Лист ДСУ з питань захисту персональних даних від 29.02.2012 р. №10/635-12
Державна служба України з питань захисту персональних даних у коментованому листі намагається роз'яснити питання щодо використання персональних даних.
I, незважаючи на те що надання роз'яснень норм законодавства виходить за межі повноважень Служби, все ж таки вважає, що під час вирішення зазначених питань слід враховувати такі вимоги законодавства про захист персональних даних.
Так, використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, які здійснюються з відома суб'єкта персональних даних або відповідно до закону (ч. 1 ст. 10 Закону України «Про захист персональних даних — далі Закон №2297).
Проте, на нашу думку, використання персональних даних на практиці має дещо інше значення, ніж це передбачено законом.
Отже, використання персональних даних невід'ємно пов'язане з їх обробкою, тобто з огляду на приписи ст. 6 Закону №2297 має відповідати визначеній меті обробки персональних даних суб'єктом персональних даних. Таким чином, фактично кожна юридична особа (установа, організація) чи фізособа-підприємець шляхом реєстрації баз персональних даних самі себе обмежили у використанні цих даних — як правило, це обмеження прив'язане до здійснення госпдіяльності таким суб'єктом персональних даних. Причому з дозволу того ж закону у разі зміни мети обробки (фактично йдеться про зміни виду діяльності) необхідно насамперед внести зміни до бази персональних даних.
З огляду на подібні дії суб'єкта персональних даних слід заздалегідь подбати про наслідки вчинених юридичних дій суб'єктом персональних даних, щоб не порушити вимоги Закону №2297.
До речі, зауважимо, що за законодавством Російської Федерації під використанням персональних даних мають на увазі дії (операції) з персональними даними, що здійснюються оператором з метою прийняття рішень або здійснення інших дій, які викликають юридичні наслідки стосовно суб'єкта персональних даних чи інших осіб або які інакше не порушують права і свободи такого суб'єкта або інших осіб.
На нашу думку, таке формулювання є більш доречним та коректним — воно цілком відповідає меті фінансово-господарської діяльності суб'єкта персональних даних та не створює подвійного тлумачення як положень Закону, так і дій суб'єкта персональних даних.
Наведемо приклад. Основним видом діяльності підприємства є перевезення (морські, повітряні, наземним транспортом тощо). Проте виникла необхідність передати транспорт разом з екіпажем в оренду. Зрозуміло, що в такому разі постає питання і про передачу персональних даних орендарю про екіпаж. Хіба при складанні реєстраційної заяви такий суб'єкт персональних даних вказав таку мету з огляду на специфіку діяльності з перевезень?
Тож у деяких випадках використання персональних даних може вийти далеко за межі їх обробки.
Щоправда, тут постає ще більше запитань: як передбачити все це наперед у порядку обробки даних (або постійно вносити до нього зміни), отримати згоду від самого суб'єкта — і при цьому дотриматися вимог, установлених законодавством про захист персональних даних, зокрема щодо реєстрації баз персональних даних, використання, розповсюдження, знищення персональних даних, порядку доступу до персональних даних третіх осіб тощо?
Або емпіричним методом з практики доходити самому до того, що варто у заяві послатися на мету як «...здійснення інших дій, які викликають юридичні наслідки стосовно суб'єкта персональних даних чи інших осіб або які інакше не порушують права і свободи такого суб'єкта або інших осіб».
Наталія КАНАРЬОВА, «Дебет-Кредит»