Головна Аналітика База персональных данных: правовой анализ ключевых вопросов

База персональных данных: правовой анализ ключевых вопросов
Четвер, 19 січня 2012, 21:40

База персональных данных: правовой анализ ключевых вопросовАктуальность вопросов, связанных с защитой персональных данных физических лиц, растет с каждым днем, ведь приближается дата вступления в силу норм, которые устанавливают новую уголовную и административную ответственность за несоблюдение требований законодательства в указанной сфере отношений. Эти вопросы касаются каждого предприятия, государственного органа власти и органа управления, деятельность которых невозможна без использования персональных данных в отношении определенных категорий физических лиц - работников, клиентов, контрагентов, заемщиков, вкладчиков, землевладельцев, землепользователей и т.п.

Сегодня нормативные основы в сфере персональных данных устанавливает Закон Украины "О защите персональных данных" (далее - Закон о ПД), который вступил в силу с 1 января 2011 г. Но, хотя этот законодательный акт действует, практическое применение его требований до сих пор вызывает ряд трудностей, устранение которых будет зависеть от избрания правильных правовых подходов. Применяя Закон о ПД, необходимо обратить внимание на следующие правовые аспекты.

Прежде Закон о ПД устанавливает императивную норму (ст. 9), которой субъектов, государственных органов власти и управления обязаны совершить необходимые действия в целях проведения государственной регистрации принадлежащих им баз персональных данных (далее также - БПД). Закон называет субъекта, который инициирует такую регистрацию, владельцем БПД (далее - владелец). До начала проведения таких действий каждый из указанных субъектов должен определить группы физических лиц в зависимости от категорий правоотношений последним, чтобы установить количество БПД, подлежащих регистрации.

Регистрация БПД и изменений в них осуществляется по заявочному принципу путем представления каждым владельцем в Государственную службу Украины по вопросам защиты персональных данных (далее - Государственная служба) заявления в установленной форме, утвержденной приказом Минюста "от 08.07.2011 г. № 1824 / 5 . Заметим, что механизм государственной регистрации БПД определен не только Законом о ПД (ст. 9), но и Постановлением Кабинета министров Украины "Об утверждении Положения о Государственном реестре баз персональных данных и порядок его ведения" от 25.05.2011 г. № 616 ( далее - Постановление № 616).

Соответствующее заявление может быть подано как на бумажных носителях, так и в электронном виде. Поскольку порядок подачи заявления на бумажных носителях не установлен законодательством четко, владелец имеет право подать такой документ как непосредственно представителям Государственной службы, так и путем почтового отправления, которое обеспечило бы получение отправителем доказательств вручения корреспонденции. Представления дополнительных документов законодательство не требует.

Целесообразно также обратить внимание на правильность заполнения указанного заявления владельцем БПД, чтобы устранить основания для отказа в регистрации БПД - за неполноту или недостоверность указанных в ней сведений (ч. 5 ст. 9 Закона о ПД, п. 13 Постановления КМУ № 616).

Рассматривая требования отечественного законодательства в сфере защиты ПД в разрезе действующих международных документов, в частности Директивы 95/46 Европейского Парламента и Совета "О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных" от 24.10.1995 г. (далее - Директива 95 ), следует обратить внимание на некоторые различия с указанным документом. В частности, в отличие от положений Директивы 95, согласно которой владелец обязан лишь сообщить о наличии БПД, без необходимости ее регистрации, Закон о ПД требует совершить действия, направленные на регистрацию таких БПД, что является дополнительной нагрузкой, в том числе и для государственной службы.

В целях неукоснительного соблюдения ст. 9 Закона о ПД всеми предприятиями и государственными органами, осуществляющими обработку ПД в созданных ими БПД, законодатель устанавливает административную ответственность за уклонение от регистрации БПД, к которой можно будет привлекать уже с 1 января 2012 г. (Закон Украины "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных "от 02.06.2011 г. № 3554-VI, далее - Закон № 3554).

Кроме того, следует учитывать, что Закон № 3554 устанавливает также соответствующую административную или уголовную ответственность за нарушение иных требований в области защиты ПД, кроме уклонения от регистрации БПД. При этом уголовная ответственность может наступить за незаконные действия со всеми ПД, в том числе и те, которые не входят в БПД (ст. 182 Уголовного кодекса Украины, которая вводится в действие Закон № 3554).

В целях предупреждения несоблюдения требований законодательства в сфере защиты ПД и, соответственно, избежать ответственности, которая устанавливается за его нарушение, каждому субъекту или государственному органу прежде всего следует определиться с таким:

1) есть ли у него БПД, которая соответствует признакам, установленным Законом о ПД;

2) если такая БПД существует, то есть ли необходимость в продолжении ее использования;

3) с какими группами физических лиц в зависимости от категории правоотношений с ними он работает.

Ответы на эти вопросы помогут определить количество БПД, а следовательно, и необходимость государственной регистрации каждой из них.

Считаем, что указанные ответы можно получить, проанализировав определение понятий "база персональных данных" и "персональные данные", приведенные в ст. 2 Закона о ПД, и связанные с ними иные правовые категории.

Так, базу персональных данных Закон о ПД определяет как именуемую совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных. Персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Учитывая указанное, можно сделать вывод, что:

БПД должна состоять из совокупности ПД, которые должны быть именованными и упорядоченными;

сведения (их совокупность) о физическом лице должны быть такими, чтобы на их основании можно было идентифицировать соответствующее лицо;

БПД может вестись в электронной (автоматизированной) системе и / или в виде картотеки.

Исследуя правовую природу ПД на основании требований закона, следует учитывать, что:

1) сведения являются информацией в понимании Гражданского кодекса Украины (ст. 200), Закона Украины "Об информации" (ст. 1);

2) информация может существовать в виде сведений и / или данных, которые могут быть как сохранены на материальных носителях, так и отражены в электронном виде (ст. 200 ГКУ), что, соответственно, свидетельствует о возможности получения ПД из писем, книг, иллюстраций, фотографий лица, кинофильмов, звуковых записей и т.д.;

3) информация о физическом лице как разновидность информации (т.е. ПД) является совокупностью документированных сведений или публично оглашенных сведений о таком лице;

4) публичной информацией является отраженная или задокументированная любыми средствами или на любом носителе информация, которая была получена или создана в процессе выполнения обязанностей или во владении субъектов властных полномочий, других распорядителей публичной информации (ст. 1 Закона Украины "О доступе к публичной информации");

5) информацией из открытых источников есть информация, предназначенная для общественности, информация из внешних источников (научная литература, официальная информация), информация, выдаваемая средствами массовой информации или другими субъектами хозяйствования;

6) идентификация личности является средством ее установления, что помогает выделить ее среди других (например, наличие лишь е-mail, надлежащего неопределенной лицу, не позволяет идентифицировать его, однако в совокупности с другими ПД об этом лице с помощью таких данных лицо может быть установлено);

7) идентификационными признаками являются уникальные признаки, присущие каждому человеку, в частности: черты лица, биометрические характеристики, личные коды, шифры, печати и тому подобное.

Из указанного следует, что информация о физическом лице в любом виде, отраженная на любых носителях, с помощью которой может быть идентифицировано соответствующее лицо, является персональными данными. Однако следует понимать, что действия каждого субъекта с ПД можно считать обработкой в понимании Закона о ПД, только если будут осуществляться в информационной (автоматизированной) системе и / или в картотеках, что, соответственно, и обусловливает необходимость выделения определенных БПД, которые могут вестись в электронном виде и / или на бумажных носителях.

Определяя правовую природу БПД в рамках Закона о ПД, следует обратить внимание на то, что БПД может содержать упорядоченные и именованные данные (их совокупность) о физических лицах (т.е. систематизированы и именуемые в отношении каждого физического лица). Как отмечалось, Закон о ПД отличает БПД, который ведется в электронном виде в электронной (автоматизированной) системе, от БПД, которая ведется в виде картотеки. При этом электронный (автоматизированную) систему нельзя отождествлять с БПД, поскольку она является лишь "оболочкой" для такой базы и средством обработки ПД в ней.

Относительно картотеки следует отметить, что ее понятие не определено ни одним законодательным актом Украины. Однако, исходя из положений Директивы 95, картотекой ПД можно считать систематизированную изложенную на бумажных носителях информацию о физических лицах (эта картотека должна быть структурированной по соответствующим критериям, чтобы можно было обеспечить легкий доступ к ПД (см. пп. 15,27 Директивы 95) . Если применить приведенное определение картотеки в сфере обработки ПД, например, в отношении работников любого субъекта или государственного органа, то каждое личное дело относительно такого физического лица не может относиться к картотеке, что прямо подтверждается Директивой 95 (п. 27).

Таким образом, от ответа субъекта, органа власти или управления на вопрос, есть ли у него БПД, будет зависеть и распространение на него требований законодательства о защите ПД относительно обязательности государственной регистрации каждого БПД. Одновременно, поскольку БПД могут составлять ПД прежде работников субъекта или органа, соответственно, каждый субъект или орган, который систематизирует ПД таких физических лиц (а возможно, и других лиц) в информационно-автоматизированной системе и / или в виде картотек, должен соблюдать требования указанного законодательства, в частности:

- зарегистрировать БПД (ст. 9 Закона о ПД), определив распорядителей БПД (ст. 2 Закона о ПД);

- составить внутренний документ, который будет устанавливать механизм обработки владельцем ПД в его БПД и защиты ПД в БПД (ч. 1 ст. 6, ст. 24 Закона о ПД);

- определить лица и / или структурное подразделение, отвечающее за законность обработки ПД в БПД и за защиту от незаконного их разглашения и доступа к ним (ч. 5 ст. 24 Закона о ПД), документально оформив их обязательства в должностных инструкциях, положениях о структурных подразделениях, приказах, внутреннем документе по вопросам обработки ПД, включая обязанность таких лиц не разглашать ПД с БПД, которые стали им известны или были доверены в связи с исполнением профессиональных или трудовых или служебных обязанностей (ч. 3 ст. 10 Закона о ПД);

- обеспечить документирование законности обработки ПД в БПД, и, в частности, путем получения письменных согласий от каждого физического лица, ПД которой обрабатываются в БПД (в виде отдельного письменного подтверждения, подписанного лицом, или условия, изложенной в договоре (другой сделке), заключения владельцем БПД с его распорядителем договора на право обработки ПД в БПД владельца (ст. 11 Закона о ПД);

- обеспечить внутреннюю систему защиты ПД в БПД, созданной в электронном виде (путем установки комплекса аппаратно-программных средств защиты в соответствии с законом) и / или в виде картотек (путем установления определенных организационно-правовых правил на уровне внутреннего документа);

- принять меры для взятия третьим лицом, имеющим доступ к ПД в БПД, обязательства относительно соблюдения требований Закона о ПД (ч. 2 ст. 16 Закона о ПД);

- обеспечить соблюдение трансграничной защиты ПД в случае их передачи иностранным субъектам отношений (ст. 29 Закона о ПД);

- решить другие ключевые вопросы, вытекающие из Закона о ПД (оформление письменных уведомлений физическим лицам в соответствии с ч. 2 ст. 12 и ч. 1 и ч. 3 ст. 21 Закона о ПД; использование необходимых правовых средств защиты ПД путем составления соответствующих документов или включения условий к содержанию договоров и т.п.).

По материалам: Тарас Лукаш, Наталья Дроздова | Правовий тиждень