Зміни у сфері захисту персональних даних
(Коментар до Закону України "Про внесення змін до Закону України "Про захист персональних даних" від 20.11.12 р. № 5491-У І, далі — Закон № 5491)
Справжній подарунок під новорічною ялинкою знайдуть усі учасники відносин у сфері захисту персональних даних. Вони отримали від Верховної Ради України Закон № 5491-УІ. що набрав чинності 20.12.12 р. Понад півроку долав він тернистий шлях задля усунення вад Закону України "Про захист персональних даних" від 01.06.10 р. № 2297-УІ (далі -Закон про ЗПД). Ми оцінимо, наскільки це йому вдалося.
Насамперед зазначимо, що зміни торкнулися чи не кожної статті Закону про ЗПД. Тож
почнемо зі сфери його дії. Якщо раніше норми Закону про ЗПД поширювалися лише на відносини, пов'язані зі створенням баз персональних даних (далі — БПД) та обробкою персональних даних у цих базах, то тепер під покровомЗакону про ЗПД перебувають усі відносини, що хоча б якоюсь мірою стосуються захисту та обробки персональних даних.
Незалежними від дії Закону про ЗПД залишилися фізособи, які обробляють персональні дані для своїх особистих чи побутових потреб. Творчі та літературні працівники, до когорти яких зарахували й журналістів, також не підпорядковуються Закону про ЗПД. Але й тут не обійшлося без сюрпризів: умова для такого звільнення — баланс між їхнім правом на невтручання в особисте життя та правом на самовираження. Зрозуміло, цей критерій вважається оціночним, що розмиває прикордонні межі поширення Закону про ЗПД.
Одне з найважливіших нововведень — зміна форми згоди суб'єкта персональних даних. Тепер згоду можна виразити не тільки в письмовій, а й "у формі, що дає змогу зробити висновок про її надання". Тож клопіт, пов'язаний із унесенням у договори положень про згоду на обробку персональних даних (наприклад, підприємців), перетворився на сізіфову працю — безрезультатну трату часу. Адже вирішити, що згоду надали, можна на підставі, приміром, підписаного договору — фіксація в його реквізитах персональних даних сторони договору доводить: вона не заперечувала проти їх обробки. Отже, згода надана в усній формі або у формі конклюдентних дій. Звісно, це створює відчутне полегшення для володільців баз
персональних даних.
Зміна сфери дії Закону про ЗПД спричинила ланцюгову реакцію метаморфоз із визначеннями, якими оперують у сфері захисту персональних даних. Зокрема, тепер обробкою вважають будь-які дії або
сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна,поновлення,використання й поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, зокрема з використанням інформаційних (автоматизованих) систем (абз. 8 ст. 2 Закону про ЗПД). Раніше обробкою вважали ці ж дії, але вчинені в інформаційній (автоматизованій) системі та/або в картотеках персональних даних.
Ще одна цікавинка: головоломку про те. що ж таке картотека, нарешті вирішено. Законодавці озвучили її визначення. Картотека — будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами (абз. 7 ст. 2 Закону про ЗПД)
Змінилась й вивіска в деяких суб'єктів відносин, пов'язаних із персональними даними. Тепер їх іменуватимуть володільцем та розпорядником персональних даних (не залишилося жодного натяку на бази персональних даних).
Коло персональних даних, обробку яких заборонено, поповнили відомості про звинувачення в скоєнні злочину або засудження до кримінального покарання.
А зараз найважливіша інформація для суб'єктів персональних даних: їхні права суттєво розширено та деталізовано. Зокрема, їм додатково надано право:
— обґрунтовано заперечувати проти обробки їхніх персональних даних володільцем персональних даних. Таким правом вони володіли й раніше, але з обмовкою, що обробку даних
здійснюють органи держвлади, органи місцевого самоврядування під час здійснення їхніх
повноважень, передбачених законом;
— звертатися зі скаргами на обробку своїх персональних даних до суду, а також до органів
держвлади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних. Раніше Закон про ЗПД прямо не передбачав судового захисту прав суб'єктів персональних даних;
— уносити застереження стосовно обмеження права на обробку своїх персональних даних
під час надання згоди;
— відкликати згоду на обробку персональних даних ;
— знати механізм автоматичної обробки персональних даних;
— на захист від автоматизованого рішення, яке має для нього правові наслідки.
Не обійшлося й без радісних новин для володільців персональних даних. З них зняли обов'язок реєструвати бази персональних даних, ведення яких пов'язане із забезпеченням та реалізацією трудових відносин, а також членів громадських, релігійних організацій, професійних спілок, політичних партій (ч. 2 ст. 9 Закону про ЗПД). Проте цим відомостям однаково потрібно забезпечити відповідний захист.
========================
Важливо !
Володільців персональних даних звільнено від обов'язку реєстрації баз персональних даних:
— ведення яких пов'язано із забезпеченням та реалізацією трудових відносин;
— членів громадських, релігійних організацій, професійних спілок, політичних партій.
========================
Імовірно, що володільці персональних даних, які надіслали Державній службі України
з питань захисту персональних даних (далі — ДСЗПД) заяви про реєстрацію БПД щодо працівників та досі не отримали свідоцтва про держреєстрацію БПД, можуть і не мріяти про його отримання.
Подаючи заяву про реєстрацію бази персональних даних, володільцям персональних даних доведеться вказувати додаткову інформацію. Зокрема, перелік інгредієнтів цієї заяви поповнить інформація про склад персональних даних, які обробляються; про третіх осіб, котрим передаються персональні дані; про транскордонну передачу персональних даних (ч. З ст. 9 Закону про ЗПД).
ДСЗПД тепер не повідомлятиме володільцю персональних даних про отримання нею заяви про реєстрацію бази персональних даних. Збільшено час і на прийняття ДСЗПД рішення про реєстрацію БПД до ЗО робочих днів із дня надходження заяви. Хоча, ніде правди діти, це швидше формальність, адже сумнівно, щоб і в зазначений строк ДСЗПД могла справлятися з таким обсягом роботи з реєстрації БПД.
Суттєво зріс і перелік підстав для обробки персональних даних. До вже існуючих згоди суб'єкта персональних даних та дозволу, наданого володільцю відповідно до закону, долучили укладення та виконання правочину, стороною якого виступає суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних; захист життєво важливих інтересів суб'єкта персональних даних, а також необхідність захисту законних інтересів володільців персональних даних, третіх осіб.
В останній підставі вбачаємо певне обмеження прав суб'єкта персональних даних та поступовий перехід від презумпції необхідності завжди отримувати дозвіл на обробку персональних даних до презумпції згоди суб'єкта персональних даних на їхню обробку.
========================
Зверніть увагу!
Оновлено підстави для обробки персональних даних: згода суб'єкта персональних даних; дозвіл, наданий володільцю персональних даних відповідно до закону; укладення та виконання правочину; захист життєво важливих інтересів суб'єкта персональних даних та необхідність захисту інтересів володільців персональних даних.
========================
Якщо персональні дані планують передати іноземним суб'єктам відносин, то для цього існують окремі підстави. Насамперед відповідна держава має забезпечити належний захист персональних даних. Закон про ЗПД автоматично зараховує до держав, які апріорі його забезпечують, держави — учасниці Європейського
економічного простору та ті, що підписали Конвенцію (ч. З ст. 29). Перелік інших визначає Кабмін.
Також підставами для цього є однозначна згода суб'єкта персональних даних на таку передачу; необхідність укладення чи виконання правочину між володільцем персональних даних та третьою особою — суб'єктом персональних даних на користь суб'єкта персональних даних; захист життєво важливих інтересів суб'єктів персональних даних; захист суспільного інтересу, встановлення, виконання та забезпечення правової вимоги; надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте й сімейне життя суб'єкта персональних даних (ч. 4 ст. 29 Закону про ЗПД).
Зазначимо й те, що право суб'єкта персональних даних визначати умовами своєї згоди обсяг персональних даних, які можуть включити до бази персональних даних, трансформувалося більш широке — обмежувати право на обробку даних не лише в БПД. До того ж його підсилила норма про те, що склад та зміст персональних даних мають бути "відповідними, адекватними та ненадмірними" стосовно визначеної мети їх
обробки (ч. З ст. 6 Закону про ЗПД).
У разі зміни вже визначеної мети обробки персональних даних отримувати нову згоду суб'єкта персональних даних на обробку його даних відповідно до нової зміненої мети потрібно лише тоді, коли нова мета обробки несумісна з попередньою (абз. З ч. 1 ст. 6 Закону про ЗПД).
Коментований Закон змінив також і процедуру збору персональних даних. Зокрема, суб'єкта персональних даних треба повідомити в момент збору персональних даних (якщо підстава — згода суб'єкта персональних даних) або протягом десяти днів із дня збору персональних даних (коли збір здійснено з інших підстав) про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб'єкта, визначені Законом про ЗПД, мету збору персональних даних та осіб,
яким передаються його персональні дані (ч. 2 ст. 12 Закону про ЗПД). А положення про те, що повідомляти суб'єкта персональних даних не потрібно, коли дані зібрано із загальнодоступних джерел, кануло в Лету. Крім цього, усунуто вимогу про повідомлення цих відомостей виключно в письмовій формі. Тож це повідомлення тепер можна здійснювати усно тощо.
Не слід також очікувати на порядок обробки персональних даних, які належать до банківської таємниці, який мав затвердити Національний банк України. Зазначена норма зникла з тексту Закону про ЗПД. Можливо, це зумовлено тим, що виконавча дирекція Фонду гарантування вкладів фізичних осіб уже затвердила Порядок обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб (рішення від 12.07.12 р. № 9).
Отже, у новій редакції Закон про ЗПД — як нова копієчка. Усім суб'єктам відносин, пов'язаних із персональними даними, залишається на власному досвіді випробувати його життєздатність.
Любава Стефанюк
юрист
Немає коментарів:
Дописати коментар