Вимога Закону №2297 про державну реєстрацію баз персональних даних за заявочним принципом шляхом внесення бази до Реєстру викликала майже в кожного підприємства багато запитань, зокрема, що таке база персональних даних, що належить до персональних даних та який обсяг відомостей про фізособу треба захищати1. Розглянемо позицію Мін'юсту та КСУ з цього питання.
Коротко про головне
Відповідно до Закону №22972 під терміном «персональні дані» Закон розуміє відомості чи сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована.
Визначення є досить загальним, причому інших розшифрувань та/або уточнень, про які саме відомості щодо фізособи йдеться, сам Закон №2297 не містить. Намагання хоч якось «розшифрувати» цей перелік привело багатьох фахівців до Закону №2493. У ч. 11 ст. 9 Закону №249 міститься таке: «з метою ідентифікації резидентів суб'єкти первинного фінансового моніторингу встановлюють для фізособи прізвище, ім'я та по батькові, дату народження, серію і номер паспорта (або іншого документа, що посвідчує особу), дату видачі та орган, що його видав. Під час ідентифікації з'ясовують місце проживання або місце перебування фізичної особи, IПН або серію та номер паспорта, в якому проставлено відмітку органів ДПС про відмову від одержання IПН».
Здавалося, ніби ситуація дещо прояснилась: якщо серед персональних даних є відомості про особу, які використовуються для фінмоніторингу, то таку особу можна вважати ідентифікованою, і відомості про неї вважати персональними даними.
Проте, як свідчить практика, легкі шляхи вирішення проблеми у вітчизняному законодавстві недопустимі.
Наприклад, на сайті ДСЗПД4 розміщена інформація у вигляді запитань-відповідей для суб'єктів персональних даних та організацій (з приміткою «Відповіді на запитання, які містять інформацію, що має рекомендаційний характер, та не є обов'язковими для виконання»).
1 Ми писали на цю тему у «ДК» №50/2011, №51-52/2011, а також у «ДК» №7/2012.
2 Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних».
3 Закон України від 28.11.2002 р. №249-IV «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму».
4 Державна служба захисту персональних даних (http://zpd.gov.ua/indexDovidkaInfo.html).
Так, спочатку у відповіді на запитання «Які відомості належать до персональних даних?» було зазначено, що до них належать:
1) за природою відомостей: об'єктивні відомості про фізособу (біометричні дані, стан банківського рахунка тощо); суб'єктивні відомості про фізособу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо);
2) за джерелами відомостей: відомості, що містяться в первинних та інших джерелах про фізичну особу;
3) за способами обробки відомостей: відомості в алфавітно-цифровому, графічному форматі; відомості в фото- та кіно-, аудіо- та відеоформаті тощо;
4) за формою обробки відомостей: відомості на паперових, електронних, магнітних, оптичних носіях тощо;
5) за вимогами до обробки відомостей: відомості, щодо яких застосовуються загальні (ст. 6 Закону №2297) або особливі (ст. 7 Закону №2297) вимоги обробки (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також відомості, що стосуються здоров'я чи статевого життя тощо);
6) за зв'язком з фізособою: відомості, що стосуються фізособи безпосередньо (особова справа працівника, запис у базі даних медзакладу, банківський рахунок тощо); відомості, що стосуються фізособи опосередковано (реєстраційний запис про право власності на об'єкт нерухомості, записи про техобслуговування автомобіля тощо).
Щодо питання мінімальної сукупності відомостей, яка є суттю визначення «персональні дані», то тут надбання також невелике. Спираючись на міжнародні стандарти, ДСЗПД на тому ж сайті наголошує: «...широкий підхід до визначення персональних даних надає змогу досягти достатньої гнучкості, що дозволяє використовувати вказаний термін у різноманітних ситуаціях та інформаційних і телекомунікаційних ресурсах, які не існували на момент прийняття Конвенції або можуть виникнути у майбутньому». Отже, як завжди — думайте самі.
Правда, нещодавно, після виходу у світ роз'яснень Мін'юсту прийняття рішення КСУ, ситуація дещо змінилась. Крім того, Закон України від 13.01.2012 р. №4343-VI переніс строки застосування штрафів за нереєстрацію баз даних до 01.07.2012 р. (про це див. докладніше у «ДК» №7/2012).
Що думає Мін'юст про визначення персональних даних?
У роз'ясненні від 21.12.2011 р. Мін'юст викладає своє бачення змісту терміна «персональні дані» з метою виконання вимог Закону №2297, але також не дає чіткої відповіді.
Так, «...законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізособу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій...
Наприклад, відповідно до ст. 24 КЗпП громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, — також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи.
У зв'язку з цим персональні дані працівника, ... які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі ст. 24 КЗпП виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту)».
Отже, за логікою Мін'юсту, в разі укладення юрособами цивільно-правових договорів з фізособами персональними даними будуть ті дані, які зазначаються у договорі. А під час реєстрації на сайті з метою користування послугами, розміщеними на такому інтернет-ресурсі, персональними будуть дані, надані під час реєстрації.
Таким чином, знову прийшли до того, що залежно від мети збирання та обробки інформації про фізособу обсяг персональних даних визначатиме кожен володілець самостійно.
Яка позиція Конституційного суду?
Позиція КСУ, викладена у Рішенні від 20.01.2012 р. №2-рп/2012 (справа №1-9/2012), проливає світло на різницю між персональними даними (даними з обмеженим доступом) та конфіденційними.
Отже, висновки КСУ такі:
1) інформація про особисте та сімейне життя особи (персональні дані про неї) — це національність, освіта, сімейний стан, релігійні переконання, стан здоров'я, матеріальне становище, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовій, інтимній, товариській, професійній, діловій та інших сферах життя особи;
2) до наведеного переліку не належить інформація (дані) стосовно виконання повноважень особою, яка займає посаду, пов'язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім'ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Проте ця точка зору КСУ наштовхує на думку, що сам Закон №2297 у частині визначення терміна «персональні дані», порядку надання згоди на їх обробку та самого порядку обробки цих даних не відповідає Конституції. Оскільки тлумачення терміна «персональні дані» з метою виконання вимог Закону №2297 не має стосуватися особистого та сімейного життя фізособи, ця інформація не пов'язана з виконанням обов'язків за трудовим чи цивільно-правовим договором. I тим більше — з покладенням обов'язку захищати такі дані на володільців баз даних з можливістю розпоряджатися ними — передачею такого обов'язку розпоряднику на договірних умовах.
Наталія КАНАРЬОВА, «Дебет-Кредит»