Лист ДСУ з питань захисту персональних даних від 02.04.2012 р. №10/1106-12
Нині госпсуб'єкти отримали можливість ознайомиться з черговою позицією у частині трактування окремих положень Закону №22971 про захист персональних даних — новим листом держслужба оприлюднила свою думку щодо обсягу персональних даних, які підлягають захисту.
1 Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних».
Так, відповідно до визначення, наведеного у статті 2 Закону №2297, персональними даними є відомості або сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована.
Первинними джерелами відомостей про фізособу є:
1) видані на її ім'я документи;
2) підписані нею документи;
3) відомості, які особа надає про себе (ч. 4 ст. 6 Закону №2297).
Держслужба звертає увагу на те, що відповідно до міжнародних стандартів термін «персональні дані» повинен охоплювати всю інформацію про фізособу, яка ідентифікована або може бути ідентифікована будь-яким можливим способом. Для визначення факту ідентифікації особи слід враховувати всі можливі засоби для ідентифікації зазначеної особи.
Тому, посилаючись на рішення КСУ від 20.01.2012 р. №2-рп/2012, ДСЗПД рекомендує відомості або сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована, що знаходяться у візитниці, адресній книзі електронної пошти підприємства і списку контактів мобільного телефону, відносити до визначення «персональні дані» фізособи.
З цим висновком погодитися доволі складно, оскільки він викликає більше запитань, ніж дає відповідей.
По-перше, зверніть увагу на те, що з урахуванням визначення терміна «персональні дані», зазначеного у Законі №2297, все-таки законодавець чітко не визначив перелік і структуру персональних даних, їх зміст. Правда, КСУ і Мін'юст роз'ясненням від 21.12.2011 р. внесли деяку ясність у зміст персональних даних, що підлягають захисту. З роз'яснення випливає, що персональні дані про працівника обмежуються даними, наданими при підписанні трудового договору або при оформленні працівника за заявою. Заборону на обробку деяких даних установлено в ч. 1 ст. 7 Закону №2297 і визначено рішенням КСУ.
Водночас слід зважити, що згідно з ч. 3 ст. 6 Закону №2297 склад і зміст персональних даних повинні відповідати меті їх обробки. При цьому мета обробки персональних даних формулюється в документах володільця бази даних. А обсяг таких даних все-таки визначається володільцем бази і самим суб'єктом персональних даних.
I тут постає запитання: яким чином треба врахувати у складі обсягу персональних даних дані, сформульовані у візитниці, у списку електронної пошти працівника (суб'єкта персональних даних)? Ну вже про список контактів мобільного телефону, яким користується працівник, навіть якщо такий телефон і «сімка» належать юрособі, взагалі складно говорити. Незрозуміло, чи слід такий підхід держслужбі розуміти як формування окремих баз даних?
По-друге, якщо уважно подивитися на зміст більшості візиток, то всі дані, що дозволяють ідентифікувати особу на візитці, — це дані юрособи, а не фізособи, навіть якщо вона працівник (за винятком ПIБ). Те саме стосується і списку електронної пошти — пошта знаходиться, як правило, на сервері юрособи. Про захист таких даних Закон №2297 взагалі не згадує.
По-третє, захисту згідно із законом підлягають відомості про фізособу, які надані юрособі з метою обробки цих даних. Дані електронної пошти, візитниці і мобільного телефону (в даному випадку йдеться про телефон, наданий у користування працівникові) мають абсолютно іншу природу і захищаються іншим законом — Законом про інформацію, оскільки мають прямий стосунок до госпдіяльності такої юрособи, а не до його працівника.
Ми цілком підтримуємо прагнення держорганів якомога докладніше роз'яснити положення Закону №2297 і з нетерпінням чекаємо від них чергових роз'яснень, але все-таки хотілося б виконувати вимоги Закону так, щоб не загнати його суб'єктів у юридичний колапс.
Наталія КАНАРЬОВА, «Дебет-Кредит»