Как показывает опыт, дочерние компании зарубежных фирм если не юридически, то по крайней мере идеологически оказались более подготовленными, чем украинские субъекты хозяйствования, ко вступлению в силу Закона Украины «О защите персональных данных» №2297-VI от 1 июня 2010 года (далее – Закон).

Как показывает опыт, дочерние компании зарубежных фирм если не юридически, то по крайней мере идеологически оказались более подготовленными, чем украинские субъекты хозяйствования, ко вступлению в силу Закона Украины «О защите персональных данных» №2297-VI от 1 июня 2010 года (далее – Закон).

Дело в том, что правовая идея защиты персональных данных пришла к нам из законодательства ЕС и международного публичного права. Поэтому западным организациям зачастую достаточно позаимствовать из материнской компании внутренние политики о защите персональных данных и адаптировать их в украинских аффилированных компаниях, в то время как украинским бизнес-структурам необходимо подготовить документы «с нуля». В этом случае основная проблема подготовки качественных документов (о которых пойдет речь ниже) лежит в плоскости отсутствия эмпирического опыта. Закон достаточно обобщенно регулирует указанные правоотношения и на практике порождает ряд вопросов, начиная от понятия персональных данных и заканчивая особенностями их защиты в отдельных секторах экономики, например, финансовые услуги, медицина, рекрутинг, телекоммуникации.

В данной статье мы хотим дать ряд комментариев относительно положений Закона и поделиться практическими советами о том, как воплотить в жизнь нормативные требования.

В качестве теоретического отступа прокомментируем понятие «персональные данные», чтобы определиться с предметом исследования. Статья 2 Закона определяет, что персональные данные – это сведения или совокупность сведений о физическом лице, идентифицированном или которое может быть конкретно идентифицировано. Скажем сразу, что такое обобщенное понятие у многих вызывает критику, поскольку нельзя однозначно разграничить персональные данные от другой информации.

Должны отметить, что мы не разделяем эту критику, и вот почему. Поскольку личность, современная жизнь и информационное сообщество настолько многогранны, а способы фиксации, использования и обработки информации не имеют замкнутых границ, то практически невозможно дать исчерпывающий список того, что принято считать персональными данными. Сюда могут относиться как биометрические данные, так и любые другие анкетные, биографические, семейно-родственные, профессиональные и прочие данные. Поэтому украинский Закон, равно как и европейское законодательство, обладает необходимым с перспективной точки зрения уровнем правовой абстракции и предлагает вместо списка использовать критерии, по которым в каждом отдельном случае определять, является информация персональными данными или нет.

Из Закона усматриваются два критерия: первый – информация всегда относится к физическому лицу, второй – возможность по указанной информации в каждом конкретном случае идентифицировать такое лицо (субъекта персональных данных). Если информация относится к данным о юридических лицах, она может защищаться другими методами, например коммерческой тайны. Если данных недостаточно для того, чтобы идентифицировать лицо, они не являются персональными. При этом Закон умалчивает, идет ли речь об общей возможности идентификации или об идентификации специфической группой лиц (например, друзьями субъекта персональных данных). Если персональные данные предоставлены в закодированном виде относительно полного имени лица и доступ к расшифровке действительных имен людей в сложившихся условиях запрещен, они тоже не будут считаться персональными данными для того, кто будет обрабатывать данные без возможности их расшифровывать.

В качестве дополнительного критерия мы предлагаем также ввести критерий наличия базы персональных данных, в которой полностью или частично обрабатываются персональные данные. Иными словами, Закон касается обработки данных непосредственно в базе данных как именованной совокупности упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных (ст. 1 и ст. 2 Закона).

Итак, первый шаг для компании – определиться, обрабатывает она персональные данные или нет. Ответим сразу, что в большинстве случаев компания действительно обрабатывает персональные данные, по крайней мере о своих сотрудниках, при кадровых, управленческих и социальных вопросах, а также при оплате труда и налогообложении. Но зачастую обрабатываются персональные данные не только своих сотрудников. Компании, предоставляющие услуги частным лицам, нередко также используют их персональные данные. Несколько примеров: оформление персональных абонементов в спортзал, продажа авиабилетов, обслуживание депозитного вклада физического лица, приглашение клиентов на корпоративный праздник, персонифицированное анкетирование по качеству обслуживания – все это практически невозможно сделать без необходимого минимума персональных данных.

Таким образом, удостоверившись, что компания нуждается в обработке персональных данных, следует четко обозначить, с какой целью они обрабатываются. Мы не исключаем, что информация о лицах может использоваться для разных целей в обозримом будущем, поэтому рекомендуем максимально широко подойти к данному вопросу и вот почему. Лицо, персональные данные которого будут обрабатываться, согласно ст. 2 Закона дает свое согласие на обработку данных в соответствии с конкретной целью и если цель обработки данных изменится в будущем – необходимо получить новое согласие лица (ч. 1 ст. 6 Закона). Например, если персональные данные получены только для выдачи посетителю пропуска в спортклуб, то такая цель их обработки не будет охватывать использование персональных данных для проведения розыгрыша спортивного инвентаря среди клиентов или использования в рекламном «Списке известных членов Клуба».

Определившись с категориями и целью обработки персональных данных, компания должна документально утвердить цель обработки (ч. 1 ст. 6 Закона). Мы предлагаем принять локальный документ под названием «Положение об обработке и защите персональных данных». Данное Положение может утверждаться приказом исполнительного органа компании, например, директора. Возможен вариант закрепления цели обработки персональных данных в Уставе компании, но этот путь более долгий и затратный, поскольку требует проведения общего собрания участников (акционеров) общества, государственной регистрации изменений в Устав и сопутствующих финансовых издержек.

Каждая компания должна самостоятельно определиться с содержанием указанного положения, ведь Закон, кроме необходимости закрепить цель обработки персональных данных, других требований не устанавливает. Рекомендуем комплексно подойти к вопросу защиты персональных данных и применить следующую структуру Положения:

1) Общие положения: основные термины и сфера применения Положения;

2) Порядок обработки персональных данных: получение согласия лица; уведомления о правах и действиях с персональными данными лица;

4) Местонахождение базы персональных данных: адрес; адрес распорядителя базы (если есть);

5) Условия раскрытия информации о персональных данных третьим лицам;

6) Защищенность данных: способы защиты; работники, ответственные за защиту; данные о детях; срок хранения данных;

8) Порядок работы с запросами субъекта персональных данных;

9) Государственная регистрация базы персональных данных.

С Положением рекомендуем ознакомить сотрудников, чья работа связана с обработкой персональных данных. Считаем, что это повысит их уровень осведомленности об указанных информационных правоотношениях, равно как и степень ответственности при работе с доступными им персональными данными.

Кроме того, для оптимизации процесса сбора персональных данных рекомендуем утвердить текст согласия лица на обработку его персональных данных, которое следует отбирать у лица. Также следует разработать уведомление (памятку), в котором изложить информацию о правах субъекта персональных данных, цели обработки данных и лицах, которым передаются персональные данные. Исходя из содержания ч. 2 ст. 12 Закона, такое уведомление нужно вручать/отправлять лицу в письменном виде после включения его персональных данных в базу данных. Мы не исключаем возможности, с целью экономии времени, вручать такую памятку субъекту персональных данных сразу после их сбора, то есть до того, как данные физически поступят в базу данных.

Статья 9 Закона требует провести регистрацию базы персональных данных. Практически полгода с момента вступления указанного Закона в силу регистрация не проводилась. На данный момент регистрация проводится в соответствии с постановлением Кабинета Министров Украины от 25.05.2011 г. №616, которым утверждено Положение о Государственном реестре баз персональных данных и порядке его ведения, и приказом Министерства юстиции Украины от 08.07.2011 г. №1824/5, которым утверждены формы заявлений о регистрации базы персональных данных и о внесении изменений в ведомости Государственного реестра баз персональных данных, а также утвержден порядок их подачи.

Согласно ч. 5 ст. 24 Закона в органах государственной власти и органах местного самоуправления, организациях, учреждениях и на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Назначить конкретного работника или уполномочить специальный отдел заниматься вопросами защиты персональных данных можно путем принятием приказа. По нашему мнению, такие функции целесообразно возложить на IT-отдел или кадровую службу.

Итак, когда внутренние документы готовы, можно приступать к обработке персональных данных. Но здесь следует сделать оговорку. Только в идеальной ситуации можно представить вышеуказанную логическую последовательность, в то время как на практике персональные данные во многих случаях уже собраны и обрабатываются. Поэтому логическая последовательность в полной мере будет применима только к обработке данных, которые поступят позже.

Что же делать с данными, полученными без документированного согласия лица до вступления в силу Закона (01.01.2011 г.)? Сам Закон ответа на данный вопрос не содержит. Вниманию читателей предлагаются две альтернативы. Например, сначала получить post-factum согласие лица на обработку его персональных данных и затем уведомить лицо о его законных правах в связи с включением его данных в базу персональных данных. Другой вариант – ограничиться только уведомлением лица о том, что его персональные данные были собраны до вступления в силу Закона, которым впервые установлена обязанность документировать согласие лица на обработку его персональных данных, а также письменно уведомить лицо о цели обработки данных, проинформировать об имеющих доступ к данным третьих лицах и уведомить о правах, предусмотренных статьей 8 Закона, в частности право предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно либо являются недостоверными. В случае если в разумный срок требований об уничтожении персональных данных не поступило со стороны надлежащим образом уведомленного о своих правах заинтересованного лица, то это косвенно может свидетельствовать о допустимости использования данных, полученных до 01.01.2011 г. Тем не менее только будущая правоприменительная практика даст нам ключ к единому пониманию сложившейся ситуации.

Таким образом, соблюдение формальностей относительно обработки персональных данных начинается с того, что по общему правилу необходимо получить документированное согласие лица на обработку его персональных данных согласно определенной цели их обработки (ст. 6 Закона). Под документированным согласием следует понимать не только письменное, но и, например, электронное. Применение последнего зачастую удобнее, особенно если физические лица самостоятельно через Интернет сообщают свои персональные данные, например, отправляя резюме рекрутинговой компании или регистрируясь для участия в определенной акции на сайте магазина.

Согласно ч. 2 ст. 12 Закона владелец базы персональных данных должен уведомить субъекта персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных о правах субъекта, определенных настоящим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме. Как указывалось выше, предлагаем разработать и направлять субъектам персональных данных памятку стандартного образца. Практической проблемой исполнения указанной нормы Закона может оказаться уведомление лиц, которые сообщили свои персональные данные путем электронной связи, не указав при этом своего почтового адреса.

Согласно ч. 3 ст. 12 Закона уведомление не осуществляется, если персональные данные собираются из общедоступных источников.

Подводя итог, следует отметить, что ч. 10 ст. 6 Закона предусматривает утверждение типового порядка обработки персональных данных в базах персональных данных уполномоченным государственным органом по вопросам защиты персональных данных (Государственной службой Украины по вопросам защиты персональных данных). Порядок обработки персональных данных, относящихся к банковской тайне, утверждается Национальным банком Украины. В настоящее время вышеуказанные документы еще не приняты. Надеемся, что разработка этих документов будет способствовать повышению уровня защищенности персональных данных, но при этом не обременит хозяйственную деятельность компаний, использующих персональные данные физических лиц.