№5 (41) 2013 / Кадрове діловодство

Зміни у порядку збирання і обробки персональних даних

  • 241
    • 30
    • 143
      • 43
      • 46
      • 1
      • 23
      • 20
    • 45
      • 1
      • 1
      • 25
      • 14
    • 6
      • 2
      • 3
      • 0
      • 1
    • 3
    • 3
    • 4
    • 7

Наприкінці минулого року набув чинності Закон України «Про внесення змін до Закону України «Про захист персональних даних» від 20 листопада 2012 р. № 5491-VI (далі ― Закон № 5491), який суттєво вплинув на порядок збирання й обробки персональних даних. Наразі з’ясуємо, що ж викликало необхідність у  відповідних змінах, якими, власне, вони є, а також зробимо порівняльний аналіз найсуттєвіших положень минулої та нової редакції Закону «Про захист персональних даних».

Підстави «виправлення» правових норм

Виходячи зі змісту ст. 1 Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-VI (далі ― Закон № 2297), в редакції, яка існувала  до набрання чинності Законом № 5491, тобто до 20 грудня 2012 року, сферою дії Закону № 2297 було регулювання відносин, пов’язаних із захистом персональних даних під час їх обробки саме в процесі створення й опрацювання персональних даних у базах персональних даних володільцями та/або розпорядниками таких баз (окрім винятків, передбачених тією ж правовою нормою).

Але, проаналізувавши суть та ідею Закону № 2297, що також вбачаються із назви «Про захист персональних даних», основною метою його запровадження мало б бути саме забезпечення захисту інформації про фізичних осіб, яка стала відома третім особам під час реалізації основоположних прав та свобод людини і громадянина.

Отже, метою прийняття норм Закону № 2297 має бути не регулювання процесу створення баз персональних даних і зобов’язання володільців та/або розпорядників персональних даних реєструвати відповідні бази у Державній службі України з питань захисту персональних даних, а саме захист відомостей (їх сукупності) про фізичних осіб, які надаються (чи стають відомі) третім особам, при чому об’єктом захисту мають бути персональні дані як окремий вид інформації, не пов’язаний із процесом створення і обробки персональних даних у базах персональних даних (як було визначено у Законі № 2297 до внесення до нього останніх змін).

Законодавець нещодавно переглянув свою позицію щодо суті та мети  Закону № 2297 та сфери його дії й 20 листопада 2012 р.  прийняв Закон № 5491, який і змінив та доповнив Закон № 2297. На підтвердження вищевикладеного, зазначимо, що ч. 1 ст. 1 Закону № 2297 наразі викладено у наступній редакції: «Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Найсуттєвіші зміни

Далі детальніше розглянемо основні зміни, які були внесені до Закону № 2297 у відповідності до відкоригованої мети та суті поширення дії норм на регульовані ним правовідносини.

Для виконання основної мети внесених змін із Закону № 2297 майже з усіх статей було виключено поняття «база даних». Внесеними змінами законодавець також приділив увагу електронній формі збирання і обробки відомостей (сукупності відомостей) про фізичних осіб, адже на сьогоднішній день письмова (документарна) форма документів стрімко витісняється електронною формою, що створюється та передається засобами Інтернет.  Тим більше, що електронний документообіг та персональні дані, викладені у електронній формі, можливо потребують навіть більшого правового регулювання та захисту, ніж відомості, викладені на паперових носіях інформації.

З метою закріплення порядку збирання і обробки персональних даних, що здійснюються в електронному вигляді, у ч. 2 ст. 1 Закону № 2297 встановлено, що він поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів. Також визначено порядок збирання і обробки персональних даних із застосуванням неавтоматизованих засобів, а саме у формі обробки персональних даних, що містяться у картотеці чи призначені до внесення до картотеки. При цьому ст. 2 Закону № 2297 доповнено терміном «картотека», який визначено як будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами (тобто картотекою, наприклад, може бути реєстр відомостей (їх сукупності) про фізичних осіб, взятих на облік у районних поліклініках).

Підтвердженням того, що внесеними змінами приділяється увага захисту відомостей про фізичних осіб, які надаються у мережі Інтернет, є нова редакція абз. 5 ст. 2 Закону № 2297, де вказано, що згода фізичної особи на обробку її персональних даних може бути надана окрім письмової форми також і у формі, що дає змогу зробити висновок про її надання (наприклад, шляхом проставляння відмітки про надання згоди у полі інформаційного вікна сайту, на якому здійснюється збирання та обробка персональних даних), та абз. 7 ст. 2 , в якому передбачено, що обробка персональних даних може здійснюватись з використанням інформаційних (автоматизованих) систем, тобто шляхом авторизації на сайтах, де фізичні особи надають відомості про себе під час реєстрації.

Нормами Закону № 2297 приділяється особлива увага меті збирання і обробки персональних даних та їх оновленні, що зобов’язує володільців та/або розпорядників персональних даних доводити (на вимогу контролюючих органів, за запитом фізичних осіб, в процесі судового розгляду справ щодо захисту персональних даних) необхідність надання фізичними особами тих чи інших відомостей (їх сукупності) під час реалізації прав і свобод фізичних осіб у тій чи іншій сфері правовідносин відповідно до мети третьої особи, яка такі персональні дані збирає та/або обробляє.

Свідченням необхідності доведення мети обробки відомостей про фізичних осіб володільцями та/або розпорядниками персональних даних, є викладення ч. 2 ст. 6 Закону № 2297 у новій редакції, а саме:  «Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки» (до внесення змін редакція відповідної статті виглядала наступним чином: «Персональні дані мають бути точними, достовірними, у разі необхідності — оновлюватися», тобто володілець та/або розпорядник персональних даних не був зобов’язаний доводити необхідність оновлення персональних даних саме метою їх обробки).

Для роботодавців будь-якої форми власності й галузевої належності є те, що на законодавчому рівні закріплено звільнення володільців персональних даних від обов’язку реєстрації баз персональних даних, якщо ведення баз персональних даних пов’язане із забезпеченням і реалізацією трудових відносин та якщо ведення баз персональних даних здійснюється щодо членів громадських, релігійних організацій, професійних спілок, політичних партій (абзаци 2 – 4 ч. 2 ст. 9 Закону № 2297).

Вищевказані доповнення є дуже суттєвими і змістовними, адже кожен роботодавець, який здійснює відбір кандидатів на вакантні посади, приймає на посади працівників та здійснює збирання й обробку їх персональних даних і до набрання чинності останніми змінами до Закону № 2297 був зобов’язаний реєструвати бази персональних даних працівників  (хоча й зрозуміло, що ані здійснення відбору кандидатів на вакантні посади, ані, тим більше, оформлення працівників на роботу неможливе без отримання відомостей про них). Таким чином, роботодавець був змушений виконувати обов’язок щодо реєстрації баз персональних даних працівників, що створювало додаткові ускладнення у процесі ведення господарської діяльності та потребувало зайвих витрат часу.

Отже, на сьогоднішній день роботодавці не зобов’язані реєструвати бази персональних даних працівників, наразі їх зобов’язанням є лише забезпечення захисту персональних даних працівників (кандидатів на вакантні посади) у відповідності до вимог Закону № 2297.

Зміни торкнулись і підстав для обробки персональних даних ― зокрема, з п. 1 ч. 1 ст. 11 Закону № 2297  виключено  положення щодо права суб’єкта персональних даних при наданні згоди на обробку персональних даних (як однієї з підстав) вносити застереження стосовно обмеження права на оброку своїх персональних даних. Це означає, що фізична особа, яка отримала всю необхідну інформацію щодо обсягу відомостей (їх сукупності) та мети збирання і обробки персональних даних, надаючи свою згоду погоджується з відповідним обсягом і метою надання таких відомостей без будь-яких застережень чи обмежень з його боку.

Відповідно до нової редакції п. 3 ч. 1 ст. 11 Закону № 2297 додатковою підставою для обробки персональних даних є укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних. Ця  правова норма забезпечує право на обробку і захист персональних даних під час виникнення правовідносин, пов’язаних з укладенням фізичною особою будь-яких правочинів (у т. ч. трудового договору) або укладення правочинів на користь такої фізичної особи (наприклад, заповіт або довіреність). Даний пункт безпосередньо пов’язаний із збиранням, обробкою та відповідним захистом відомостей (їх сукупності) про суб’єкта персональних даних другою стороною правочину, яка укладає відповідний правочин із суб’єктом персональних даних, а також нотаріусами, які під час вчинення нотаріальних дій здійснюють збирання та обробку персональних даних фізичних осіб, які до них звертаються.

Найбільш неоднозначною підставою для обробки персональних даних, яку введено у п. 4 ч. 1. ст. 11 Закону № 2297 є захист життєво важливих інтересів суб’єкта персональних даних, адже встановлення відповідності збирання та обробки персональних даних підставі, визначеній у даному пункті, неможливе безпосередньо під час здійснення збирання та обробки відомостей про фізичних осіб. Вищевказана підстава для обробки персональних даних у більшості випадків потребуватиме доведення (у разі порушення володільцем та/або розпорядником персональних даних вимог Закону № 2297 щодо захисту відомостей про фізичних осіб) вказаних у даному пункті обставин у судовому порядку.

Умови збирання персональних даних також зазнали деяких змін ― зокрема, відповідно до ч. 2 ст. 12 Закону № 2297, викладеній у новій редакції, суб’єкт персональних даних, який надав згоду на обробку відомостей (їх сукупності ) про себе, повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, про свої права, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані у момент збору таких персональних даних. Якщо ж обробка відомостей про суб’єкта персональних даних здійснюється з підстав, передбачених пунктами 2 – 5 ст. 11 Закону № 2297, такий суб’єкт персональних даних повідомляється про вищевказані умови збирання і обробки відомостей (сукупності відомостей) про нього протягом десяти робочих днів з дня збору таких відомостей.

Відповідно до п. 2 Розділу II «Прикінцеві положення» Закону № 5491 Кабінет Міністрів України мав забезпечити приведення своїх нормативно-правових актів у відповідність із цим Законом, у зв’язку з чим до Положення про Державний реєстр баз персональних даних та порядок його ведення, затвердженого постановою Кабінету Міністрів України від 25 травня 2011 р. № 616, було внесено відповідні зміни, які набрали чинності 6 лютого 2013 року.

Підсумовуючи вищевикладене, слід зазначити, що наразі сферою дії Закону № 2297 є регулювання правовідносин, пов’язаних із захистом і обробкою персональних даних, та захист прав і охоронюваних законом інтересів фізичних осіб при наданні персональних даних третім особам.

Зміни до Закону № 2297 насамперед  викликані необхідністю надання фізичним особам правових підстав для звернення до суду при порушенні їх прав володільцями та/або розпорядниками персональних даних, яким були надані відомості (сукупність відомостей) про фізичних осіб.

Питання, що залишається відкритим — це практичне застосування нових норм та їх дієвість в процесі захисту персональних даних фізичних осіб, права яких порушені й надати відповідь на нього зможе з часом лише судова практика.

                                                                                                                   Сергій ЛЄДЯЄВ