З початку 2014 року у сфері захисту персональних даних (ПД) новий керманич — Уповноважений ВРУ з прав людини. Тепер бази ПД не потрібно реєструвати. Проте в деяких особливих випадках слід повідомляти Уповноваженого про обробку ПД, яка становить особливий ризик для прав і свобод суб’єктів ПД*.
Перелік ПД, обробка яких є ризикованою, наведено в п. 1.2 Порядку повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних…, затвердженого наказом Уповноваженого від 08.01.14 р. № 1/02-14 (далі — Порядок). Також цей момент Уповноважений розтлумачив у роз’ясненні до Порядку, датованому 08.01.14 р.
Сьогодні вартий уваги один вид «ризикованих» ПД — місцезнаходження та/або шляхи пересування особи. Серед прикладів Уповноважений навів використання платіжної чи будь-якої іншої іменної картки при розрахунках за товари та послуги.
Що ж виходить? Постачальник товарів (послуг), приймаючи оплату від покупця за допомогою картки через платіжні термінали (ПТ), зобов’язаний повідомляти Уповноваженого про «ризиковану» обробку ПД? Якщо так, то з повідомленнями повинні «дружити» дуже багато суб’єктів господарювання, простимульовані законодавством до обладнання торговельних точок ПТ (п. 14.19 Закону № 2346**, постанова КМУ від 29.09.10 р. № 878).
Відповідь на це важливе запитання знаходимо в листі, що коментується. І вона, поза сумнівом, радує: розрахунки за товари та послуги з використанням платіжної картки через ПТ здійснюються без ідентифікації особи суб’єктом господарювання — продавцем товарів та послуг. Так, у госпсуб’єкта після розрахунку залишається певна інформація про покупця: ім’я, прізвище та окремі цифри платіжної картки. Але на її підставі неможливо здійснити ідентифікацію особи. Отже, це не те, що «ризикована», це навіть не обробка ПД особи в розумінні Закону України «Про захист персональних даних» від 01.06.10. № 2297-VI. Адже вимога про ідентифікацію конкретної особи чітко встановлена в абз. 9 ст. 2 цього Закону. А людей з однаковими іменами та прізвищами в масштабах України знайдеться чимало.
Головний висновок: отримуючи деякі дані про покупця через ПТ, продавець не обробляє ПД. Говорити про «ризиковану» обробку ПД взагалі не доводиться. А це означає, що повідомляти Уповноваженого про «ризиковану» обробку ПД не потрібно.
Отримати детальнішу інформацію про покупця (пред’явника платіжної картки) госпсуб’єкт-продавець не може. У цьому випадку йому прямо заборонено вимагати у покупця пред’явити документи, що посвідчують особу, якщо це не передбачено встановленими емітентом правилами платіжної системи та/або умовами використання спеціального платіжного засобу (п. 10.1 Положення № 223***).
А от хто насправді має справу з «ризикованою» обробкою ПД, так це власники серверів платіжної системи обслуговуючих банків, на які передається інформація про розрахункову операцію за допомогою платіжної картки. Тут же зберігаються дані, за допомогою яких можна повністю ідентифікувати особу (власника платіжної картки) і місце здійснення операції (місцезнаходження та/або шляхи пересуванняу особи). Для таких «щасливчиків» нагадаємо, що протягом 30 робочих днів із дня збору ПД потрібно подати Уповноваженому заяву про «ризиковану» обробку ПД за формою додатка 1 до наказу № 1/02-14.
* Детальніше про це читайте в «БТ», 2014, № 17, с. 33.
** Закон України «Про платіжні системи та переказ коштів в Україні» від 05.04.01 р. № 2346-III.
*** Положення про порядок емісії спеціальних платіжних засобів і здійснення операцій з їх використанням, затверджене постановою Правління НБУ від 30.04.10 р. № 223.
