Аналізуємо зміни у сфері законодавства щодо захисту персональних даних

ЦКУ — Цивільний кодекс України від 16.01.2003 р. № 435-IV.

Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.

Закон № 5491 — Закон України «Про внесення змін до Закону України «Про захист персональних даних» від 20.11.2012 р. № 5491-VI.

БПД — база персональних даних.

ДСЗПД — Державна служба України з питань захисту персональних даних.

Спочатку нагадаємо визначення БПД, наведене у ст. 2 Закону № 2297. Так, БПД — це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

При цьому персональні дані визначено як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Звертаємо увагу, що при формуванні БПД слід враховувати тільки відомості фізичних осіб. Відомості щодо юридичних осіб не відносяться до складу БПД.

ДСЗПД на своєму офіційному сайті (http://zpd.gov.ua) наводила конкретні відомості, під якими слід розуміти персональні дані. Відтак існують персональні дані таких категорій:

— дані загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання, особисті відомості (вік, стать, сімейний стан тощо), склад сім’ї, освіта, професія, фінансова інформація, електронні ідентифікаційні дані, запис зображень (фото, відео тощо));

— вразливі (чутливі) персональні дані (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров’я чи статевого життя).

Також ДСЗПД наголошувала, що кожне підприємство (установа, організація) є володільцем щонайменше двох БПД — працівників та клієнтів.

Однак Законом № 5491 внесено зміни до ст. 9 Закону № 2297, згідно з якими володілець персональних даних звільняється від обов’язку реєстрації БПД:

— ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;

— членів громадських, релігійних організацій, професійних спілок, політичних партій.

Це означає, що володілець персональних даних з 20.12.2012 р. звільняється від реєстрації БПД, яка вміщує у собі персональні дані, зокрема, щодо працівників.

Тоді виникає цілком логічне запитання, як бути тим установам та організаціям, які побоюючись значних штрафів, направили заяву про реєстрацію БПД «Працівники», проте так і не отримали відповідного свідоцтва. Враховуючи завантаженість ДСЗПД та останні зміни у сфері законодавства щодо захисту персональних даних, такі володільці персональних даних уже не отримають такого свідоцтва.

Проте у цьому контексті наведемо деякі нюанси обробки персональних даних працівників з урахуванням останніх змін. Відтак згідно з останніми змінами, внесеними до ст. 9 Закону № 2297, роботодавці звільняються саме від реєстрації персональних даних, пов’язаних із виникненням трудових відносин. Разом із тим поняття «обробка персональних даних» значно ширше, ніж тільки реєстрація. Так, згідно зі ст. 2 Закону № 2297 (з урахуванням останніх змін, внесених до неї) під обробкою персональних даних слід розуміти будь-які дії або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

У зв’язку з цим допускаємо, що володілець звільняється від реєстрації БПД «Працівники», однак, як і раніше, на нього покладається обов’язок щодо інших дій, пов’язаних із обробкою персональних даних працівників. Тоді роботодавцю, як і до внесення останніх змін, слід отримувати згоду від працівників на обробку їх персональних даних та формувати БПД «Працівники» з єдиною відмінністю — тепер вона не підлягатиме реєстрації. Адже фактично одним із найважливіших завдань Закону № 2297 залишається незмінним, а саме недопущення незаконного розповсюдження персональних даних фізичних осіб.

Однак остаточний висновок з цього приводу можна буде зробите тільки після відповідних роз’яснень з боку офіційних органів.

Нагадаємо, що за роз’ясненнями ДСЗПД отримати згоду на обробку персональних даних слід лише від працівників, які приймали в установу (організацію) після 01.01.2011 р. Разом із тим у разі, якщо працівник відмовляється від надання такої згоди, то згідно з нормами Кодексу законів про працю України це не розглядається як підстава для відмови у прийнятті працівника на роботу. За цих обставин виникають певні труднощі при оформленні трудового договору з таким працівником.

Ще раз зауважимо, що ДСЗПД неодноразово наголошувала на тому, що персональні дані, отримані установою (організацією) від її контрагентів — фізичних осіб (постачальників, клієнтів), складають відповідні БПД. При цьому підставою для обробки персональних даних, отриманих від контрагентів — фізичних осіб, є надані ними згоди на обробку їх персональних даних.

За аналогією із отриманням згоди на обробку персональних даних від працівників отримувати таку згоду слід було тільки від тих контрагентів, відносини з якими виникли після 1 січня 2011 року. Однак звертаємо увагу, що до БПД вносяться персональні дані щодо всіх контрагентів незалежно від дати виникнення з ними відносин.

У ст. 11 Закону № 2297 (з урахуванням змін, внесених Законом № 5491 до неї) відзначено: підставами для обробки персональних даних, зокрема, є укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних.

При цьому слід відзначити, що відповідно до ст. 202 ЦКУ правочином є дія особи, спрямована на набуття, зміну або припинення цивільних прав та обов’язків. Правочин може вчинятися усно або в письмовій формі (ст. 205 ЦКУ). Як зазначено у ст. 207 ЦКУ, правочин вважається таким, що вчинений у письмовій формі, якщо його зміст зафіксований в одному або кількох документах, у листах, телеграмах, якими обмінялися сторони.

У загальному випадку за загальноприйнятою практикою правочин ототожнюють із своєрідною угодою.

Враховуючи вищенаведене, можна зробити висновок, що відтепер володілець персональних даних для обробки персональних даних контрагентів — фізичних осіб не повинен отримувати від них згоди на це, оскільки укладені з ними договори вже є підставою для обробки їх персональних даних.

При цьому, як вказано в оновленій ст. 12 Закону № 2297, суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб’єкта, визначені Законом № 2297, мету збору персональних даних та осіб, яким передаються його персональні дані, протягом 10 робочих днів з дня збору персональних даних.

Проте підкреслимо, що такі БПД, як «Контрагенти», «Постачальники», «Клієнти», як і раніше, підлягають формуванню та реєстрації.

Спочатку розглянемо схему реєстрації БПД до внесення останніх змін. Як уже відомо, реєстрація БПД здійснюється за заявочним принципом шляхом повідомлення. При цьому заява про реєстрацію БПД подається володільцем персональних даних до уповноваженого державного органу з питань захисту персональних даних — до ДСЗПД. Форму такої заяви затверджено наказом Міністерства юстиції України від 08.07.2011 р. № 1824/5.

У свою чергу, ДСЗПД повідомляла заявника не пізніше наступного робочого дня з дня надходження заяви про реєстрацію бази персональних даних про її отримання. ДСЗПД приймала протягом 10 робочих днів з дня надходження відповідної заяви рішення про реєстрацію БПД шляхом видання її володільцю свідоцтва про державну реєстрацію БПД чи повідомлення про відмову в реєстрації, про що вносився запис до Державного реєстру баз персональних даних. Зразок свідоцтва про державну реєстрацію бази персональних даних затверджено наказом Міністерства юстиції України від 08.07.2011 р. № 1823/5.

Однак у зв’язку із неспроможністю ДСЗПД своєчасно обробити всі заяви, які надходили на її адресу, на практиці така схема реєстрація протягом 2012 року була дещо змінена. Так, після опрацювання заяви відомості, які містяться в ній, вносилися до Державного реєстру баз персональних даних та на адресу володільця персональних даних (поштову або електронну) направлялося офіційне повідомлення із зазначенням реєстраційного номера заяви в цьому Реєстрі та датою прийняття рішення про реєстрацію БПД. Як бачимо, володілець персональних даних отримував повідомлення щодо отримання відповідної заяви ДСЗПД лише після того, як працівники вказаної Служби приступили до її обробки, а не під час її безпосереднього отримання.

Отже, подібна схема реєстрації застосовується з 20.12.2012 р. Так, до ч. 4 ст. 9 Закону № 2297 внесено зміни, згідно з якими повідомлення про надходження заяви про реєстрацію БПД більше не надсилатиметься ДСЗПД володільцю персональних даних. Разом з тим рішення про реєстрацію БПД відтепер приймається ДСЗПД протягом 30 робочих днів з дня надходження заяви, а не 10 календарних днів, як це передбачалося до внесення останніх змін.

У зв’язку з цим зміни повинні торкнутися й Положення про Державний реєстр баз персональних даних та порядок його ведення, затвердженого постановою Кабінету Міністрів України від 25.05.2011 р. № 616, в якому більш детально, ніж у Законі № 2297, розписана процедура реєстрації БПД.

Зауважимо, функції ДСЗПД поповнилися новими. Відповідні зміни внесено до ст. 23 Закону № 2297. Серед найбільш цікавих доречно виділити таку, як: видання рекомендації щодо практичного застосування положень законодавства про захист персональних даних.

Детальний перелік функцій та завдань ДСЗПД наведений у Положенні про Державну службу України з питань захисту персональних даних, затвердженому Указом Президента України від 06.04.2011 р. № 390/2011. Зауважимо, що така функція ДСЗПД не передбачена у наведеному Положенні.

Сподіваємося, що із встановленням у Законі № 2297 прямого завдання ДСЗПД надавати практичні рекомендації щодо застосування законодавства у сфері захисту персональних даних подібних роз’яснень побільшає.