Теми статей
Обрати теми

Бази персональних даних: критерії визначення

Редакція ПБО
Стаття

Бази персональних даних: критерії визначення

 

 

Кожен із нас як пересічний громадянин у своєму повсякденному житті стикався (і не раз) із ситуаціями, коли використовуються наші персональні дані без нашого на те відома. Розсилки спаму на електронну пошту, смс, що приходять завжди невчасно, із рекламою тієї чи іншої продукції, усіляких акцій та розпродажів. Проблеми бувають і більш істотними, коли надбанням громадськості стають відомості про рівень доходу, стан здоров’я, наявність боргу за комунальні послуги, невиплачений кредит тощо. Погодьтеся, кожен із нас хотів би мати гарантії того, що подібне втручання в особисте життя не відбуватиметься. Але в будь-якому починанні потрібна відповідність між поставленою метою та діями, що вчинюються. Вітчизняний законодавець явно відчуття міри не має, у чому знову довелося переконатися суб’єктам господарювання, які зіткнулися з проблемою реєстрації баз персональних даних. Але спершу потрібно визначитися з тим, що вважати тією самою базою персональних даних.

Олена УВАРОВА, юрист Видавничого будинку «Фактор»

 

БПД — тільки структурована система відомостей про фізосіб

 

Наше підприємство є звичайним господарюючим суб’єктом: є наймані працівники, укладаємо договори з фізособами-підприємцями, а також з юрособами, від імені яких виступають їх посадові особи. Які з перелічених відомостей можуть вважатися базою персональних даних?

 

На наш погляд, насамперед, необхідно провести розмежування між:

1) інформацією, що дозволяє ідентифікувати фізичну особу, та персональними даними; так, Конституційний Суд України в рішенні від 20.01.2012 р. № 2-рп/2012 у справі за конституційним поданням Жашківської районної ради Черкаської області щодо офіційного тлумачення положень частин першої, другої статті 32, частин другої, третьої статті 34 Конституції України вказав, що персональні дані про особу — це будь-які відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальне становище, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, які відбувалися або відбуваються в побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних відносно виконання повноважень особою, яка обіймає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування. Як бачимо, відомості, за допомогою яких можна ідентифікувати особу, самі по собі персональними не є. Під захист Закону № 2297 підпадає лише та інформація, яку можна встановити додатково до даних, що дозволяють особу ідентифікувати (аналіз крові особи, кардіограма, заробітна плата, службова характеристика тощо);

2) персональними даними, які так чи інакше неминуче використовуються в діяльності будь-якого суб’єкта господарювання (інформація про працівників, про посадових осіб контрагентів, які підписують договори, про фізосіб-клієнтів і т. д.), та базою персональних даних, тобто про іменовану сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек.

Водночас, не можна не зважати на думку Державної служби із захисту персональних даних щодо цих питань. За інформацією, розміщеною на її сайті, «кожне підприємство (організація) є власником, як мінімум, двох баз персональних даних, а саме бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку й аудиту, та бази персональних даних клієнтів чи інших осіб, персональні дані яких обробляються в цілях господарської діяльності». Разом із тим, «різні типи звітів та форм, що містять в собі визначену сукупність відомостей про фізосіб, які відібрані з баз персональних даних власника та періодично передаються до органів держвлади, — не розглядаються як окремі бази персональних даних». До бази персональних даних «Працівники» та бази «Клієнти» найбільш старанні платники податків додають також такі бази даних, як «Засновники» та «Контрагенти».

Слід зауважити: у своїх інтерв’ю представники Державної служби із захисту персональних даних пропонують максимально широкий підхід до визначення персональних даних. Так, заступник голови Держслужби Володимир Козак вказує на те, що ті чи інші відомості можуть стосуватися фізичної особи безпосередньо (чиясь конкретна особова справа, історія хвороби, банківський рахунок тощо) або опосередковано (наприклад, запис камери відеоспостереження, реєстр нерухомого майна; аналогічний підхід можна зустріти і в судовій практиці // див., наприклад, постанову Ленінського районного суду м. Вінниці від 25.04.2012 р. у справі № 2-а/212/5495/12, де державний реєстр об’єктів нерухомого майна було визнано судом базою персональних даних). Будь-яку подібну інформацію представники Держслужби вважають персональною та поширюють на неї дію Закону № 2297.

Проте навіть якщо погодитися з таким підходом, то не будь-які персональні дані складають базу персональних даних. Як підкреслює в своїх роз’ясненнях Мін’юст, база персональних даних є впорядкованою сукупністю логічно пов’язаних даних про фізичних осіб:

— які зберігаються та обробляються відповідним програмним забезпеченням і є базою персональних даних в електронній формі;

— які зберігаються та обробляються на паперових носіях інформації і є базою персональних даних у формі картотеки.

При цьому, щоб вважатися базою персональних даних, такі відомості має бути структуровано за певними критеріями, що стосуються фізичних осіб, так, щоб забезпечити легкий доступ до відповідних персональних даних.

Інакше кажучи, далеко не кожна сукупність документів, в яких зустрічаються ті чи інші відомості про фізичних осіб, може вважатися базою персональних даних, оскільки щоб знайти в таких документах інформацію про фізособу, доведеться докласти певних зусиль та витратити час. За справедливим висновком Мін’юсту, легкий доступ до відомостей про фізособу — одна з ознак бази персональних даних.

У подальшому представники Мін’юсту, керуючись цим висновком, зазначили, що тільки згадки тих чи інших даних фізичної особи (навіть якщо вони дозволяють ідентифікувати таку особу) недостатньо, щоб вважалося, що на підприємстві є БПД. Це твердження співробітниками Мін’юсту було проілюстроване на такому прикладі. Підприємство укладає цивільно-правові договори з фізособами-підприємцями та формує їх у папки в хронологічному порядку. Такий спосіб упорядкувати інформацію не свідчить про наявність бази персональних даних, оскільки в основі її систематизації та структурування лежать не відомості про фізособу, а дата укладеного з нею договору. Якби підприємство, наприклад, формувало папки в алфавітному порядку за прізвищами фізосіб-підприємців, з якими укладено договори, були б підстави вказувати на наявність БПД.

Утім, у тому, що на кожному підприємстві є база персональних даних з відомостями про працівників цього підприємства, Мін’юст готовий підтримати Держслужбу із захисту персональних даних (див. листи Мін’юсту від 11.01.2012 р. № У-42248/6.1, від 08.11.2011 р. № 17304-0-33-11/61).

Підсумуємо викладене. Звичайний господарюючий суб’єкт, в якого є наймані працівники, використовує, як мінімум, базу персональних даних «Працівники». Щодо інших баз персональних даних, то їх наявність чи відсутність установлюється в кожному конкретному випадку окремо.

 

Реєстрацію БПД «Працівники» можуть відмінити

 

Чи не мають наміру вносити зміни до Закону № 2297, що скасують обов’язок реєстрації БПД?

 

Зауважимо, що на сьогодні в парламенті зареєстровано декілька законопроектів, мета яких — внести зміни до Закону № 2297. Найбільше шансів на прийняття — у законопроекту, запропонованого Кабміном (роздано народним депутатам для ознайомлення 30.05.2012 р.). Ним, зокрема, передбачено звільнення від необхідності реєстрації баз персональних даних, «пов’язаних з трудовими відносинами». Фактично можна говорити про те, що в разі схвалення парламентом цієї законодавчої ініціативи з наступним підписанням закону Президентом України та його опублікуванням, для більшості суб’єктів господарювання питання реєстрації БПД перестане бути актуальним (оскільки, як правило, крім даних на працівників суб’єкти господарювання інформацію про фізосіб не систематизують). Проте це не означає, що на суб’єктів господарювання більше не поширюватиметься законодавство про захист персональних даних та зникне необхідність у вживанні заходів щодо їх захисту.

Якщо вказані законодавчі зміни буде прийнято і вони наберуть чинності, суб’єкти господарювання, які на той момент уже зареєструють базу персональних даних «Працівники», будь-які додаткові дії (наприклад, щодо скасування реєстрації) робити не зобов’язані.

Є й інші пропозиції законодавчих змін. Так, законопроектом від 06.02.2012 р. № 9790 пропонується поширити Закон № 2297 виключно на «діяльність суб’єктів господарювання зі створення баз персональних даних та обробки персональних даних у цих базах, які здійснюють (надають послуги):

— фінансову та страхову діяльність;

— діяльність у сфері інформації та телекомунікації;

— водопостачання; послуги каналізації, поводження з відходами;

— постачання електроенергії, газу, пари та кондиційованого повітря;

— діяльність у сфері охорони здоров’я (крім лікарняних та медичних закладів державної та комунальної форми власності);

— діяльність у сфері бухгалтерського обліку та аудиту;

— діяльність у сфері права;

— діяльність у сфері освіти (крім навчальних (виховних) закладів державної та комунальної форми власності);

— діяльність у сфері авіаційного транспорту;

— діяльність туристичних агентств, туристичних операторів, надання інших послуг бронювання та пов’язану з цим діяльність;

— тимчасове розміщення;

— оптову і роздрібну торгівлю, ремонт автотранспортних засобів та мотоциклів — із застосуванням системи дисконтних карт;

— діяльність ресторанів, надання послуг мобільного харчування — із застосуванням системи дисконтних карт».

 

Працевлаштовані іноземці — окрема БПД?

 

Якщо на підприємстві працевлаштовані іноземці, чи повинна на них реєструватися окрема БПД?

Це вирішує підприємство на свій розсуд: допустима реєстрація як однієї бази персональних даних «Працівники», так і паралельно з нею бази персональних даних «Працівники-іноземці».

 

Мобільний телефон співробітника зі службовими контактами — не БПД

 

Посадові особи підприємства часто в ділових цілях листуються з контрагентами через свої особисті електронні адреси. Менеджери зберігають контактні телефони представників фірм-партнерів в особистих мобільних телефонах. Чи вважається така інформація персональними даними підприємства?

 

Через неврегульованість цього питання підприємство цілком може у своїй діяльності виходити з того, що ані телефон менеджера, ані особиста пошта чи записник будь-кого із працівників власністю підприємства не є. У будь-який спосіб контролювати зміст пошти, записника, пам’яті телефонів працівників у підприємства можливості немає.

Самі ж працівники звільнені від необхідності встановлення, чи є інформація, що їм належить, базою персональних даних, оскільки завжди можуть послатися на ст. 1 Закону № 2297, згідно з якою дія цього Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах фізичною особою виключно для непрофесійних особистих чи побутових цілей. Перевірка особистих поштових скриньок, мобільних телефонів, записників — поза компетенцією перевіряючих з Держслужби із захисту персональних даних.

Єдине, що може (і повинно) зробити підприємство — розробити Положення про обробку та захист персональних даних (див. додаток 2), в якому передбачити, що працівники, яким унаслідок виконання службових обов’язків стали відомі персональні дані фізичних осіб (працівників того ж підприємства, представників контрагентів, клієнтів), не повинні їх розголошувати, передавати третім особам.

 

БПД — відомості про двох фізосіб і більше

 

Якщо на підприємстві один працівник (він же засновник), чи потрібно реєструвати БПД?

 

Повторимося, наразі є велика ймовірність унесення змін до Закону № 2297, унаслідок чого від необхідності реєстрації бази персональних даних «Працівники» буде позбавлено не лише суб’єктів господарювання, які мають одного працівника, а й усіх інших.

Утім, і чинне зараз законодавство дозволяє дати надію тим суб’єктам господарювання, які стоять перед дилемою: «реєструвати чи не реєструвати?» Річ у тім, що само визначення бази персональних даних вказує на сукупність певним чином впорядкованих відомостей, що побічно свідчить про те, що це мають бути відомості, як мінімум, про двох осіб і більше. З таким висновком Мін’юст погодився в листі від 08.11.2011 р. № 17304-0-33-11/61.

Проте й в умовах відсутності бази персональних даних підприємство не звільнене від необхідності захисту персональних відомостей про фізособу.

 

Реєструвати БПД «Контрагенти», «Засновники» тощо необов’язково

 

Чи повинне підприємство реєструвати БПД «Фізособи-контрагенти»/«Особи, уповноважені діяти від імені юрособи»/«Засновники»?

 

Як уже зазначалося, на нашу думку, простої наявності тих чи інших відомостей про фізичну особу недостатньо, щоб говорити про те, що підприємством використовується база персональних даних. Ті суб’єкти господарювання, які готові відстоювати таку точку зору, можуть узяти на озброєння такі аргументи:

1. Закон № 2297 не поширюється на будь-яку інформацію, яка опиняється в суб’єкта господарювання під час його діяльності та за допомогою якої можна ідентифікувати фізособу. Отримання таких відомостей, як прізвище, ім’я, по батькові та паспортні дані, обіймана посада найчастіше продиктовано спеціальними вимогами законодавства. Крім свого безпосереднього призначення (ідентифікації особи, з якою суб’єкт господарювання вступає в правовідносини), ця інформація ніяк не використовується, не впорядковується та не систематизується, а тому під визначення бази персональних даних підпадати не повинна.

2. Ідея міжнародних стандартів (під які було прийнято Закон № 2297) — установити вимоги щодо дій, спеціально спрямованих на створення та використання деяких баз даних про фізичних осіб (наприклад, перелік клієнтів, який спеціально ведеться для систематизації та подальшого використання відомостей про них). Наведене в Законі № 2297 поняття бази персональних даних як «іменованої сукупності упорядкованих персональних даних в електронній формі або у формі картотеки» вказує на те, що одного факту наявності в підприємства даних, що дозволяють ідентифікувати фізособу недостатньо, щоб вважати, що підприємство володіє базою персональних даних, оскільки це має бути: а) іменована, б) упорядкована сукупність даних, в) в електронній формі чи у формі картотеки.

3. Базою персональних даних сукупність відомостей про фізосіб повинна вважатися тільки у випадку, коли обробка таких відомостей є автоматизованою або коли оброблені дані розміщуються або призначені для розміщення в картотеках, структурованих за певними критеріями, що стосуються фізичних осіб, так, щоб забезпечити легкий доступ до відповідних персональних даних.

Отже, якщо підприємство не систематизує інформацію саме в розрізі засновників, клієнтів, фізосіб-контрагентів тощо, вважатися базою персональних даних вона не повинна.

Утім, якщо раптом хтось із суб’єктів господарювання вирішить перестрахуватися та зареєструвати базу персональних даних, а в подальшому перевіряючі дійдуть висновку, що такі відомості базу персональних даних не утворюють, негативні наслідки для суб’єкта господарювання наставати не повинні.

 

Візитниця — база персональних даних?

 

У директора, головного бухгалтера, фінансового директора зібрана контактна інформація про представників партнерських фірм, постачальників, клієнтів тощо. Чи підлягають реєстрації такі дані (наприклад, візитниця) як БПД?

 

При всій, на перший погляд, очевидності відповіді на це запитання ситуацію ускладнює позиція представників Держслужби із захисту персональних даних. Так, у листі від 02.04.2012 р. № 10/1106-12 Держслужба «рекомендує відомості або сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано, що знаходяться у візитниці, адресній книзі електронної пошти підприємства та списку контактів службового мобільного телефону, відносити до визначення «персональні дані» фізичної особи».

Слід визнати, що за формальними ознаками відомості про фізичну особу, які містяться у візитниці (як правило, це прізвище та ім’я або прізвище, ім’я, по батькові, посада або рід занять, контактні дані), дійсно охоплюються поняттям бази персональних даних: це впорядкована сукупність відомостей про фізичну особу, причому структурована так, щоб полегшити отримання даних про фізособу при зверненні до неї.

Водночас, правове регулювання має виходити з принципів розумності та відповідності між запропонованими заходами щодо захисту тих чи даних та необхідністю подібного захисту. Адже якщо особа самостійно поширює відомості про себе, більше того, зацікавлена в подальшій їх передачі третім особам (і форма поширення сама передбачає таке бажання), то нерозумно застосовувати до суб’єкта, який отримав такі дані, заходи щодо їх захисту від можливого використання та поширення. Інакше кажучи, інформація, що розміщується на візитці, передбачає її загальнодоступність, а тому не може піддаватися спеціальній охороні з боку законодавства як відомості, обмежені в доступі (до яких належать персональні дані). Слід пригадати, що захист персональних даних передбачає не лише реєстрацію БПД, а й отримання в суб’єкта персональних даних згоди на їх використання, а також його повідомлення про надані йому права, що у випадку з візиткою, як уже було сказано, є явно невідповідною вимогою.

Ті суб’єкти господарювання, які вже зареєстрували базу персональних даних «Контрагенти», думати про окрему реєстрацію відомостей, що знаходяться у візитниці, не повинні.

 

Відомості про юросіб — не БПД

 

Чи вважається БПД інформація про юросіб?

 

До персональних даних належать тільки відомості про фізичних осіб (у тому числі про фізосіб-підприємців). Тому якщо суб’єкт господарювання систематизує, скажімо, відомості про контрагентів — юридичних осіб, то подібна картотека базою персональних даних не вважатиметься.

 

Умови, за яких відомості про користувачів сайта вважаються БПД

 

У фірми є сайт, відвідувачі якого можуть за бажанням проходити реєстрацію, що передбачає присвоєння будь-якого названого користувачем ім’я (ніка). Чи буде інформація про відвідувачів сайта БПД?

 

Почнемо з того, як на це запитання відповідають представники самої Держслужби із захисту персональних даних. На їх думку, подібна інформація охоплюється визначенням персональних даних (з інтерв’ю з Володимиром Козаком, заступником голови Державної служби з питань захисту персональних даних).

Як уже зазначалося, тільки критерію можливості ідентифікації фізичної особи за наданими нею даними для визначення того, чи використовується підприємством база персональних даних, недостатньо: базою персональних даних може вважатися лише та сукупність відомостей про фізосіб, що систематизовані таким чином, що доступ до них та ідентифікація фізособи не становлять труднощів, не потребують докладання додаткових зусиль. У ситуації з реєстрацією на сайті за так званим ніком (умовним ім’ям, навіть якщо воно збігається зі справжнім) та паролем ці умови не дотримуються. Крім того, у випадку, коли для реєстрації достатньо ніка та пароля, фізособа фактично жодних персональних даних не надає, а отже, — на такі відносини Закон № 2297 у принципі поширюватися не повинен.

Проте повинні визнати: значно поширенішою є ситуація, коли для реєстрації на форумі або сайті необхідно заповнити реєстраційну форму, в якій просять указати низку відомостей, що, безумовно, є персональними (прізвище та ім’я, дата народження, сфера діяльності, місце проживання тощо). У цьому випадку велика ймовірність того, що у представників Держслужби із захисту персональних даних, якщо такий сайт раптом потрапить до їх уваги, може виникнути запитання про зайвий характер запитуваних відомостей, у зв’язку з чим вони можуть приписати суб’єктам господарювання, які мають подібні сайти та форуми, або відмовитися від подібних пунктів у реєстраційних формах, або зробити їх заповнення добровільним.

Крім того, відносно всіх форм інтерактивності на інтернет-ресурсах представники Держслужби висловлюють наполегливі рекомендації щодо застосування того чи іншого способу (форми) отримання згоди від суб’єкта персональних даних на їх використання. Вони визнають, що для фіксації такої згоди досить проставляння галочки (іншого знаку) напроти пункту «Підтвердження надання згоди на обробку персональних даних у базі персональних даних». Як приклад найчастіше наводяться ресурси таких компаній, як eBay і Google: перш ніж зареєструватися на тому чи іншому ресурсі компанії користувач потрапляє на сторінку, де вказано, хто, як і з якою метою оброблятиме його персональні дані. Поки він не поставить галочку в графі «Згоден» або «Я згоден з політикою конфіденційності та даю згоду на обробку своїх персональних даних», його дані до компанії не надійдуть (перший заступник голови Державної служби із захисту персональних даних Лілія Олексюк).

Вважаємо, що за бажання, з подібними вимогами можна поспорити. Річ у тім, що дані, які надаються при реєстрації на сайті (форумі), не підпадають під визначення персональних, а тому не потребують захисту відповідно до Закону № 2297. Це пояснюється тим, що персональні дані, як це передбачено ч. 2 ст. 6 Закону № 2297, мають бути достовірними та точними. У ситуації, коли має місце реєстрація на сайті, перевірити точність та достовірність інформації, як правило, не можна (як, власне, і при заповненні анкети клієнтом). На цей момент можна спробувати послатися при виникненні спору з представниками Держслужби із захисту персональних даних.

Можна навести додатковий аргумент. Згідно з ч. 4 ст. 6 Закону № 2297 первинними джерелами відомостей про фізичну особу є:

видані на її ім’я документи;

підписані такою особою документи;

відомості, які особа надає про себе.

У ситуації, коли має місце реєстрація на сайті, (1) особа не може бути ідентифікована достовірно; (2) особа не надає документи, видані на її ім’я; (3) особа не проставляє особистий підпис; (4) відомості, які особа надає про себе, не можуть бути перевірені на предмет достовірності.

 

Підприємець без найманих працівників БПД не реєструє

 

Підприємець без найманих працівників: чи потрібно йому реєструвати БПД?

 

Щоб дати вичерпну відповідь на це запитання, інформації явно недостатньо. Обов’язку зареєструвати БПД «Працівники» у підприємця немає за умови, що він в архівних та податкових цілях не зберігає в себе дані про осіб, які працювали в нього раніше та з якими трудовий договір уже розірвано.

Крім того, навіть якщо в підприємця ніколи не було найманих працівників, цей факт не свідчить про те, що такий суб’єкт господарювання не веде картотеку тих фізособ, з якими в нього укладено цивільно-правові договори.

 

Суб’єкт господарювання вільний у виборі назви для БПД

 

Чули, що реєструють БПД «Довіреності», «1С», «Бухгалтерія», «Кадрова документація», але що це, нібито, неправильно. Чи дійсно це так?

 

Реєстр баз персональних даних дійсно рясніє найрізноманітнішими варіантами назв БПД, серед яких можна зустріти й перелічені в запитанні. Методологічно, як нам видається, використання таких назв, як «Довіреність», «1С», «Бухгалтерія», «Кадрова документація» тощо є, щонайменше, некоректним: назва бази персональних даних повинна вказувати на категорію фізосіб, щодо яких систематизується інформація. Наприклад, це можуть бути працівники, клієнти, представники контрагентів. Можливий поділ указаних категорій на менші групи теж за тим чи іншим критерієм. Наприклад, працівники, які мають неповнолітніх дітей, можуть бути виділені в окрему картотеку для зручності з реєстрацією окремої бази персональних даних.

Утім, використання перелічених вище назв для позначення баз персональних даних не може бути розцінене як порушення вимог законодавства про захист персональних даних. Суб’єкт господарювання може використовувати будь-яку зручну для нього назву.

 

Розрізнена інформація про фізосіб базою персональних даних не є

 

Автомайстерня використовує номери автомобілів, номери кузовів автомобілів та телефон власника. Чи потрібно реєструвати базу даних «Клієнти»?

 

На наш погляд, подібна структуризація інформації хоча й дозволяє ідентифікувати фізичну особу, проте для цього необхідно зробити низку додаткових дій, які, до того ж, необов’язково матимуть бажаний результат. Тому, як вбачається, у подібній ситуації є всі шанси наполягати на тому, що база персональних даних відсутня.

Аналогічно можна відповісти на запитання про те, чи потрібно створювати базу даних «Клієнти» суб’єкту господарювання, який, наприклад, є власником сервісного центру з ремонту техніки та отримує дані клієнтів, позначені у квитанціях (прізвище, ім’я, по батькові, адреса і номер телефону). Усе залежить від того, що в подальшому із зазначеною інформацією відбувається. Якщо вона систематизується так, що відомості про клієнта досить легко знайти, то дійсно має місце база персональних даних, а тому її краще зареєструвати. Якщо ж квитанції просто накопичуються, наприклад, у хронологічному порядку, то бази персональних даних у підприємця немає.

 

Наявність договору з фізособою не свідчить про створення БПД

 

Договори, які «зберігаються в папках на полиці», є БПД чи ні?

 

Усе залежить від того, за яким критерієм вони структуровані. Якщо йдеться про договори з фізичними особами (незалежно від того, є в них статус підприємця чи ні) і вони, наприклад, розташовані за алфавітним принципом за прізвищами фізосіб, з якими укладалися, є підстави говорити, що підприємство має у своєму розпорядженні базу персональних даних, оскільки отримати інформацію про фізособу, знаючи її прізвище, стає досить просто.

 

Адвокати та нотаріуси зобов’язані дотримуватися вимог щодо захисту персональних даних

 

Адвокат заводить на кожного клієнта окрему папку, куди поміщає відомості про такого клієнта, документи (або їх копії), що були отримані під час ведення справи. Чи повинен адвокат зареєструвати базу персональних даних?

 

Формально адвокат не входить до числа суб’єктів, названих у Законі № 2297 володільцями бази персональних даних. Так, згідно з ч. 2 ст. 4 Закону № 2297 володільцем чи розпорядником БПД можуть бути підприємства, установи, організації всіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи — підприємці, які обробляють персональні дані відповідно до закону.

Як бачимо, ні адвокати, ні нотаріуси до зазначеного переліку не потрапляють, оскільки статусу фізичної особи — підприємця не мають. Утім, це зовсім не означає, що відомості, які вони отримують про фізосіб під час своєї діяльності, не захищені від розголошування. І адвокати, і нотаріуси зобов’язані дотримувати професійну таємницю, вимоги про що встановлені в спеціальних актах (у законах України «Про адвокатуру» та «Про нотаріат» відповідно).

Проте слід зауважити: Мін’юст у своїх роз’ясненнях (http://www.minjust.gov.ua/0/38266) з посиланням на ч. 6 ст. 24 Закону № 2297, згідно з якою «фізичні особи — підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону» (як бачимо з наведеного припису, законодавець у Законі № 2297 виходить з якогось широкого розуміння фізосіб-підприємців, маючи на увазі під ними будь-яку самозайняту особу).

App
Завантажуйте наш мобільний додаток Factor

© Factor.Media, 1995 -
Всі права захищені

Використання матеріалів без узгодження з редакцією заборонено

Ознайомитись з договором-офертою

Приєднуйтесь
Адреса
м. Харків, 61002, вул. Сумська, 106а
Ми приймаємо
ic-privat ic-visa ic-visa

Ми використовуємо cookie-файли, щоб зробити сайт максимально зручним для вас та аналізувати використання наших продуктів та послуг, щоб збільшити якість рекламних та маркетингових активностей. Дізнатися більше про те, як ми використовуємо ці файли можна тут.

Дякуємо, що читаєте нас Увійдіть і читайте далі