ул. Александра Довженка,
дом 2
, оф. 41, г. Киев, 03057
Украина
+380 (44) 456-08-22

Обработка персональных данных: юридический аспект



В продолжение статьи об особенностях регистрации баз персональных данных предлагаем исследовать вопрос юридического сопровождения деятельности компаний относительно обработки баз персональных данных.

В понимании Закона Украины « О защите персональных данных» обработка определяется как любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны с собиранием, регистрацией, накоплением, хранением, адаптацией, изменением, возобновлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением ведомостей о физическим лице

 

 

Проводя анализ юридического аспекта такой обработки следует выделить следующие правовые режимы баз персональных данных.
 

Сбор и накопление

 

Сбор и накопление – это действия из подбора, объединения, упорядочения и систематизации ведомостей о физическом лице или группе физический лиц и внесения их в базы персональных данных.

Отличие между собиранием и накоплением состоит лишь в том, что при накоплении информация уже имеется у лица, например, накоплением является объединения двух баз в одну. Согласно ч. 2 ст. 12 Закона субъекту персональных данных на протяжении десяти рабочих дней со дня включения его персональных данных в базу персональных данных сообщается о:

  • правах, определенных этим Законом;
  • цели сбора данных и;
  • лицах, которым передаются его персональные данные

Соответствующая статья предусматривает обязанность сообщать лишь в случае сбора информации, вместо того в норме, которая устанавливает порядок накопления, обязанность сообщать в определенные сроки не определена. Вместо того, ч. 6 ст. 6 Закона определено, что не допускается обработка, в том числе накопление данных о физических лицах без их согласия

Поэтому при получении такого согласия следует определять не отдельные действия относительно персональной информации, а определять согласие на обработку. В случае изменения законодательства у вас не будет потребности дополнительно получать согласие на другие действия, ведь лицо предоставило согласие на любые действия, в том числе на обработку го персональных данных.

Кроме того, следует помнить, что персональные данные в понимании ч. 2 ст. 21 ЗУ « Об информации» являются конфиденциальной информацией. Согласно ст. 182 Уголовного кодекса Украины незаконный сбор, хранение, использование или распространение конфиденциальной информации о лице без его согласия или распространение этой информации в публичном выступлении, произведении, которое публично демонстрируется, или в средствах массовой информации наказываются штрафом до пятидесяти необлагаемых минимумов доходов граждан или исправительными роботами на срок до двух лет, или арестом на срок до шести месяцев, или ограничением воли на срок до трех лет

Это еще один аргумент относительно необходимости получения согласия на сбор и накопление такой информации
 

Хранение

 

По определению ч. 2 ст. 13 Закона под хранением персональных данных следует понимать действия по обеспечению их целостности и соответствующего режима доступа к ним. В предыдущих редакциях ст. 14 ЗУ « Об информации» хранение предусматривало также обеспечение надлежащего состояния материальных носителей информации (магнитных, лазерных и других носителей информации).

На сегодняшний день такой обязанности у владельцев баз персональных данных нет, а потому можно говорить об отсутствии ответственности в случае потери носителей информации. Это важно в случае хранения информации с использованием отдаленных носителей информации и с привлечением третьих лиц к хранению такой информации (сloud storage, virtual server и др.).
 

Адаптация

 

Вопреки тому, что Законом определена такая форма обработки как адаптация, раскрытие содержания адаптация Закон не содержит. Понятие адаптация мы также не найдем в других нормативно-правовых актах. Из общего понимания, адаптацией является изменение базы данных, которое осуществляется исключительно с целью обеспечения функционирования базы данных на конкретных технических средствах пользователя или под управлением конкретных программных продуктов пользователя. Например, переведение картотек в электронную базу данных можно рассматривать как адаптацию. Переведение базы данных с одной электронной формы существования в другую также является адаптацией (пример Microsoft Office Access, Mysql, Postgresql и др.)
 

Изменение и дополнение

 

Одним из важных условий правомерности обработки баз персональных данных является обеспечения юридического оформления внесения изменений и уничтожение баз данных или конкретных данных.
Законом определено несколько возможных случаев изменения и дополнения баз данных:

  • по требованию лица, чьи данные содержатся в базе данных;
  • по требованию компетентных органов и суда;
  • по собственной инициативе;
  • во исполнение требования ч. 2 ст. 6 Закона в случае необходимости обновления персональных данных.

Согласно ч. 3 ст. 21 Закона в случае изменения или уничтожения персональных данных владелец базы персональных данных на протяжении десяти рабочих дней сообщает субъекту персональных данных, а также субъектам отношений, связанных с персональными данными, которым эти данные было передано. Соответствующая обязанность возникает в случае изменения персональных данных, как по требованию лица, или компетентных органов, так и в случае изменения по собственной инициативе. Таким образом, на владельца возложена обязанность отчитаться перед лицу о выполнении его требования

Кроме изменений относительно содержания информации может возникать необходимость обновления определенных персональных данных. Обновление может касаться как идентифицирующих ведомостей (Ф. И. О., идентификационный номер, номер паспорта, дата рождения), так и информации, которая опосредованно содействует идентификации. Примером такой информации может стать название улицы проживания. Довольно часто изменяется наименования улиц, в таком случае обновления такой информации является обязанностью владельца базы. По нашему убеждению, разрешение на такое обновление не нужно. Во избежание лишних недоразумений во внутреннем Положении об обработке персональных данных следует детально определить порядок такого обновления
 

Уничтожение

 

Одной из детально урегулированных форм обработки является также уничтожения информации. Законом предусмотрено не только право лица требовать уничтожения информации, но и право на получение информации о факте такого уничтожения

Согласно ч. 2 ст. 15 Закона персональные данные в базах персональных данных подлежат уничтожению в случае истечения срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом. При получении согласия на обработку персональной информации следует определить срок хранения данных. Рекомендуем определить длительный срок или определить бессрочность хранения такой информации. Следует помнить, что относительно некоторых категорий информации законодательством определены сроки их хранение

На наш взгляд, проблемным остается вопрос уничтожение информации по требованию лица. Согласно ч. 3 ст. 15 Закона персональные данные, собранные с нарушением требований этого Закона, подлежат уничтожению в базах персональных данных в установленном законодательством порядке. Таким образом, безоговорочное уничтожение должно быть осуществлено в случае, если не было согласия на сбор такой информации

Согласно п. 6 ч. 2 ст. 8 Закона субъект персональных данных имеет право представлять мотивированное требование относительно изменения или уничтожения своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными. На данное время, законодательством не определено, каким образом должна быть установлена недостоверность информации. Гражданским кодексом Украины определен порядок опровержения недостоверной информации, которая была распространена о лице. В понимании Закона о персональных данных прямое применение соответствующего порядка не является правильным. Согласно ч. 1 ст. 14 Закона распространение персональных данных предусматривает действия по передаче ведомостей о физическом лице из баз персональных данных по согласию субъекта персональных данных. Итак, в случае хранения информации без распространения (распространением, реализацией, передачей) применять положение ст. 277 Гражданского кодекса Украины можно лишь по аналогии. Следует помнить, что если суд применит соответствующую аналогию, то в соответствии с ч. 3 ст. 277 Гражданского кодекса Украины негативная информация, распространенная о лице, считается недостоверной, если лицо, которое его распространила, не докажет противоположное, так называемый принцип «презумпции недостоверности».

Итак, в случае, если владелец получил согласие на сбор таких данных, требование лица об уничтожении такой информации может быть оставлено без рассмотрения к принятию решение суда

В случае уничтожения владелец обязан на протяжении 10 календарных дней известить субъекта персональных данных.

Следует также выяснить вопрос относительно права владельца на уничтожение персональных данных без согласия лица. Согласно п. 7 ч. 2 ст. 8 Закона субъект персональных данных имеет право на защиту своих персональных данных от уничтожения. Возвращаясь к ч. 5 ст. 6 Закона можно констатировать, что уничтожение без согласия лица также будет считаться нарушением законодательства. Однако законодательством не предусмотренная юридическая ответственность за уничтожение персональных данных без согласия субъекта персональных данных.


Вверх