19 січня 2012 р.

Захист персональних даних

Визначення інформації про фізичну особу (персональних даних) наведено у статті 11 Закону України «Про інформацію» № 2938 від 13.01.2011 р.
До конфіденційної інформації, збирання, зберігання, використання та поширення (обробка) якої без згоди фізичної особи заборонено, згідно з указаною статтею належить інформація про національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, адресу, дату і місце народження особи. В роз’ясненнях Державної служби з питань захисту персональних даних (ДСПЗПД) зазначається, що вичерпний перелік такої інформації встановити неможливо. Але гарантії захисту окремих персональних даних, очевидно, конкретизуються саме законами України.
Стаття 7 Закону України «Про захист персональних даних» № 2297 від 01.06.2010 р. забороняє обробку персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя.
Проте, указана стаття містить істотні винятки щодо обов’язковості згоди особи на таку обробку.
Зокрема, згода не вимагається від осіб, якщо інформація необхідна для здійснення трудових правовідносин відповідно до закону. Наприклад, стаття 24 Кодексу законів про працю дозволяє роботодавцю вимагати від працівника документи про освіту, стан здоров’я та інші персональні дані, передбачені законодавством. Натомість стаття 25 КЗпП забороняє вимагати відомості про партійну та національну приналежність, походження, реєстрацію місця проживання чи перебування, які також належать до персональних даних.
Не обов’язкова згода особи, якщо обробка її персональних даних необхідна для обґрунтування, задоволення або захисту правової вимоги (наприклад, при наданні правової допомоги).
Крім того, якщо медичний працівник або інший працівник закладу охорони здоров’я, на якого покладено захист персональних даних у випадку забезпечення лікування або піклування, обробляють указані вище персональні дані, згода особи не є обов’язковою.
Нарешті, релігійні та громадські організації (в т.ч. політичні партії і професійні спілки) мають право на обробку персональних даних своїх членів або інших учасників, за умови лише згоди особи на передання таких даних третім особам.
Діють також загальні правила щодо необов’язковості повторної згоди фізичної особи на обробку указаних персональних даних, якщо:
1) правовідносини виникли до 1 січня 2011 року (дня набрання чинності Законом про захист персональних даних), і мета обробки персональних даних не змінилася;
2) фізична особа добровільно оприлюднила власні персональні дані (наприклад, на особистому сайті чи в соціальних мережах);
3) розкриття персональних даних вимагається законом (наприклад, для державних службовців першої категорії, вироків суду тощо).

У випадку необхідності отримання згоди, роботодавцю як власнику бази персональних даних доцільно затвердити локальний акт (наказ, положення, правила, тощо), який визначатиме бази персональних даних та їх кількість; зміст та обсяг персональних даних та мету їх обробки; особу, відповідальну за захист персональних даних. Згоду можна отримати шляхом ознайомлення працівників з цим локальним актом під розписку («згода надана на підставі статуту або локальних актів власника бази персональних даних»).
Щодо персональних даних інших осіб, крім видів інформації про особу, прямо визначених у наведених вище статтях законів,  обов’язковість надання згоди на їх обробку залишає надто багато запитань.
Так, належність відомостей про службові засоби комунікації (номери телефонів, факсів, поштові та електронні адреси) до персональних даних фізичних осіб або баз таких даних, на думку експерта, не допускає однозначного тлумачення. Це стосується також службових візитівок.
Задокументоване розкриття відомостей про особисті засоби комунікації (наприклад, у відомостях про фізичних осіб-учасників семінарів чи інших заходів громадських організацій, які вони особисто підписують, або в особистих візитівках) також підпадає радше до добровільного оприлюднення персональних даних або згоди на їх обробку конкретним власником бази даних.
Ці власники можуть додатково підстрахуватися шляхом письмового попередження на відомостях про учасників заходу стосовно того, що надання будь-яких даних, особисто внесених учасником, означає і згоду на їх обробку організатором заходу або безпосередньо указаними в попередженні особами для певних цілей («згода на паперовому носії»).
Аналогічну функцію може виконувати попередження, розміщене на електронних носіях (сайтах, форумах, розсилках тощо).
Інша річ, що необхідна задокументована (як правило, письмова) згода фізичної особи на передачу указаних даних третім особам, або якщо цю особу не попередили про зміни мети обробки її персональних даних протягом десяти робочих днів – саме за це передбачено адміністративну та навіть кримінальну відповідальність з січня 2012 року!
З огляду на вимоги законодавства України та роз’яснення ДСПЗПД, порядок притягнення до указаної відповідальності потребуватиме наступних дій:
1) подання фізичною особою письмової скарги та документів, що підтверджують порушення її прав у сфері захисту персональних даних;
2) проведення ДСПЗПД перевірки діяльності власника або визначеного ним розпорядника баз персональних даних;
3) видання припису про усунення порушень, якщо такі буде виявлено;
4) складання ДСПЗПД адміністративного протоколу у випадку невиконання припису в указаний строк;
5) проведення судового засідання щодо сплати порушником адміністративного штрафу.

Важливо, що позапланові перевірки можуть проводитися лише на підставі скарг фізичних осіб. Порядок перевірок ще не затверджено Міністерством юстиції, і таке затвердження має відбутися після громадського обговорення проекту відповідного порядку.
Ухиленням від реєстрації баз персональних даних їх реєстрація після 1 січня 2012 року, згідно з роз’ясненнями ДСПЗПД та Міністерства юстиції, очевидно, вважатиметься невиконання відповідних приписів. Реєстрацію баз даних до початку планової перевірки (відомості про які, як правило, завчасно оприлюднюються на сайтах уповноважених державних органів) проблематично буде визнати в суді ухиленням від реєстрації.



Олександр Вінніков

0 коммент.:

Опублікувати коментар