П`ятниця
29.03.2024
09:45

Каталог статей

Головна » Статті » Дайджест

Захист персональних даних в Україні: чого чекати?
Нове законодавство

На жаль, в українському суспільстві захист персональних даних, незважаючи на формальне закріплення певних принципів у низці законів, дотепер був ефемерним поняттям. Однак з 1 січня 2011 р. ситуація почне змінюватися: в Україні набрали чинності спеціальні акти, що регламентують порядок використання персональних даних фізичних осіб при їх обробці в базах даних, а саме:
• Закон України "Про захист персональних даних" від 01.06.2010 р. № 2297-VI (далі - Закон про персональні дані, Закон);
• Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних від 28.01.1981р. (далі - Конвенція про персональні дані, Конвенція);
• Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних від 08.11.2001 р. (далі - Протокол).
Слід зазначити, що Закон про персональні дані є фактичною імплементацією норм Конвенції, що прийнята майже всіма державами - членами Ради Європи, і багато в чому повторює її положення. Однак певні питання, такі як транскордонна передача персональних даних, не знайшли відображення в Законі і безпосередньо регулюватимуться нормами Конвенції і Протоколу.
Прийняття нового Закону одразу викликало багато дискусій та суперечок. Деякі його формулювання припускають доволі широке трактування, створюючи тим самим плідне підґрунтя для юридичних колізій. Ось основні питання, які хвилюють сьогодні потенційних учасників відносин у сфері захисту персональних даних: що є об'єктом захисту Закону про персональні дані і що слід розуміти під "персональними даними",
чию діяльність зачіпає Закон про персональні дані і що потрібно робити таким особам, щоб уникнути санкцій та інших негативних наслідків невиконання вимог Закону? Розглянемо ці питання по порядку.

Що таке "персональні дані"?

Відповідно до Закону персональні дані - це відомості чи сукупність відомостей про фізичну особу (суб'єкт персональних даних), яка ідентифікована або може бути конкретно ідентифікована. Як бачимо, визначення досить широке і нечітке. Яка саме інформація про особу належить до персональних даних? Щоб відповісти на це запитання, треба звернутися до чинного законодавства України, а також до міжнародних актів.
Визначення "персональних даних" містить і Закон України "Про інформацію". Так, відповідно до ст. 23 цього документа інформація про особу - це сукупність документованих або публічно оголошених відомостей про особу. Основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження. Можна припустити, що ця інформація також підпадатиме під визначення персональних даних, наведене в Законі. Крім того, відповідно до Рішення Конституційного Суду України від 30.10.1997 р. № 5-зп до персональних даних належить також інформація про стан здоров’я особи (історія хвороби, мета запропонованих досліджень і лікувальних заходів, прогноз можливого розвитку захворювання, в тому числі інформація про наявність ризику для життя і здоров'я). Визначення персональних даних у Конвенції практично збігається з визначенням у Законі: це "будь-яка інформація, яка відноситься до конкретно ідентифікованої особи або особи, яка може бути конкретно ідентифікована". Своєю чергою, Європейська Директива "Про захист осіб у зв'язку з обробкою персональних даних та переміщенням (передачею) таких даних" від 24.10.1995 р. (далі - Директива) визначає персональні дані як будь-яку інформацію, що стосується особи, яка ідентифікована або може бути конкретно ідентифікована. Особа, яка може бути ідентифікована, - це особа, яка може бути прямо чи опосередковано ідентифікована, зокрема, шляхом звернення до ідентифікаційного номера або до інших специфічних даних, як-от: фізичні, психологічні, ментальні, економічні, культурні чи соціальні дані.
З викладеного можна зробити висновок, що визначення в Законі відповідає міжнародній практиці, бо співпадає з визначеннями, наведеними, зокрема, у Конвенції та Директиві. Безумовно, це визначення є дуже широким і не дає чітких критеріїв того, які саме дані про фізичну особу можна вважати персональними. Однак можна спробувати визначити ці критерії, спираючись на загальну логіку і міжнародну практику.
Виходячи із загальної логіки, інформація про особу, яка ідентифікована, - це інформація, яка одразу асоціюється в суб'єкта - одержувача інформації (або її власника) з конкретною людиною. Отже, особа може бути ідентифікованою для одного суб'єкта, якому вона знайома, і неідентифікованою для іншого, який цієї особи не знає.
Інформацією, що відноситься до особи, яка може бути конкретно ідентифіковано, є інформація, яка не одразу асоціюється в суб'єкта - одержувача інформації (або її власника) з конкретною людиною, проте є достатньою для того, щоб певним шляхом визначити, до якої конкретної людини вона має відношення. Хто може ідентифікувати цю людину і яким способом, як правило, не має значення, за умови, що існує гіпотетична можливість такої ідентифікації. У цьому відношенні можна також процитувати абзац 26 Директиви: "Щоб визначити, чи є особа такою, що може бути конкретно ідентифікованою, до уваги необхідно брати всі можливі способи, які можуть застосовуватися як власником інформації, так і будь-якою третьою особою для ідентифікації зазначеної особи".Викладене можна проілюструвати такими прикладами персональних даних, як: ім'я, адреса, дата народження, місце роботи та посада, номер паспорта, номер ідентифікаційного коду тощо. Слід зазначити, що ідентифікація або гіпотетична можливість ідентифікації конкретної людини є ключовим критерієм. Так, список імен та прізвищ, поширених у центральних регіонах України, не є персональними даними, тому що імена і прізвища в такому списку не прив'язані до конкретних осіб.

Що є об'єктом захисту Закону?

Чи всі персональні дані є об'єктом захисту? Згідно із Законом про персональні дані об'єктами захисту є тільки ті персональні дані, які обробляються в базах персональних даних. База персональних даних - це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Виходячи з визначення бази даних можна припустити, що під нього підпадає будь-який список персональних даних (наприклад, імен).
Однак комплексний аналіз норм Закону свідчить про інше: щоб підпадати під дію Закону, такий список (база) повинен мати певну мету обробки персональних даних. Відповідно до Закону володілець бази персональних даних - це фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Своєю чергою, згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки. Отже, випадковий список імен, що зберігається в шухляді столу без певної мети, містить персональні дані, однак вони навряд чи захищатимуться Законом. А такий самий список, що зберігається в банку і має назву "Список боржників", скоріше за все, підпадатиме під дію Закону, бо складений з певною метою (вести облік боржників) і розголошення персональних даних осіб, що входять до цього списку, може зашкодити їхній репутації.
У цьому контексті доцільно навести визначення персональних даних, яке містить Акт про захист персональних даних Великобританії (DataProtectionAct 1998). Воно трохи відрізняється від визначення, даного в Конвенції та Директиві, однак, на наш погляд, є конкретизованим: "Персональні дані - це дані про живу людину, яка може бути ідентифікована на основі цих даних або на основі цих даних і додаткової інформації, що може потрапити до особи, яка контролює дані, і які містять вираження ставлення до цієї людини і вказівку на певну мету або плани відносно цієї людини з боку особи, яка контролює дані, або іншої особи". Відповідно, у Великобританії список осіб без зазначення того, з якою метою або в якому контексті вони включені до цього списку, не підпадатиме під захист Акту про захист персональних.
Зазначені міжнародні акти та акти зарубіжного законодавства можуть використовуватися при спробі трактувати норми Закону про персональні дані, проте це навряд чи спростить життя українських суб'єктів, чия діяльність потрапить під дію Закону. Сьогодні можна однозначно стверджувати, що для ефективного застосування Закону необхідно прийняти низку підзаконних актів, які конкретизували б надто загальні і розмиті визначення. Статтею 6 Закону про персональні дані передбачено затвердження Типового порядку обробки персональних даних в базах персональних даних. Такий порядок, якщо він буде затверджений уповноваженим державним органом з питань захисту персональних даних (Указом Президента від 09.12.2010 р. № 1085/2010 цим органом визначено Державну службу з питань захисту персональних даних), може запропонувати детальніше визначення персональних даних і конкретніші вимоги до баз даних, що містять персональну інформацію.

До того ж у Кабінету міністрів України є шість місяців з моменту вступу Закону в силу, щоб адаптувати законодавство до його дії, що передбачає прийняття спеціальних актів, які також прямо або опосередковано регулюватимуть питання захисту персональних даних.

Суб'єкти Закону про персональні дані 

Закон про персональні дані крім суб’єкта персональних даних, чиї дані обробляються, передбачає ще кілька суб’єктів.
Володілець бази персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Розпорядник бази персональних даних - фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.
Відповідно до ст. 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації всіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону. Відповідно, фізична особа (що не є підприємцем) не може бути володільцем чи розпорядником баз персональних даних в розумінні Закону.
Відповідно до ст. 24 Закону на володільця бази персональних даних покладається обов’язок забезпечення захисту персональних даних в базі. Крім того, в органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону. Фізичні особи - підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими володіють, згідно з вимогами закону. Право на обробку персональних даних має бути надане компаніям або самим суб'єктом персональних даних, або законом.

Закон про персональні дані чітко визначив, що згода суб'єкта персональних даних - це будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки. Таким чином, компаніям, що займаються обробкою персональних даних, необхідно отримати письмову згоду від фізичних осіб, чиї дані обробляються. Така згода може бути оформлена у вигляді одностороннього документа або двостороннього договору і, щоб уникнути можливих претензій з боку суб'єктів персональних даних, контролюючих органів чи третіх осіб, має містити перелік всіх видів обробки персональних даних, які планують здійснювати, а також всіх видів таких даних. Якщо компанія після отримання письмової згоди хоче розширити перелік дій з отриманими персональними даними та/або мету таких дій, необхідне письмове підтвердження такої зміни від суб'єкта персональних даних.

Що необхідно зробити вже зараз?

Закон про персональні дані вже набрав чинності. У зв’язку з цим для мінімізації ризиків компанії, яка фактично є чи планує бути власником бази персональних даних, можна зробити таке:
• закріпити внутрішнім порядком, наказом або іншим документом мету обробки персональних даних, їх зміст та обсяг, процедуру їх обробки, а також визначити/призначити структурний підрозділ/відповідальну особу, на який/яку буде покладено обов'язок організовувати роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до вимог Закону (згідно з п. 5 ст. 24 Закону);
• отримати письмову згоду на обробку даних від кожного суб'єкта персональних даних, внесеного до бази даних, передбачивши максимально широкий список видів обробки персональних даних та її цілей;
• у випадках, коли йдеться про фактично існуючі бази персональних даних, рекомендуємо додатково упевнитися в тому, що збір даних здійснювався відповідно до описаних вище вимог. Якщо ж описані вимоги при обробці (і зборі) інформації не дотримувалися, необхідно забезпечити відповідно до зазначеного порядку отримання документованої згоди суб'єктів персональних даних, інформація про які міститься в таких базах. Якщо окремі суб'єкти з яких-небудь причин відмовляються надати таку згоду, рекомендуємо видалити інформацію про них з відповідних баз.
У цьому контексті необхідно звернути увагу на ситуацію, коли певна особа (наприклад, банк) на момент набрання чинності Законом вже володіє базою персональних даних (клієнтів), однак згоду на обробку даних вдається отримати не від всіх суб'єктів (клієнтів). Водночас видалення персональних даних таких суб'єктів суперечитиме інтересам банку, бо вони, наприклад, є боржниками. На даний момент неможливо однозначно трактувати цю ситуацію.
З одного боку, законною підставою для використання персональних даних є згода суб'єкта персональних даних, а з положень ст. 8 Закону випливає, що суб'єкт персональних даних може пред'явити вимогу щодо зміни або знищення своїх персональних даних будь-яким власником або розпорядником бази, якщо дані обробляються незаконно чи не є достовірними. З іншого боку, Закон передбачає можливість обробки персональних даних без згоди суб'єкта персональних даних, якщо це передбачено законом.

Насамкінець

Поки зазначена ситуація в законодавчих актах України не регламентована. Необхідно пам'ятати, що протягом шести місяців після вступу Закону в силу буде внесено деякі зміни до чинних законів України, а також прийнято низку підзаконних актів. На нашу думку, слід очікувати, що ці зміни належним чином регулюватимуть аналогічні ситуації. Ми рекомендуємо постійно стежити за змінами законодавства у сфері захисту персональних даних і за прийняттям підзаконних актів, передбачених Законом про персональні дані.

Категорія: Дайджест | Додав: HOUSE (01.04.2011)
Переглядів: 12169 | Теги: захист персональної інформації | Рейтинг: 4.2/4
Всього коментарів: 0
Додавати коментарі можуть лише зареєстровані користувачі.
[ Реєстрація | Вхід ]

Послуги сайту надаються без гарантій будь-якого роду як прямих, так і непрямих. Користувач погоджується, що використовує сайт на свій власний ризик.
Всі представлені матеріали і документація носять інформаційний характер і не можуть використовуватись як офіційні документи.
Представлені на сайті матеріали призначені для фахівців охорони здоров'яі і не можуть бути керівництвом для самостійної діагностики та лікування.
Адміністрація сайту не несе відповідальності за можливу шкоду нанесену Вашому здоров'ю самостійним лікуванням, що проводиться по рекомендаціях, даних на сайті.
Ми не гарантуємо того, що вся інформація і матеріали, розміщені на даному сайті, не містять помилок. У разі виявлення неточностей в інформації прохання повідомити про це.

При використанні матеріалів сайту, будемо вдячні за посилання на головну сторінку www.medsoft.ucoz.ua
МЕТА - Украина. Рейтинг сайтов