Кому потрібно зареєструвати персональні бази даних?

1 січня 2011 року набрав чинності Закон України «Про захист персональних даних» № 2297-VI (надалі — Закон). Даний закон був покликаний регулювати відносини, пов’язані із захистом персональних даних під час їх обробки, натомість же привніс плутанину і невизначеність.

Особливу стурбованість та занепокоєння цей Закон викликав у власників пошукових сервісів, соціальних мереж, популярних блогів тощо, адже у них зберігається значна кількість інформації про тисячі та мільйони користувачів, яких ця інформація дозволяє ідентифікувати. Отже, постає питання чи потрібно їх власникам реєструвати відповідні бази персональних даних, а також які відомості про фізичних осіб в сукупності являють собою базу персональних даних, яка обов’язково повинна реєструватись як база персональних даних.

Для початку необхідно визначити, що являє собою база персональних даних, які саме дані підпадають під визначення особисті?

Виходячи із загального визначення «бази персональних даних», передбаченого в ст. 2 Закону, база персональних даних характеризується наступним:

—  містить персональні дані;

—  є впорядкованою (структурованою) й іменною сукупністю персональних даних;

—  створена у формі картотеки або в електронній формі.

Також, враховуючи положення ч.1, ч. 3, ч. 5 ст. 6 Закону можна виділити ще одну ознаку «бази персональних даних» — певна мета (цілі) обробки персональних даних, які містяться в ній.

Крім цього, слід звернути увагу на те, що згідно Закону персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Таке ж визначення персональних даних фізичної особи передбачене в чинному Законі України «Про інформацію», а саме в ч. 1 ст. 11.

Виходячи із зазначеного визначення, можна зробити висновок, що поняття «база персональних даних» охоплює будь-яку структуровану сукупність персональних даних. При цьому, як ми розуміємо, властивість «структурованості» бази передбачає наявність в конкретній базі даних інформації про двох або більше суб’єктів (тобто наявність множинності суб’єктів), встановлення певних критеріїв розташування даних і, в зв’язку з цим, пов’язане з можливістю проводити по ній пошук (вручну або автоматично) з метою ознайомлення з конкретними персональними даними особи.

Окрім цього, слід пам’ятати, що Закон також передбачає отримання дозволів суб’єкта персональних даних, необхідних для здійснення дій з персональними даними, зокрема:

• при отриманні даних;

• при внесенні персональних даних до бази (розміщення);

• при поширенні, передачі даних третім особам;

• при знищенні бази даних;

• при зміні цілей обробки персональних даних.

Так, згідно з абз. 5 ч. 1 ст. 2 Закону, «згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки».

Ознака ж єдиної певної мети обробки даних дозволяє зробити висновок, що випадковий список осіб та даних про таких осіб, що зберігається без певної мети (наприклад, в ящику стола), хоча й містить персональні дані, проте навряд чи підпадає під поняття «база персональних даних». Крім цього, номери, які містяться в телефонах, також не будуть вважатись базою персональних даних, адже записані вони, як правило, без певної єдиної мети.

Таким чином, якщо за цією ознакою бази персональних даних одних можна звільнити від обов’язку її реєстрації, то підприємствам або фізичним особам-підприємцям все-таки доведеться зареєструвати хоча б одну базу персональних даних – базу персональних даних працівників, яка в даному випадку має за ціль забезпечення реалізації трудових відносин на підприємстві.

Згідно ч. 1 ст. 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення (ч. 2 цієї ж статті).

Для реєстрації бази персональних даних уповноваженому державному органу з питань захисту персональних даних подається заява встановленого зразка.

В ч. 3 ст. 9 Закону зазначено, що заява про реєстрацію бази персональних даних подається володільцем  (власником?) бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.

Існує багато компаній, в яких головна компанія (власник) знаходиться за кордоном. Як тоді бути? Треба зазначити, що компанія (дочірнє підприємство, представництво, філія тощо), яка знаходиться на території Україні та здійснює свою діяльність відповідно до чинного законодавства України, повинна зареєструвати відповідну базу персональних даних саме в Україні. До речі, як володільця своєї бази персональних даних така компанія може вказати як себе, так і головне підприємство. Але слід зауважити, якщо володільцем зазначається компанія-нерезидент, то він повинен видати довіреність на особу, яка буде подавати документи на реєстрацію бази персональних даних. Адже довіреність надається саме від володільця.

Не менш важливим залишається наступне питання: на кого ж дія даного Закону не поширюється?

Відповідно до ч. 2 ст. 1 Закону дія Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:

  • фізичною особою — виключно для непрофесійних особистих чи побутових потреб;
  • журналістом — у зв’язку з виконанням ним службових чи професійних обов’язків;
  • професійним творчим працівником — для здійснення творчої діяльності.

Тобто, на всіх інших дія даного Закону поширюється, тим самим на них покладається обов’язок до кінця 2011 року зареєструвати свої бази персональних даних. Адже 1 січня 2012 року вступають в силу зміни до Закону, які передбачають відповідальність за не подання заявки на реєстрацію бази персональних даних.

Як тоді бути власникам пошукових сервісів, соціальних мереж і тим же блогерам, адже у них міститься значна кількість інформації про тисячі користувачів?

Згідно зі ст.1 Закону України «Про професійних творчих працівників та творчі спілки» від 07 жовтня 1997 року професійний творчий працівник – особа, яка провадить творчу діяльність на професійній основі, результатом якої є створення або інтерпретація творів у сфері культури та мистецтва, публічно представляє такі твори на виставках, шляхом публікації, сценічного виконання, кіно-, теле-, відеопоказу тощо та/або є членом творчої спілки, та/або має державні нагороди за діяльність у сфері культури і мистецтва.

Творча діяльність – індивідуальна чи колективна творчість, результатом якої є створення або інтерпретація творів, що мають культурну цінність.

Чи відносяться блогери до професійних творчих працівників?

Блогом вважається певний різновид сайту, що час від часу наповнюється текстом та мультимедійною інформацією. Блогер – людина, що веде блог. Найчастіше блоги розподіляють за тематикою – персональні, в яких головним чином ведуться записи про особисте життя автора, його розповіді та спостереження, – та тематичні, де прослідковується чітка тематика, наприклад, блог про подорожі, книги, музику або політичний блог.

Та все ж таки блоги не виступають в якості ЗМІ і, відповідно, блогери не є журналістами, які виконують свої професійні та службові обов’язки, а тим більш блогер не є творчим працівником в розумінні Закону України «Про професійних творчих працівників та творчі спілки». Відповідно, якщо у них є інформація про фізичних осіб, яка являє собою персональні дані і вона є не загальновідомою, і якщо він використовує її з певною ціллю, то в такому випадку блогери повинні зареєструвати відповідну базу персональних даних.

Проаналізувавши норми Закону, можна стверджувати, що інтернет-компанії, які мають пошукові сервіси, повинні в порядку, передбаченому Законом, зареєструвати базу персональних даних. Як вже було зазначено, таким компаніям обов’язково потрібно зареєструвати базу персональних даних працівників. Що стосується інформації про користувачів, то тут немає однозначної відповіді. З однієї сторони, виходячи із норм Закону, вони повинні реєструвати базу персональних даних, а з іншої сторони це може дійти до абсурду.

Те ж саме стосується і соціальних мереж.

Наразі, це дуже цікаве і водночас складне питання, і тому ми змушені були звернутись за відповіддю до Державної служби України з питань захисту персональних даних. Потрапивши на прийом до спеціалістів даної служби, ми поцікавились: що на сьогоднішній день робити власникам соціальних мереж та пошукових сервісів? Чи потрібно реєструвати базу персональних даних, яка стосуватиметься користувачів?

На жаль, стиснувши плечима, нам ніхто не дав чіткої та однозначної відповіді. Тільки запропонували звернутись із запитом до Міністерства юстиції України, щоб ті надали офіційне роз’яснення.

Відповідно до Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних»  ухилення від державної реєстрації бази персональних даних — тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів  доходів  громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян.

Виходить, що за ухилення від реєстрації бази персональних даних відповідальність вже буде передбачена з 01.01.2012 року, але  навіть Державна служба України з питань захисту персональних даних, яка здійснює реєстрацію баз персональних даних до сьогодні не може чітко розмежувати, кому реєструвати бази, а кому ні.

Лилия Литвинец,

юрист Адвокатского объединения «Правовая группа «Доминион».

Один відгук на «Кому потрібно зареєструвати персональні бази даних?»

Ваш відгук:

Ім'я (обов'язково):
Пошта (обов'язково, не публікується):
Сайт:
Повідомлення (обов'язково):
XHTML: Ви можете використовувати наступні теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>