• Посилання скопійовано

Фізособа-непідприємець придбаває в будівельної фірми будматеріали. Договір усний, виписаний тільки рахунок, кошти перераховуються на поточний рахунок. Підприємству відомо тільки прізвище та ім'я фізособи-покупця, і все. Фізична особа не бажає давати решту

Щодо укладення договору з фізособою без зазначення її паспортних даних, то слід зауважити, що рахунок-фактура не потребує обов'язкового укладення додатково ще й письмового договору. До того ж цивільне законодавство визначає виконання зобов'язання особисто, якщо договором не встановлено виконання обов'язку іншою стороною, що тягне за собою надання необхідних даних — тут розуміємо як «персональних даних». Тож ідентифікація особи у договорі більш необхідна передусім для контрагента.

Але проблема, описана у запитанні, не має вирішення ні на законодавчому рівні, ні на рівні офіційних роз'яснень держорганів.

По-перше, відповідно до ч. 6 ст. 24 Закону №2297 фізособи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону.

За логікою Мін'юсту (роз'яснення від 21.12.2011 р.), у разі якщо фізособи-підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.

По-друге, дія Закону №2297 не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:

1) фізичною особою — виключно для непрофесійних особистих чи побутових потреб;

2) журналістом — у зв'язку з виконанням ним службових чи професійних обов'язків;

3) професійним творчим працівником — для здійснення творчої діяльності.

Юрособи, які мають відносини з фізособами (у т. ч. за одноразовими письмовими та/або усними угодами), у цьому переліку не наведені.

По-третє, Закон №2297 покладає обов'язок щодо виконання вимог цього закону щодо захисту персональних даних фізосіб саме на підприємства, установи та організації всіх форм власності, органи державної влади чи органи місцевого самоврядування, фізосіб-підприємців, які обробляють персональні дані відповідно до закону.

Загалом діяльність підприємств, установ, організацій, незалежно від підпорядкування та форм власності, осіб, які здійснюють незалежну професійну діяльність, значною мірою пов'язана з обробкою персональних даних фізичної особи. При цьому має забезпечуватися конституційне право кожної людини на невтручання в її особисте та сімейне життя. Персональні дані повинні оброблятися відповідно до встановлених у статтях 6 та 7 Закону №2297 вимог до обробки персональних даних.

Підприємства, установи, організації будь-яких форм власності, особи, які здійснюють незалежну професійну діяльність, повинні привести свої процедури обробки персональних даних у відповідність до Закону №2297 та Типового порядку обробки персональних даних у базах персональних даних.

Тому, на нашу думку, при вирішенні проблеми, наведеної у запитанні, слід врахувати, що під базами даних Закон розуміє іменовану сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

З огляду на це база персональних даних (як це розуміє Мін'юст у роз'ясненні від 21.12.2011 року) є упорядкованою сукупністю логічно пов'язаних даних про фізосіб:

1) що зберігаються та обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі;

2) що зберігаються та обробляються на паперових носіях інформації, є базою персональних даних у формі картотек.

Картотекою персональних даних є будь-який структурований масив персональних даних, що є доступним за визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах.

Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.

Тож стверджувати, що документ про відпуск товару чи виконання робіт (надання послуг) свідчить про наявність іменованої сукупності упорядкованих персональних даних, які збираються, зберігаються та обробляються з певно визначеною метою, досить складно.

На сьогодні жоден державний орган не взяв на себе відповідальності тлумачити норми Закону №2297 та чітко визначити, коли є база персональних даних, а коли її немає. Тому підприємству доведеться самому вирішувати, чи потрібні йому дані фізичних осіб — покупців, чи воно їх збиратиме та зберігатиме з певно визначеною комерційною метою та чи планує їх обробляти для подальшого використання у господарської діяльності. Залежно від отриманих на поставлені запитання відповіді і слід приймати рішення про наявність у такого підприємства бази даних. Адже реєстрації підлягає та база даних, яка вже є на підприємстві, а не та, яку планується створювати у майбутньому.

До змісту номеру