Усе, що ви збираєтеся просити,
у вас і так давно вже є
Лист Державної служби України
з питань захисту персональних даних
від 29.02.2012 р. № 10/635-12
Щодо використання
персональних даних*
Державна служба України з питань захисту персональних даних на Ваш лист <...> щодо питань використання персональних даних, та зазначаємо, що надання роз’яснень норм законодавства виходить за межі повноважень Служби.
Разом з цим, при вирішенні питань, порушених у листі, необхідно враховувати наступні вимоги законодавства про захист персональних даних.
Використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону (частина перша статті 10 Закону України «Про захист персональних даних»).
Зауважуємо, що підставами виникнення права на використання персональних даних, згідно з вимогами статті 11 цього Закону, окрім згоди суб’єкта персональних даних на обробку його персональних даних, є дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб’єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим (частина сьома статті 6 Закону України «Про захист персональних даних»).
Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо власник продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом України «Про захист персональних даних»).
Одночасно суб’єкти відносин, пов’язані із персональними даними, зобов’язані дотримуватися вимог, встановлених законодавством про захист персональних даних, зокрема щодо реєстрації баз персональних даних, використання, поширення, знищення персональних даних, порядку доступу до персональних даних третіх осіб тощо.
Голова Служби А. Мервінський
Від редакції
Отже, Служба з питань запердан рекомендує робити вигляд, що відомості (персональні дані) були отримані до 01.01 .2011 р. внаслідок вільного волевиявлення фізособи (зрештою, немає ж доказів застосування тортур) і використовувати такі дані без вимагання повторної згоди. Але базу зареєструвати все одно треба.
* Наводимо запит, відповіддю на який є цей лист:
«Відомо, що для правомірного використання персональних даних підприємству або приватному підприємцеві слід отримати згоду (в письмовій або електронній формі) від суб’єктів персональних даних.
І . Чи можливе використання персональних даних у випадку, якщо суб’єкт персональних даних відмовляється надати таку згоду (проте відомості про них зібрані до набрання чинності Законом України «Про захист персональних даних»)?
ІІ . Чи можливе використання персональних даних в тому випадку, якщо суб’єкт персональних даних не має об’єктивної можливості надати таку згоду: його перебування на лікуванні, не можливість встановити зв’язок із суб’єктом персональних даних (однак відомості про них зібрані до набрання чинності Законом «Про захист персональних даних»)?
ІІІ . Як врегулювати відносини використання даних, що виникли до 01.01.2011 р.?
Якщо відомості про осіб зібрані до набрання чинності Законом «Про захист персональних даних», але згоди від суб’єктів персональних даних не отримано — як саме слід діяти в такому випадку підприємству або приватному підприємцю?».— Ред.