Захист персональних даних в Україні

З 01.01.2011 року набирає чинності Закон України «Про захист персональних даних», певні положення якого можуть вплинути на ведення бізнесу.

 У зв’язку з цим ми раді представити Вам основні положення зазначеного акта, які так чи інакше пов’язані зі здійсненням підприємницької діяльності в Україні.

  Щодо сутності бази персональних даних

 Закон визначає, що базою персональних даних є іменована сукупність упорядкованих персональних даних, тобто відомостей, які надають можливість ідентифікувати фізичну особу, в електронній формі або у формі картотек персональних даних[1].

 Бази персональних даних стосуються виключно фізичних осіб; до їх числа можна віднести, зокрема:

 -         бази клієнтів-фізичних осіб;

-         бази партнерів-фізичних осіб;

-         бази працівників;

-         бази боржників-фізичних осіб;

-         інші бази, які надають можливість ідентифікувати фізичних осіб.

  Щодо охорони баз персональних даних

 Закон визначає, що персональні дані за режимом доступу є інформацією з обмеженим доступом[2]. Це означає, зокрема, що особа, яка здійснює обробку (в тому числі збирання, зберігання, використання поширення тощо) баз персональних даних повинна забезпечити адекватну охорону таких баз від несанкціонованого доступу третіх осіб.

 В загальному порядку обробка баз персональних даних може здійснюватися виключно за згоди фізичних осіб, персональні дані про яких містяться у відповідній базі[3]. Разом із тим, зазначена згода може бути надана не тільки у письмовій формі, але й будь-яким іншим шляхом, який забезпечує її документування (зокрема, шляхом реєстрації на веб-сайті тощо)[4].

 Відомості, які мають статус персональних даних, повинні бути точними та достовірними, у разі необхідності – оновлюватися, а також бути відповідними та не надмірними у відповідності до мети їх обробки[5]. При цьому зазначені цілі повинні бути конкретними та відповідати законові, а у разі їх зміни особа, яка здійснює обробку бази персональних даних (володілець бази) повинен поновити згоду фізичної особи на обробку[6].

  Щодо державного регулювання

 Закон встановлює[7], що після затвердження положення про відповідний державний реєстр та порядку його ведення кожна база персональних даних повинна буде пройти державну реєстрацію у Державній службі з питань захисту персональних даних[8]. Така реєстрація буде здійснюватися шляхом направлення повідомлення із зазначенням:

 -         інформації про володільця;

-         найменування і місцезнаходження бази;

-         мети оброблення;

-         інформації про інших осіб, які мають право на її обробку;

-         підтвердження зобов’язань щодо виконання вимог закону щодо захисту персональних даних.

  Володілець бази/уповноважена ним особа буде зобов’язаний повідомляти зазначений орган про кожну зміну реєстраційних відомостей протягом 10 робочих днів [9] . Так, наприклад, зазначене повідомлення буде вимагатися у разі реорганізації юридичної особи, продажу бізнесу, залучення аутсорсингового управлінця тощо.

 Крім того, створено окремий контролюючий орган (Державну службу з питань захисту персональних даних), який, зокрема, буде мати повноваження щодо[10]:

 -         здійснення контролю за додержанням вимог законодавства у цій сфері із отриманням від суб’єктів безперешкодного доступу до інформації, пов’язаної з обробкою персональних даних, та приміщень, де здійснюється така обробка;

-         видання обов’язкових до виконання вимог (приписів) про усунення порушень законодавства у сфері захисту персональних даних.

  Щодо використання баз персональних даних

 Використання баз персональних даних за загальним правилом здійснюється за наявності згоди фізичних осіб, щодо яких сформована відповідна база[11]. Разом із тим, володілець бази вправі передати належну йому базу для використання третій особі (розпоряднику бази персональних даних) за письмовим договором[12].

 Використання відповідних даних працівниками володільця (розпорядника) баз персональних даних повинно здійснюватися тільки відповідно до їх посадових, службових або трудових обов’язків. З огляду на це відповідні повноваження необхідно закріплювати у трудовому договорі (контракті), наказі про прийняття на роботу або окремому наказі по підприємству.

  Щодо взаємодії володільця баз із фізичними особами

 Володілець бази персональних даних після включення до бази персональної інформації про певну фізичну особу (крім збирання інформації із загальнодоступних джерел) повинен протягом 10 робочих днів надати їй письмове повідомлення про[13]:

 -         її права, визначені Законом «Про захист персональних даних»;

-         мету збору даних про неї;

-         осіб, яким передаються дані про неї.

 Таке повідомлення може вимагатися, наприклад, від роботодавця після прийняття на роботу тощо.

 При цьому, зокрема, у разі припинення правовідносин між володільцем бази даних та відповідною фізичною особою (наприклад, розірвання трудового договору, припинення клієнтських або партнерських відносин, погашення боргу тощо) персональні дані про таку фізичну особу повинні бути вилучені з належної володільцю бази[14].

 У разі здійснення передачі персональних даних про певну фізичну особу із бази (крім певних винятків, визначених законом) володілець бази повинен протягом 10 робочих днів повідомити таку особу про це[15]. Аналогічне повідомлення здійснюється також у разі зміни, знищення або обмеження доступу до бази[16].