ОГЛЯДАЧ / АНАЛІТИКА

КОМЕНТАР ДО ЗАКОНУ УКРАЇНИ «ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ»

2011-01-10

Ми поступово і неухильно наближаємося до стандартів ЄС, про що свідчить і прийняття Верховною Радою України Закону України «Про захист персональних даних» від 01 червня 2010 року, який набрав чинності 01 січня 2011 року. Одночасно з цим законом набув чинності Закон України «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних».

Робота над розробкою відповідного комплексного законодавчого акту ведеться в Україні давно, ще з дев’яностих років. Тому цей закон, можливо, як ніякий інший, є надзвичайно довгоочікуваним законом, а його актуальність з кожним роком лише зростає.

Право на захист персональних даних виникає з права особи на повагу до її приватного та сімейного життя, закріпленого в ст.8 Європейської конвенції про захист прав людини і основних свобод 1950 року (ратифікована Україною у 1997 році). У 2001 році в Україні було розроблено законопроект, який грунтувався на концепції приватності персональних даних як особистого немайнового права. Однак, у законі, прийнятому Верховною Радою України в 2006 році, була втілена протилежна концепція персональних даних, яка носила виключно майновий характер, тобто, передбачала право власності на персональні дані. Тим не менш, Президент України В. Ющенко ветував цей закон. У новому законі перемогла попередня концепція захисту персональних даних, як особистого немайнового права кожної людини. У практиці ЄС спостерігається співіснування обох підходів, адже загальним для них є заборона обробки даних без згоди особи.

Згідно з положеннями нового закону поняття «персональних даних» може стосуватися різноманітної ідентифікуючої інформації про особу. На практиці слід орієнтуватися на те, що в разі об’єднання даних про особу з його ім’ям і прізвищем, вони будуть вважатися персональними даними. Наприклад, це адреса, дата і місце народження, освіта, сімейний і майновий стан, національність, віросповідання, стан здоров’я.
Слід додатково підкреслити, що новий закон не сприйняв повністю концепцію поділу персональних даних на загальні і чутливі персональні дані, яка прийнята в більшості країн ЄС і Російської Федерації. Однак, останнє не може бути віднесено до суттєвих недоліків закону, тим більше, що з недавніх пір спостерігається поступове відступ країн Європи від такого підходу.
Відповідно до нового закону під поняттям бази персональних даних підпадає паперова картотека або електронна база працівників з їх біографією, дані про соціальний статус, або база клієнтів страхових компаній, банків, медичних установ і т.п.

До вступу в силу закону збирати, обробляти, зберігати і використовувати персональні дані було дозволено лише після отримання попередньої згоди особи. Згідно з новим законом така згода має бути документованою, зокрема, письмовою. Згода на обробку персональних даних повинна бути надана згідно чітко визначеної мети обробки цих даних, встановленої в документах власника бази даних. На виконання цієї норми закону доцільно розробити положення про обробку і захист персональних даних, в якому закріпити мету й порядок обробки, врегулювати інші питання захисту персональних даних. За змістом ст. 6 закону, у разі зміни мети обробки, потрібно отримати нову згоду особи на обробку її персональних даних. Згідно зі ст. 21 закону особа має бути повідомленою про передачу її персональних даних третій особі протягом 10 робочих днів, якщо цього вимагають умови її згоди, або якщо інше не передбачено законом. Тому доцільно відразу зафіксувати відмову особи від повідомлення про передачу її персональних даних у тексті згоди на обробку даних. На виконання вимог ст. 24 закону щодо визначення особи, відповідальної за організацію роботи по захисту персональних даних при їх обробці, рекомендуємо доручити виконання цих функцій фахівцям з управління персоналом або системному адміністратору (залежно від того, хто дійсно буде займатися збором і обробкою персональних даних). Такі функції можуть бути покладені на них наказом керівника, про це можна також вказати в положенні про обробку і захист персональних даних.

У законі згадується орган, який буде виконувати функції контролюючого органу, або мовою закону «уповноваженого органу з питань захисту персональних даних». Державна служба України з питань захисту персональних даних була створена 09 грудня 2010 року, але фактичний початок її роботи все ще очікується. На даний момент зміст і обсяг повноважень цього органу не визначений на належному рівні. Встановлене ж законом право доступу до приміщень, де здійснюється обробка персональних даних, викликало справедливу критику.

Закон встановлює обов’язок державної реєстрації баз персональних даних. Такий обов’язок покладено на власника бази даних, хоча в деяких країнах обов’язковий порядок реєстрації діє лише щодо обробників баз даних (провайдерів послуг).

Хоча закон у цілому надзвичайно актуальний і необхідний, тим не менш, у чинній редакції він є досить загальним (рамковим) документом і для належного втілення в життя положень про захист персональних даних потребує прийняття ще багатьох підзаконних нормативно-правових актів, які б деталізували і конкретизували його застосування, в тому числі щодо окремих категорій суб’єктів (страхові компанії, банки тощо). Тому доцільно було б відкласти введення в дію закону на певний час, принаймні, до ухвалення необхідних підзаконних нормативно-правових актів. Більш того, деякі положення закону потребують змін, наприклад, доцільно передбачити, що не підлягають реєстрації бази даних, якщо особу і власника бази даних пов’язують трудові відносини, або персональні дані були отримані на підставі укладеної ними цивільно-правової угоди.

Оксана Войнаровська,
Радник АТ «Юридична фірма« Василь Кісіль і Партнери »