Сфера захисту
Якщо представник контрагента підписує договір, це свідчить про його згоду на обробку персональних даних
Зміни до закону «Про захист персональних даних», що набули чинності 20.12.2012, спричинять зміни в обробці таких даних. Зокрема, розширюється перелік прав суб’єктів і повноважень Державної служби з питань захисту персональних даних, з’являються нові підстави для їх обробки. Крім того, змінами чітко врегульовані питання передачі персональних даних за кордон. Що ж це означає на практиці?
«Письмове» зникнення
Найбільш значною й позитивною зміною, яка повинна спростити суб’єктам господарської діяльності порядок обробки персональних даних, є зміна отримання згоди на їх обробку. З визначення зникла обов’язкова письмова форма, яка до набуття чинності змінами трактувалася не інакше як «викладена на папері, письмова форма» (це створювало силу-силенну практичних труднощів для суб’єктів ринку). Згідно з новим визначенням «згода суб’єкта персональних даних — добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання».
Що це означає на практиці? Фактично на сьогодні достатньо згоди суб’єкта, даної в електронній формі або шляхом проставляння галочки на сайті компанії, за умови наявності достатніх ресурсів/засобів для зберігання таких електронних документів у незмінному вигляді, щоб у подальшому можна було довести, що згоду було дано.
Прикладом іншої форми давання згоди можуть бути конклюдентні дії суб’єкта персональних даних, тобто дії особи, що виявляють її волю встановити певні правовідносини, але не у формі усного або письмового волевиявлення, а у вигляді поведінки, з якої можна зробити висновок про такий намір. Наприклад, якщо представник контрагента підписує договір, це автоматично свідчить про те, що підписант згоден з тим, що його дані оброблятимуться компанією-контрагентом. У такому разі немає необхідності отримувати окрему згоду на обробку персональних даних особи.
Важливо розуміти, що відміна обов’язкової письмової згоди суб’єкта персональних даних не знімає інших передбачених законом зобов’язань із власника персональних даних. Так, обов’язковим елементом згоди, даної в будь-якій формі, є поінформованість суб’єкта. Тому він у момент збору персональних даних повинен бути повідомлений про те, хто є власником персональних даних, а також про їх склад і зміст, про свої права, цілі обробки та про осіб, яким передаються його персональні дані.
Доповнення до заяви
Спосіб реєстрації персональних даних залишається тим самим — шляхом подання заяви встановленого зразка в Державну службу з питань захисту персональних даних. Заяву доповнили графою, в якій, крім іншого, необхідно вказувати третіх осіб, яким передаватимуться персональні дані. З огляду на визначення третіх осіб вказана вимога з практичного погляду нездійсненна, тому видається доцільним розробити службову інструкцію про порядок заповнення заяви.
Єдиний виняток становить відміна обов’язку володільця персональних даних реєструвати базу персональних даних, ведення якої пов’язане із забезпеченням і реалізацією трудових відносин, а також членів громадських, релігійних організацій, професійних спілок, політичних партій. У цьому випадку це не звільняє її володільця від усіх інших обов’язків, пов’язаних з обробкою та захистом персональних даних, передбачених законом (наприклад, від розроблення й затвердження положення про захист персональних даних, визначення чіткої мети їх обробки).
Розширення прав і підстав
Згідно з редакцією закону, що діяла раніше, для обробки персональних даних було передбачено всього дві підстави: згода суб’єкта й підстави, передбачені в законі. Після набуття чинності змінами додалися нові підстави:
«3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено… для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
4) захист життєво важливих інтересів суб’єкта персональних даних (таку підставу важко застосувати у звичайній бізнес-практиці, оскільки немає чіткого визначення, що мається на увазі. — С.М.);
5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес» (типовим прикладом такої підстави може бути звернення власника персональних даних до суду з позовом до суб’єкта персональних даних за захистом своїх законних інтересів. — С.М.).
Розширився перелік прав суб’єктів персональних даних за рахунок додавання прав на:
внесення застережень стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
викликання згоди на обробку персональних даних;
знання механізму автоматичної обробки персональних даних;
захист від автоматизованого рішення, яке має для нього правові наслідки.
Транскордонна передача
Чіткіше врегульовані питання передачі персональних даних за кордон. Передача персональних даних іноземним суб’єктам відносин, пов’язаним з персональними даними, здійснюється тільки за умови забезпечення відповідності державою належного захисту персональних даних у випадках, установлених законом або міжнародним договором України.
Згідно із законом «держави — учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних». Перелік таких країн визначає КМ.
Слід звернути увагу на те, що всі інші країни на даний момент автоматично не вважається такими, що забезпечують належний рівень захисту персональних даних. Тому останні можуть «передаватися іноземним суб’єктам відносин, пов’язаних з персональними даними, у разі:
1) надання суб’єктом персональних даних однозначної згоди на таку передачу;
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою — суб’єктом персональних даних на користь суб’єкта персональних даних;
3) необхідності захисту життєво важливих інтересів суб’єктів персональних даних;
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;
5) надання володільцем персональних даних відповідних гарантій невтручання в особисте і сімейне життя суб’єкта персональних даних».
Застосування щодо вказаних умов може також спричинити деякі труднощі на практиці, оскільки саме володілець персональних даних у разі спірної ситуації повинен буде довести, що одна з умов мала місце. При цьому з огляду на неофіційні заяви представників Державної служби з питань захисту персональних даних виконання тільки першої умови (надання однозначної згоди суб’єкта персональних даних) не досить для транскордонної передачі персональних даних у ті країни, які не вважаються такими, що забезпечують належний рівень захисту персональних даних. Для його забезпечення служба рекомендує укладати договори між володільцем бази персональних даних (експортером) і суб’єктом правовідносин у сфері персональних даних з-поміж країн, які згідно із законом не є такими, що забезпечують належний рівень захисту персональних даних, — імпортером таких даних. У договорі мають бути закріплені права й обов’язки кожної зі сторін щодо обробки передаваних персональних даних.
Практичні рекомендації
Найважливіші повноваження, які з’явились у служби після внесення до закону змін, полягають у наданні рекомендацій, що стосуються практичного застосування законодавства про захист персональних даних, і затвердженні корпоративних кодексів поведінки, які можуть розроблятися професійними об’єднаннями (наприклад профільними асоціаціями).
Учасникам юридичного ринку рекомендується переглянути свою внутрішню політику у сфері захисту персональних даних і розробити супутні документи (шаблони згоди суб’єкта персональних даних, повідомлення тощо) з метою спрощення деяких процесів, а також детальнішого врегулювання питань транскордонної передачі персональних даних відповідно до закону.
Світлана Малиновська - старший юрист AO Arzinger