГСЗПД и последние изменения в сфере законодательства по защите персональных данных, такие владельцы персональных данных уже не получат данного свидетельства.

Однако в этом контексте приведем некоторые нюансы обработки персональных данных работников с учетом последних изменений. Таким образом, согласно последним изменениям, внесенным в ст. 9 Закона № 2297, работодатели освобождаются именно от регистрации персональных данных, связанных с возникновением трудовых отношений. Вместе с тем понятие «обработка персональных данных» значительно шире, чем только регистрация. Так, согласно ст. 2 Закона № 2297 (с учетом последних изменений, внесенных в нее) под обработкой персональных данных следует понимать любые действия или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, восстановление, использование и распространение (распространение, реализация, передача), обезличение, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем.

В связи с этим допускаем, что владелец освобождается от регистрации БПД «Работники», однако на него по-прежнему возлагается обязанность относительно других действий, связанных с обработкой персональных данных работников. Тогда работодателю, как и до внесения последних изменений, следует получать согласие от работников на обработку их персональных данных и формировать БПД «Работники» с единственным отличием — теперь такая база не будет подлежать регистрации. Ведь фактически одна из важнейших задач Закона № 2297 остается неизменной, а именно недопущение незаконного распространения персональных данных физических лиц.

Однако окончательный вывод по этому поводу можно будет сделать только после соответствующих разъяснений со стороны официальных органов.

Напомним, что в соответствии с разъяснениями ГСЗПД получить согласие на обработку персональных данных следует только от работников, принимаемых в учреждение (организацию) после 01.01.2011 г. Вместе с тем, в случае, если работник отказывается от предоставления такого согласия, в соответствии с нормами Кодекса законов о труде Украины это не рассматривается как основание для отказа в приеме работника на работу. При этих обстоятельствах возникают определенные трудности при оформлении трудового договора с таким работником.

Еще раз заметим: ГСЗПД неоднократно отмечала, что персональные данные, полученные учреждением (организацией) от его контрагентов — физических лиц (поставщиков, клиентов), составляют соответствующие БПД. При этом основанием для обработки персональных данных, полученных от контрагентов — физических лиц, являются предоставленные ими согласия на обработку их персональных данных.

По аналогии с получением согласия на обработку персональных данных от работников получать такое согласие следовало только от тех контрагентов, отношения с которыми возникли после 1 января 2011 года. Однако обращаем внимание, что в БПД вносятся персональные данные по всем контрагентам независимо от даты возникновения с ними отношений.

В ст. 11 Закона № 2297 (с учетом изменений, внесенных в нее Законом № 5491) отмечено: основаниями для обработки персональных данных, в частности, являются заключение и выполнение сделки, стороной которой является субъект персональных данных или которая заключена в пользу субъекта персональных данных либо для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных.

При этом следует отметить, что в соответствии со ст. 202 ГКУ сделкой является действие лица, направленное на приобретение, изменение или прекращение гражданских прав и обязанностей. Сделка может совершаться устно или в письменной форме (ст. 205 ГКУ). Как отмечено в ст. 207 ГКУ, сделка считается совершенной в письменной форме, если ее содержание зафиксировано в одном или нескольких документах, в письмах, телеграммах, которыми обменялись стороны.

В общем случае по общепринятой практике сделку отождествляют со своего рода договором.

Учитывая вышеуказанное, можно сделать вывод, что отныне владелец персональных данных для обработки персональных данных контрагентов — физических лиц не должен получать от них согласия на это, поскольку заключенные с ними договоры уже являются основанием для обработки их персональных данных.

При этом, как указано в обновленной ст. 12 Закона № 2297, субъект персональных данных уведомляется о владельце персональных данных, составе и содержании собранных персональных данных, правах такого субъекта, определенных Законом № 2297, цели сбора персональных данных и лицах, которым передаются его персональные данные, в течение 10 рабочих дней со дня сбора персональных данных.

Однако подчеркнем, что такие БПД, как «Контрагенты», «Поставщики», «Клиенты», по-прежнему подлежат формированию и регистрации.

Сначала рассмотрим схему регистрации БПД до внесения последних изменений. Как уже известно, регистрация БПД осуществляется по заявочному принципу путем уведомления. При этом заявление о регистрации БПД подает владелец персональных данных в уполномоченный государственный орган по вопросам защиты персональных данных — ГСЗПД. Форма такого заявления утверждена приказом Министерства юстиции Украины от 08.07.2011 г. № 1824/5.

В свою очередь ГСЗПД уведомляла заявителя не позднее следующего рабочего дня со дня поступления заявления о регистрации БПД о его получении. ГСЗПД принимала в течение 10 рабочих дней со дня поступления соответствующего заявления решение о регистрации БПД путем выдачи ее владельцу свидетельства о государственной регистрации БПД или уведомления об отказе в регистрации, о чем вносилась запись в Государственный реестр баз персональных данных. Образец свидетельства о государственной регистрации базы персональных данных утвержден приказом Министерства юстиции Украины от 08.07.2011 г. № 1823/5.

Однако в связи с неспособностью ГСЗПД своевременно обработать все заявления, поступавшие по ее адресу, на практике такая схема регистрации в течение 2012 года была несколько изменена. Так, после проработки заявления сведения, содержащиеся в нем, вносились в Государственный реестр баз персональных данных и на адрес владельца персональных данных (почтовый или электронный) направлялось официальное уведомление с указанием регистрационного номера заявления в этом Реестре и датой принятия решения о регистрации БПД. Как видим, владелец персональных данных получал уведомление о получении соответствующего заявления ГСЗПД только после того, как работники указанной Службы приступили к его обработке, а не в момент его непосредственного получения.

Следовательно, подобная схема регистрации применяется с 20.12.2012 г. Так, в ч. 4 ст. 9 Закона № 2297 внесены изменения, согласно которым уведомление о поступлении заявления о регистрации БПД не будет направляться ГСЗПД владельцу персональных данных. Вместе с тем решение о регистрации БПД отныне принимается ГСЗПД в течение 30 рабочих дней со дня поступления заявления, а не 10 календарных дней, как это предусматривалось до внесения последних изменений.

В связи с этим изменения должны коснуться и Положения о Государственном реестре баз персональных данных и порядке его ведения, утвержденного постановлением Кабинета Министров Украины от 25.05.2011 г. № 616, в котором подробнее, чем в Законе № 2297, расписана процедура регистрации БПД.

Отметим, что функции ГСЗПД пополнились новыми. Соответствующие изменения внесены в ст. 23 Закона № 2297. Среди наиболее интересных уместно выделить издание рекомендации по практическому применению положений законодательства о защите персональных данных.

Подробный перечень функций и задач ГСЗПД приведен в Положении о Государственной службе Украины по вопросам защиты персональных данных, утвержденном Указом Президента Украины от 06.04.2011 г. № 390/2011. Отметим, что такая функция ГСЗПД не предусмотрена в указанном Положении.

Надеемся, что с установлением в Законе № 2297 прямой задачи ГСЗПД предоставлять практические рекомендации по применению законодательства в сфере защиты персональных данных подобных разъяснений прибавится.