Удалось ли защитить персональные данные?

Карцева Яна, Юрист ЮК «Правовой Альянс»,

Санжаровська-Гурлач Лидия, Юрист ЮК «Правовой Альянс»
Опубликовано: Для Юрист&Закон

Безумовно, однією з «найгарячіших» тем року, що минає,стала темазахисту персональних даних. Новели законодавства у даній сфері торкнулися інтересів юридичних осіб як приватного, так і публічного права, фізичних осіб-підприємців та окремих громадян, визначивши принципово нові підходи до організації внутрішніх процесів обробки персональних даних у базах та здійснення доступу до таких даних.

Не зважаючи на те, що Закон України «Про захист персональних даних» був прийнятий ще 1 червня 2010 року, «по-справжньому» його дія активізувалась та стала предметом загальної «стурбованості» лише з 1 липня 2011 року одночасно з набранням чинності Положення про Державний реєстр баз персональних даних та порядку його ведення.

Середина літа слала відправним часовим пунктом для детального вивчення та критичного аналізу положень законодавства щодо захисту персональних даних. Місяць за місяцем суб’єкти господарювання намагались розібратись у законодавчих приписах та пристосувати свою діяльність до нових вимог законодавця. З наближенням кінця поточного року все більших обертів набрали «громадські хвилювання» та обсяги звернень до Державної служби з питань захисту персональних даних з Заявами про реєстрацію баз персональних даних. Така об’ємна практика застосування положень Закону України «Про захист персональних даних» та підзаконних нормативно-правових актів, направлених на його реалізацію, надала можливість говорити про недосконалість, непристосованість до реалій сьогодення та в окремих аспектах «утопічність» законодавства щодо захисту персональних даних.

Так, на загальному фоні урегульованостізначного кола питань, зокрема процедуриздійснення державної реєстрації баз персональних даних, обробки персональних даних в базах, доступу до персональних даних, внесених до баз, відповідальності, залишаються не врегульованими, мабуть, ключові питання щодо створення баз персональних даних та захисту персональних даних у базах.

Зважаючи на те, що законом надане досить розмите поняття «персональних даних», під якими розуміють фактично будь-яку інформацію про особу, яка ідентифікована або може бути конкретно ідентифікована, проблеми виникають і з визначенням кількості баз окремого володільця та їх відмежуванням одна від одної.

Відповідно до закону, базою персональних даних є «іменованасукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних». У зв’язку з цим, виникають питання, чи будуть вважатися базою персональних даних бази, як то картотеки, які не пойменовані, не упорядковані чи містять окрім персональних даних ще й іншу інформацію. Оскільки на сьогоднішній день відсутні жодні роз’яснення з цього приводуможливим вбачається розглядати в якості бази персональних даних й «змішані сукупності» даних, що включають й персональні. Мова йде про, наприклад, файли з договорами, в яких поряд з іншою інформацією зазначено й персональні дані підписанта, зокрема, його прізвище, ім’я, по-батькові, посаду, назву юридичної особи.

Крім того, законодавцем не врегульовані питання щодо критеріїв, за якими необхідно визначати та відокремлювати ті чи інші бази персональних даних. За відсутності законодавчо встановлених вимог, та базуючись на випадках з практики, найбільш доцільними критеріями є класифікація баз за суб’єктами чи системами обробки персональних даних.

Так, класифікуючи бази за суб’єктами,фармацевтична компанія, наприклад, може налічуватибази даних засновників, працівників, контрагентів (фізичних осіб-підприємців), медичних спеціалістів. Крім того, нерідко компанії ведуть реєстри кандидатів у працівники чи потенційних контрагентів, які також доцільно реєструвати.

Класифікація баз даних за системами обробки персональних даних , мабуть, є найбільш звичним та поширеним явищем. Компанії реєструють бази залежно від конкретної програми, в якій такі дані обробляються, наприклад, бухгалтерська програма «1С», «SAP», програма «Terrasoft» та ін. Однак, законом не заборонено реєструвати базу даних «працівники» та здійснювати її обробку за допомогою різних систем, наприклад, в «1С», «SAP», «Terrasoft» та друкованій картотеці з особовими справами працівників.

Крім того, нерідко виникають питання щодо місцезнаходження тієї чи іншої бази персональних даних. Варто зазначити, що місцезнаходження визначається за розташуванням носія бази персональних даних. Таким чином, у випадку, якщо база персональних даних знаходиться в певній своїй частині на сервері в одному місці, та одночасно у картотеці в іншому місці, і така картотека не є резервною копією усієї інформації, що міститься на сервері, то зазначена база персональних даних матиме два місцезнаходження.

Не до кінця врегульовано й підстави виникнення права на використання персональних даних. Спеціальна стаття закону виділяє лише дві підстави використання персональних даних: згода суб’єкта на обробку персональних даних та дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень. Разом з цим, окремі статтізакону містять посилання й на інші підстави обробки персональних даних такі, як то договір з розпорядником бази персональних даних, дозвіл на обробку персональних даних лише в інтересах національної безпеки, економічного добробуту та прав людини. Окрім зазначеного, Державна служба з захисту персональних даних також визначає підставою обробки – вільне волевиявлення суб’єкта персональних даних, надане до01.01.2011 року, без конкретизації його форми, як то усна чи письмова. Звертаючись до питання щодо форми згоди, як підстави обробки персональних даних, слід наголосити на відсутності законодавчого визначення поняття «документованої форми» окрім, як письмової. Певну ясність з цього приводу внесла Державна служба з питань захисту персональних даних при розробці Типового порядку обробки даних у базах. Так, на думку уповноваженого державного органу, документованою можна вважати згоду надану у електронному документі з засвідченням електронним цифровим підписом суб’єкта персональних даних, а також відмітка на електронному документі, що обробляється в інформаційні системі на основі документованих програмно-технічних рішень. Фактично, такою відміткою може вважатися «клік мишки» на позначці «надіслати» при відправці листів засобами електронного зв’язку через мережу Інтернет. При цьому, практика показує й інші приклади можливої документованої згоди на обробку персональних даних, як то аудіо чи відеозаписи.

З метою реалізації здійснення державної реєстрації баз персональних даних та уникнення встановленої відповідальності за ухилення від такої реєстрації на володільця бази законом покладено обов’язок здійснити ряд дій.

В першу чергу, кожний володілець бази персональних даних повинен розробити положення чи внести зміни до установчих чи інших документів, які регулюють його діяльність, передбачивши мету обробки персональних даних, склад цих даних та процедури їх обробки, якщо інше не визначено законом. Враховуючи зазначене та з метою уникнення внесення змін до установчих документів, доцільно розробити внутрішнє положення щодо обробки персональних даних у кожній конкретній базі. При цьому, крім вищезазначеної інформації, в положенні варто передбачити відомості щодо назви та місцезнаходження бази персональних даних, джерел її формування, форми та строкуобробки персональних даних у базі. Зазначення таких даних в спеціальному положенні щодо кожної конкретної бази персональних даних дозволить не тільки виконати вимоги законодавства, але й з легкістю заповнити заяву про державну реєстрацію такої бази.

По-друге, з метою забезпечення належного захисту персональних даних, що містяться в базах, закон зобов’язує володільця бази (орган державної влади та орган місцевого самоврядування, організацію, установу і підприємство усіх форм власності) створити структурний підрозділ або призначити відповідальну особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону. Для полегшення роботи такого підрозділу чи відповідальної особи доцільно розробити кодекс поведінки у сфері захисту персональних даних, який би передбачив усі необхідні та конкретизовані положення щодо обробки персональних даних, визначив типові схеми дії при кожному з видів обробки та реагуванні на запитипро доступ до персональних даних.

Зважаючи на вищезазначене, прийняття нового законодавства у сфері захисту персональних даних є, безумовно, позитивним кроком України на шляху приведення у відповідність свого законодавства зі світовими усталеними стандартами. Однак, на жаль, на сьогоднішній день існують складнощі в реалізації закону, адже закон є недосконалим, містить значну кількістьрозбіжностей та неврегульованостей в процедурі обробки персональних даних в базах. У зв’язку з цим, для ефективної реалізації вимог закону та забезпечення належного захисту персональних даних існує об'єктивна необхідність внесення змін до закону шляхом уточнення положень щодо обробки і захисту персональних даних та видання відповідних офіційних роз’яснень.