Персоны особого внимания — PRAVO.UA
прапор_України
2024

Генеральний партнер 2024 року

Видавництво ЮРИДИЧНА ПРАКТИКА
Головна » Выпуск №1 (732) » Персоны особого внимания

Персоны особого внимания

Защита персональных данных на Украине сегодня пребывает на начальной стадии своего развития. Хотя принятый еще в 2010 году Закон Украины «О защите персональных данных» (Закон о ПД) вступил в силу с 1 января 2011 года, его правоприменительная практика пока находится в процессе становления. Несмотря на это, уже с 1 января 2012 года вступает в силу Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных».

Основывая анализ Закона о ПД на предусмотренной в нем терминологии, которая исследуется через призму иных актов законодательства и международных документов в сфере персональных данных, можно выработать необходимые ключевые аспекты для формирования своего дальнейшего поведения при реализации требований Закона о ПД.

Одним из ключевых вопросов для понимания механизма, заложенного в Законе о ПД, является вопрос определения персональных данных (ПД), которые могут быть получены от физического лица и входить в базу персональных данных (БПД), на обработку которых требуется наличие согласия физического лица или разрешения, проистекающего из закона.

Идентификация лица

Используя терминологию Закона о ПД (статья 2), персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано. Это корреспондируется с положениями части 1 статьи 11 Закона Украины «Об информации», статьи 2 Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных (г. Страсбург, 28 января 1981 года) и статьи 2 «а» Директивы 95/46 Европейского Парламента и Совета о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных» от 24 октября 1995 года (Директива 95.).

Из указанного определения понятия ПД следует вывод о том, что сведения (их совокупность) о физическом лице должны быть такими, которые давали бы возможность идентифицировать соответствующее лицо. Идентификация лица является средством его установления, которое помогает выделить это лицо среди других. Директива 95 указывает, что «лицом», которое можно установить, является такое, которое может быть установлено прямо или косвенно, в частности, с помощью идентификационного кода или одного и более факторов, присущих физическим, физиологическим, умственным, экономическим, культурным или социальным аспектам его личности (статья 2 «а»).

Закон о ПД не предусматривает порядка идентификации физического лица. Однако такой вопрос прямо урегулирован в иной сфере отношений, основанной на Законе Украины «О предотвращении и противодействии легализации доходов, полученных преступным путем, или финансированию терроризма» (Закон о финмониторинге), в которой также происходит работа с ПД. В этом законодательном акте идентификация лица включает в себя, в частности, определение состава сведений о лице, которые оно обязано предоставить, случаи проведения идентификации и др. (статья 9 Закона о финмониторинге).

Следует учитывать, что Закон о финмониторинге может применяться в случае, если владелец БПД является субъектом первичного финансового мониторинга (статья 5 Закона о финмониторинге), правовым основанием для обработки которым ПД о физическом лице будет являться Закон о финмониторинге (пункт 2 части 1 статьи 11 Закона о ПД). Таким образом, в данном случае владелец БПД не обязан получать письменное согласие физического лица на обработку данных о нем (часть 56 статьи 6, пункт 1 час­ти 1 статьи 11, часть 2 статьи 14 Закона о ПД), поскольку его право обрабатывать ПД в разрезе Закона о ПД проистекает из его обязанности, установленной Законом о финмониторинге.

При этом указанное право будет действовать исключительно при обработке владельцем БПД сведений о физическом лице для целей осуществления им функций субъекта первичного финансового мониторинга в разрезе Закона о финмониторинге. Если же собранные на таком правовом основании владельцем БПД данные будут обрабатываться в иной сфере (например, передаваться третьим лицам не в целях Закона о финмониторинге), то ему потребуется на это получение от такого лица письменное согласие. Разграничение вопросов обработки ПД между Законом о ПД и Законом о финмониторинге будет касаться вопросов, связанных с предоставлением клиентам услуг банками, страховыми компаниями, биржами, юридическими фирмами, иными субъектами, предусмотренными в статье 5 Закона о финмониторинге.

Выбор закона

Работая с персональными данными, каждый субъект должен понимать, что Закон о ПД регулирует ­вопросы обработки таких данных только в БПД. Поэтому необходимо для себя четко определить, требований какого из законов следует придерживаться в случае осуществления соответствующих действий с ПД.

Уголовная ответственность, установленная статьей 182 Уголовного кодекса Украины в соответствии с Законом Украины от 2 июня 2011 года № 3554-VI «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о ­защите ­персональных ­данных», может быть применена за незаконную обработку ПД как в БПД, так и вне таких баз. А это существенно расширяет перечень лиц, которые могут быть подданы уголовному преследованию.

Следует обратить внимание и на вопрос относительно правильности установления состава, содержания и объема ПД, которые могут быть включены в БПД.

Так, состав персональных данных определяется непосредственно каждым владельцем БПД, что вытекает из определения понятия «владелец базы персональных данных» в статье 2 Закона о ПД. Однако надо помнить, что в каждой сфере правоотношений владельца БПД с физическим лицом состав персональных данных должен определяться владельцем с учетом требований закона. Например, состав ПД в сфере трудовых правоотношений при трудоустройстве определяется перечнем документов и сведений, указанных в законодательстве (в частности, статьях 24 и 25 Кодекса законов о труде Украины, пункте 2 постановления Кабинета Министров Украины от 27 апреля 1993 года № 301 «О трудовых книжках работников» и т.д.).

К сожалению, Закон о ПД не содержит положений относительно того, какого содержания должны быть персональные данные. Однако в абзаце 1 части 3 статьи 6 Закона о ПД указано, что состав и содержание ПД должны соответствовать цели их обработки и быть нечрезмерными. Это свидетельствует о том, что определяемый владельцем БПД состав персональных данных не может превышать границ установленной цели их обработки. Поскольку пределы чрезмерности состава ПД законом не установлены, определение владельцем БПД этого параметра будет носить субъективный характер.

Объем данных зависит от правил «игры»

Объем персональных данных, которые могут быть включены владельцем в его БПД, устанавливается условиями согласия физического лица либо законом (абзац 2 части 3 статьи 6 Закона о ПД). Поэтому, если законом не предусмотрено иное, владелец БПД может получить от физического лица персональные данные в том объеме, относительно которого они определятся в разрезе установленного владельцем состава ПД.

Определение физическим лицом объема своих ПД в рамках установленного владельцем состава ПД может подтверждаться подписанными им: а) первоисточниками сведений о себе (анкетами, личными листками, автобиографиями, договорами, иными документами и материалами, переданными владельцу БПД (часть 4 статьи 6 Закона о ПД); б) письменным согласием на обработку владельцем БПД сведений о нем (может быть оформлено в виде отдельного документа или в виде условия в подписываемом лицом документе — заявлении о принятии на работу, договоре на получение услуг владельца и т.д.). Однако мы не рекомендуем владельцам БПД получать от физических лиц указанное письменное согласие, в котором будет выписан четкий перечень ПД. Считаем целесо­образным ограничиться в таком согласии общими фразами о том, что физическое лицо предоставляет право обрабатывать персональные данные о нем, полученные владельцем от него и те, которые будут получены в будущем.

Применяя указанное, например, в разрезе Закона о финмониторинге, в котором четко установлен состав ПД, владелец БПД как субъект первичного финансового мониторинга обязан получить от своего клиента информацию, которая требуется по закону. Однако ее объем в установленном законом составе сведений будет зависеть от правил «игры», определяемых владельцем БПД в своих внутренних положениях, государственным регулятором рынка услуг, в сфере которого работает соответствующий владелец, государственным органом в сфере финмониторинга. И если физическое лицо будет заинтересовано в получении услуги владельца БПД, то направленность его поведения будет зависеть от его желания получить соответствующую услугу.

ЛУКАШ Тарас — партнер ЮФ «Салком», г. Киев,

ДРОЗДОВА Наталия — к.ю.н., юрист ЮФ «Салком», г. Киев


Мнения

Закон о «справедливости» молчит, но требует согласия

Алексей ГРИШКО,
адвокат АФ «Грамацкий и Партнеры»

Директива ЕС 1995 года (по образу которой был принят Закон), указывает: «Для того чтобы обработка данных была справедливой, субъект данных должен узнать о существовании факта обработки и, если данные получены от него, должен получить точную и полную информацию с учетом обстоятельств сбора данных». Закон же о «справедливости» умалчивает, но согласия категорически требует.

К сожалению, Закон не содержит переходных положений о порядке и особенностях использования данных, полученных до вступления его в силу. На наш взгляд, полученная до 2011 года информация сама по себе не подпадает под действие Закона, но последующая (пос­ле вступления в силу Закона) обработка этих данных требует согласия субъекта ПД. Что касается ПД контрагентов (физических лиц, в том числе предпринимателей), то их обработка в информационной (автоматизированной) системе и/или в картотеках персональных данных, начиная с 1 января 2011 года, формально требует документированного согласия каждого контрагента. Иначе невозможно соблюсти требования о сохранении цели, объема использования и порядке передачи ПД третьим лицам. Да и включить эти данные в базу без согласия субъекта нельзя. Другой вопрос, что отследить обработку таких данных (по контрагентам, с которыми отношения прекращены до 2011 года) крайне непросто.

Обработка должна быть правильной

Владислав ПОДОЛЯК,
адвокат ЮФ «Василь Кисиль и Партнеры»

Некоторые компании в силу специфики своей деятельности (например, перевозчики, курьерские службы) вынуждены обрабатывать ПД не только своих клиентов, но и других лиц (грузополучатели, адресаты и т.д., как минимум их ФИО и почтовый адрес).

При этом первое, что надо помнить: Закон распространяется на обработку ПД в рамках определенной БПД, а не по отдельности. И тут есть несколько вариантов. Первый случай: компания-заказчик постоянно работает с некой курьерской службой, которая регулярно отправляет корреспонденцию контрагентам компании-заказчика. Адресная база, как правило, заранее известна, она была составлена компанией-заказчиком. В данном случае именно компания-заказчик будет владельцем «БПД адресатов», а курьерская служба может считаться распорядителем этой БПД. Тогда все формальности по получению согласия на обработку ПД берет на себя компания-заказчик как владелец БПД, а не курьерская служба.

Другой пример: перевозчик обрабатывает данные о разнообразных получателях и отправителях груза. В таком случае возможно использование собственной базы данных, например, в сочетании с логистической программой, где некоторое время обрабатываются вышеуказанные данные. Здесь можно говорить об обязанности перевозчика получить согласие на обработку ПД. Тем не менее получить такое согласие не всегда возможно/целесообразно с экономической или организационной точки зрения. В таких случаях компаниям стоит задуматься об иных основаниях для обработки данных — например, обработка на основании закона.

Учет должен быть правильным

Ольга БЕЛЯКОВА,
старший юрист CMS Cameron McKenna

Закон Украины «О защите персональных данных» не дает непосредственного ответа на вопрос о необходимости страховщиков, перевозчиков, консультантов, оте­лей, туроператоров после передачи им ПД туриста получать отдельное согласие от субъекта на обработку его ПД. Но из анализа положений этого Закона можно сделать вывод о том, что для дальнейшего распространения ПД достаточно получить согласие первоначальным владельцем БПД.

Главное — сделать это правильно, с учетом следующих моментов: 1) согласие должно быть составлено с учетом всех существенных условий, предусмот­ренных Законом: должны четко отображаться объем ПД, которые субъект разрешает обрабатывать и передавать, цель и срок обработки, а также условия последующей передачи ПД (должен быть четко и однозначно определен круг лиц, которым данные могут передаваться); 2) лица, которым ПД передаются по цепочке, обязаны обеспечить надлежащий уровень защиты переданных им данных; 3) субъекта ПД необходимо уведомить о факте передачи его данных соответствующим лицам в каждом конкретном случае (если этого требуют условия его согласия).

Интересы превыше согласия

Тарас КИСЛЫЙ,
юрист АБ «Егоров, Пугинский, Афанасьев и Партнеры»

Исходя из положений действующего законодательства, можно прийти к выводу, что любая обработка ПД возможна без согласия субъекта ПД, если это предусмотрено законом, и только если такая обработка осуществляется в интересах нацио­нальной безопасности, экономического благосостояния и прав человека.

Без предварительного согласия субъекта также допускается любой вид обработки ПД, если это необходимо для защиты его жизненно важных интересов. В таком случае разрешение субъекта необходимо получить, как только это станет возможным.

Такой вид обработки ПД, как их изменение, также возможен без согласия субъекта, если подобные изменения осуществляются на основании решения суда.

Согласие на обработку ПД также не требуется, если такая обработка осуществляется физическим лицом в личных непрофессиональных/бытовых целях, журналистом в связи с профессиональными/служебными обязанностями, профессио­нальным творческим работником для творческой деятельности.

Что касается ПД, с которыми велась работа до вступления в силу Закона «О защите персональных данных» без соответствующего согласия, по нашему мнению, для их дальнейшей обработки согласие субъектов ПД необходимо в пределах, предусмотренных упомянутым Законом.

Разумный подход

Артем НАУМОВ,
юрист ЮФ ILF

В случае если происходит сбор ПД через Интернет, следует предусмотреть форму на сайте, которая позволит лицу дать согласие на обработку его ПД и при этом обеспечит невозможность заполнения этой формы иным способом, чтобы контролирующий орган согласился с тем, что согласие получено именно от субъекта персональных данных.

Если же говорить о защите ПД, которые в силу закона общедоступны, то наиболее логичным видится опыт Швейцарии, где ПД делятся на данные общего характера и уязвимые данные (данные о здоровье, политической и религиозной принадлежности, данные о банковских счетах и т.д.). При этом только вторая категория данных требует особой защиты и охраняется законодательством. Данные же общего характера, определенные как общедоступные, вообще не требуют защиты и находятся в открытом доступе. Это разумная позиция швейцарского законодателя, и было бы неплохо реализовать подобный подход на Украине.

Идентификация возможна

Евгений БЛОК,
юрист МЮФ Integrites

Являются ли определенные данные о физическом лице персональными, зависит во многом от того, идентифицировано ли такое лицо или может ли оно быть конкретно идентифицировано. Законом прямо не предусмотрены никакие исключения в отношении физических лиц, действующих от имени юридических лиц. Кроме того, законом не установлено, кем физическое лицо идентифицировано или может быть идентифицировано — непосредственно владельцем базы данных или любым субъектом, включая правоохранительные органы, которые, безусловно, могут иметь достаточно широкие возможности для идентификации кого-либо.

Например, в ЕС даже IP-адрес может рассматриваться в качестве ПД, несмотря на тот факт, что по IP-адресу можно определить, как правило, только местоположение компьютера, а не идентифицировать конкретное лицо. Вопрос относительно того, есть ли данные должностных лиц юридических лиц — контрагентов ПД, является открытым. Тем не менее, нынешняя редакция закона оставляет достаточно места для толкования, которое не исключает отнесения таких данных к категории персональных.

Беспорядочные данные

Андрей КРАВЧЕНКО,
юрист ЮФ «Центр правового консалтинга»

Анализируя определение ПД, установленное статьей 2 Закона Украины «О за­щите персональных данных», можно сказать, что БПД — это не просто наличие информации, а совокупность упорядоченной (систематизированной) информации в электронном виде или в виде картотеки.

Таким образом, совокупность информации о физических лицах можно рассматривать как БПД только при наличии следующих признаков:

— информация о физических лицах должна быть упорядочена;

— информация о физических лицах должна содержаться в электронной форме или в форме картотек.

Исходя из этого, можно сделать вывод, что неупорядоченные отдельные документы, например, договоры, которые содержат информацию о физических лицах, не являются БПД и не подлежат государственной регистрации. В таком случае ГСЗПД не должна рассматривать отдельно взятые неупорядоченные документы, содержащие информацию о физических лицах, как БПД.

Размытые требования

Евгений ПЕТРЕНКО,
юрист Международного правового центра EUCON

Закон о ПД указывает, что заявление о регистрации БПД должно содержать информацию о цели обработки ПД с указанием категорий их обработки. Большую неясность вызывает понятие «категория обработки», которое при написании статьи 2 Закона о ПД «Определения терминов» почему-то было упущено законодателем.

Позиция Государственной службы по вопросам защиты персональных данных сводится к тому, что категория обработки ПД определяется владельцем БПД в зависимости от требований к их обработке, установленных статьями 6 и 7 Закона о ПД, которые владелец БПД обязан соблюдать при обработке таких данных.

Поэтому, исходя из того, что Закон о ПД каких-либо других ограничений не содержит, в случае если перечень категорий обработки данных в разделе III заявления не будет точным и исчерпывающим, но будет соответствовать требованиям к обработке ПД, это не может являться нарушением.

Общедоступность под вопросом

Марианна БЭК,
юрист АО «Волков и Партнеры»

Закон о ПД закрепил принцип обязательной государственной регистрации БПД. Взи­рая на широкое определение понятия ПД, содержащееся в Законе, данные ФЛП однозначно относятся к ПД. В связи с этим ГП «Информационно-ресурсный центр» (ИРЦ) как владелец БПД, обрабатывая регистрационные ПД ФЛП, должно придерживаться всех предписаний Закона относительно гарантий защиты данных субъектов ПД. В частности, ИРЦ, проводя регистрацию с 1 января 2011 года, обязан получать согласие ФЛП на обработку регистрационных ПД, где указывается состав данных, процедура и цель их обработки. Таким образом, размещение ПД ФЛП, предоставленных в целях регистрации и доступных на сайте www.irc.gov.ua, ни в коем случае не является основанием для изменения их правового режима. Закон о ПД четко определяет, что ПД в режиме доступа, кроме обезличенных ПД, являются информацией с ограниченным доступом. Наличие данных ФЛП на специализированном сайте ИРЦ не ограничивает правовой режим их защиты, поскольку ПД были предоставлены для обработки конкретному субъекту в конкретных целях. Общедоступность этих данных нельзя отождествлять со всеобщим разрешением на обработку ПД или переквалификацией их в открытую информацию.

Поділитися

Підписуйтесь на «Юридичну практику» в Facebook, Telegram, Linkedin та YouTube.

Баннер_на_сайт_тип_1
YPpicnic600x900
баннер_600_90px_2
2024
tg-10
Legal High School

Зміст

VOX POPULI

Юридический форум

Протестные настроения

Актуальный документ

Документы и аналитика

Прекращение производства

Акцент

Из богатого родовида

Государство и юристы

Как закалялись кадры

ТЭК держать!

Государство и юристы

Новости законотворчества

Мораторий на отчуждение с/х земель продлен

Фиксации процесса без разрешения суда не будет?

Полномочия БТИ продлены до 1 января 2013 года

Президент Украины подписал Закон о Госбюджете-2012

Деловая практика

KPI — ключи для эффективности

Документы и аналитика

Авторское право на гастролях

Арендная плаха

Договор дороже курса

От долга за регистрацией не укрыться

Адвокатура идет в расход

Зарубежная практика

Частное исполнение по-голландски

Книжная полка

Автотранспортные преступления

Неделя права

Асоциальное толкование

Лекарство от недобросовестности

Неделя права

Новости из-за рубежа

Главбуха Верховного Суда Бурятии осудили за хищения

Nokia урегулировала спор с Seiko Epson

В Италии на 900 тыс. евро оштрафовали Apple

Неделя права

Пленумы обобщили практику

Передали на полгода

Новости из зала суда

Судебная практика

Осужден руководитель одного из госпредприятий Министерства обороны Украины

Перевод выступлений народных депутатов Украины должен обеспечивать Аппарат парламента

Суд не может перейти к рассмотрению дела по сути без третьих лиц

Новости юридических фирм

Частная практика

ЮФ «Авеллум Партнерс» консультирует «Кернел» по вопросам приобретения «Енселко»

АО Arzinger подготовило пособие по правовому регулированию водоснабжения

ЮФ Arbitis завершила правовой аудит производителя древесного угля

Владислав Подоляк провел семинар, посвященный защите персональных данных

Отрасли практики

Капитал поднялся в цене

Бизнес пошел по рукам

Курс взят на картель

Суд в ассортименте

Налоговый коллапс

Персоны особого внимания

Третейский лишний

Договор: битва за право

Позиция

Блеск и нищета адвокатуры

Рабочий график

Год грядущий готовит

Законы, вступающие в силу с 2012 года

Юридические мероприятия 2012 года

Решения недели

Судебная практика

Надлежащее изложение требований

Виноват не Президент

Присутствие не предусмотрено

Самое важное

«Дело Тимошенко»: галопом — в Европу

Окончен год, но не реформы

Судебная практика

Судебные решения

Ограничение права на защиту подрывает справедливость процесса в целом

О праве страховщика на регрессное возмещение

Судебная практика

С высоты опыта

Судебная практика

Судебные решения

Переоборудование чердаков без согласия всех собственников дома является нарушением их прав

Судебная практика

Наказать рублем

Тема номера

В ответе за тех, кому поручили

С долями на выход

А и Б сидели в юрлице

Частная практика

Локализированная помощь

Проверочные рекомендации

Третейские судьи провели съезд

Юридический форум

Новогодняя увертюра

Інші новини

PRAVO.UA