Дослідження: Ключ від таємниці
Сувора реальність змушує правників усе більше заглиблюватись у сферу захисту персональних даних, формуючи новий напрям юридичної практики
Захист персональних даних став топ-темою кінця 2011 року. І це не дивно, адже в державі з’явилася цілком нова, незрозуміла багатьом сфера законодавчого регулювання. Що таке персональні дані та «з чим їх їдять» — цього досі не можуть чітко пояснити ані науковці, ані держслужбовці. Точніше — пояснення є, але їх багато і всі вони різняться.
Добре забуте старе
При спостереженні за панічним напливом населення на «штаб-квартиру» Служби в листопаді-грудні минулого року, мимоволі спадала на думку відома всім народна мудрість: «Доки грім не вдарить…». Адже проблема захисту персональних даних постала перед суспільством аж ніяк не в 2011 році.
Якщо згадати положення Закону України «Про інформацію» (причому не нову редакцію, яка діє з травня минулого року, а ту, що була чинною ще з 1992-го), то можна помітити, що в статті 23 цього Закону у стислому вигляді міститься ті самі положення, що покладені в основу Закону України «Про захист персональних даних». Зокрема, визначено, що «основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров’я, а також адреса, дата і місце народження», встановлена заборона на збирання відомостей про особу без її попередньої згоди, передбачене право кожної особи на ознайомлення з інформацією, зібраною про неї.
Власне, Закон України «Про захист персональних даних» від 1 червня 2010 року № 2297 (Закон) був підписаний Президентом ще позаторік, але суспільного резонансу тоді не спричинив. Викликав він лише досить-таки кволу хвилю обговорень у середовищі юристів, яка швидко вщухла, адже на той час положення Закону були цілковито декларативними — не було ані «спеціально уповноваженого органу», ані «передбаченої законом відповідальності». Але за майже півтора року «підготовчого періоду» громадськість та бізнес так і не були підготовлені до правильного сприйняття Закону, що змусило парламентарів відтермінувати введення відповідальності до 1 липня 2012 року.
Цей час надавався не лише для того, щоб працівники Державної служби з питань захисту персональних даних (Служба) встигли обробити декілька мільйонів заяв на реєстрацію баз даних, які надійшли до них наприкінці минулого року, але й для вироблення єдиного, правильного уявлення про те, як саме законодавство про захист персональних даних має застосовуватися.
Конкретна ідентифікація
Перше яблуко розбрату приховане в самому визначенні поняття «персональні дані» (далі за текстом також ПД, а їхні бази — БПД). Як відомо, стаття 2 Закону встановлює, що «ПД — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Одразу помітна позитивна риса цього визначення — воно справді охоплює весь масив даних, які потребують захисту. Водночас впадає в око і риса негативна — складно знайти двох людей, які дійшли б згоди стосовно того, що таке «конкретна ідентифікація» та яким чином вона має/може/повинна відбуватися.
«Єдиним критерієм віднесення відомостей до ПД, який встановлений Законом, є те, що за їхньою допомогою фізична особа може бути ідентифікована», — слушно вказує на цей недолік старший юрист АК «Правочин» Сергій Дзюбенко.
Різні особи та структури мають різні можливості для ідентифікації особи. Доклавши зусиль, як правило, можна ідентифікувати особу навіть за IP-адресою комп’ютера, з якого ця особа здійснювала доступ до мережі Інтернет. За номером автомобіля можна ідентифікувати його власника. Так само — за номером паспорта, водійського посвідчення тощо. Але здійснити таку ідентифікацію здатні не всі і не завжди.
Пан Дзюбенко вважає, що за таких обставин в кожному випадку отримання відомостей про особу необхідно оцінювати можливість за їх допомогою ідентифікувати її та відповідно приймати рішення, чи є такі відомості персональними даними, які підлягають захисту згідно із Законом.
Зрозуміло, що власникам великих БПД доведеться розробити внутрішні механізми, за допомогою яких ті чи інші дані визнаються «персональними» або ні, і, відповідно, приймається рішення про реєстрацію/нереєстрацію бази таких даних або про включення/невключення таких даних до зареєстрованої бази.
Необхідний мінімум даних, які за звичайних обставин дозволяють ідентифікувати особу,— ось те, чого критично не вистачає Закону. «Ідентифікаційний мінімум», тобто мінімальний обсяг даних, достатній для ідентифікації конкретної особи, Законом не встановлюється, як і перелік ПД»,— зазначає юрист АО «Волков і Партнери» Маріанна Бек.
Керівник практики МПЦ EUCON, адвокат Євген Петренко звертає увагу на те, що у Директиві Європейського Союзу «Про захист осіб у зв’язку з обробкою персональних даних та переміщенням (передачею) таких даних» від 24 жовтня 1995 року (Директива ЄС), а саме: в абзаці 26 зазначено, «щоб визначити, чи є особа такою, що може бути конкретно ідентифікованою, до уваги необхідно брати всі можливі способи, які можуть застосовуватися як власником інформації, так і будь-якою третьою особою для ідентифікації зазначеної особи».
«Ідентифікація або гіпотетична можливість ідентифікації конкретної людини є ключовим критерієм», — вважає пан Євген. На думку адвоката, список прізвищ та імен осіб, що проживають в Україні, наприклад, не містить достатнього набору даних, щоб ідентифікувати конкретну людину, оскільки імена і прізвища в такому списку не прив’язані до конкретних осіб. «Для ідентифікації такої особи знадобляться додаткові відомості, наприклад, ідентифікаційний номер, адреса проживання, професія, вік або будь-які інші специфічні дані», — пояснює він.
Сергій Дзюбенко вважає, що даними, за допомогою яких особу можливо конкретно ідентифікувати, можуть бути відомості (наприклад, ідентифікаційний номер особи або її паспортні дані, реквізити інших документів, що видані на ім’я особи, свідоцтва про народження, посвідчення водія, документа про освіту), а також сукупність відомостей (наприклад, прізвище, ім’я, по батькові, дата та місце народження, місце проживання, засоби зв’язку, місце навчання або роботи тощо).
Втрачена справедливість
Окремі фахівці вже звертали увагу на відмінність положень Закону від їхніх аналогів у Директиві ЄС, де сказано, що «для того, щоб обробка даних була справедливою, суб’єкт даних повинен дізнатися про існування факту обробки». Напевне, законодавець вирішив не запозичувати оціночне поняття «справедливість» у європейських колег, справедливо побоюючись, що воно стане предметом зловживань та спорів.
Та «з пісні слів не викинеш» — не може Закон успішно працювати без забутої авторами «справедливості». Специфічною рисою правовідносин у сфері захисту персональних даних є їхня динамічність і багатогранність, які не дають змоги поставити ці відносини в жорсткі законодавчі рамки. Норми законодавства в цій сфері вимушено гнучкі — лише так вони здатні охопити весь спектр відносин, які існують та можуть виникнути в найближчому майбутньому.
«Широкий підхід до визначення поняття «персональні дані» надає змогу застосовувати Закон у майбутньому до різноманітних ситуацій, які змінюються під впливом розвитку комп’ютерної, технологічної, економічної та інших сфер нашого суспільного життя», — зазначає Інна Скузь із ПГ «Павленко і Побережнюк». На думку пані Інни, законодавець свідомо надав поняттю «персональні дані» гнучкості та різноманітності його тлумачення, аби мати можливість застосовувати його положення до будь-яких відносини, які ще не існували на момент прийняття цього Закону, але які можуть виникнути і обов’язково виникнуть у майбутньому.
Виявлений законодавцем широкий підхід, можливо, має право на існування. Але не потрібно забувати, що «приміряти» розпливчасті законодавчі норми до кожного конкретного випадку будуть співробітники Служби, судді та працівники правоохоронних органів.
Відокремлені бази
Положення Закону України «Про захист персональних даних» та супутніх нормативних актів, як не крути, націлені передусім на великі корпорації, які обробляють значні масиви персональних даних — банки, страхові компанії, оператори стільникового зв’язку тощо. Саме вони здебільшого є джерелом несанкціонованого витоку інформації про особу.
Як правило, корпорації мають розгалужену мережу відокремлених підрозділів — філій, представництв та відділень, а також дочірніх підприємств. Усі ці «структурні елементи» так чи інакше користуються загальними базами даних корпорації, а буває, що мають також власні міні-бази. Виникає закономірне запитання — чи підлягатимуть такі міні-бази окремій реєстрації та чи може відокремлений підрозділ юридичної особи виступати володільцем або розпорядником бази персональних даних?
На думку Інни Скузь, відокремлений підрозділ юридичної особи може виступати тільки як розпорядник бази персональних даних. У свою чергу, володільцем бази персональних даних може бути тільки сама юридична особа.
Є й інший підхід, за яким відокремлений підрозділ не може бути навіть розпорядником бази персональних даних. Як зазначає юрист ЮФ «Астерс» Юлія Янюк, згідно із роз’ясненнями Служби на її веб-сайті, відокремлений структурний підрозділ юридичної особи може бути володільцем/розпорядником бази якщо:
—?бази персональних даних юридичної особи та її відокремленого структурного підрозділу мають різне найменування;
—?ведення таких баз персональних даних регулюється різними нормативно-правовими актами та/або внутрішніми актами;
—?структурний підрозділ має статус окремої юридичної особи.
У інших випадках володільцем баз персональних даних буде відповідна юридична особа, а різні місцезнаходження баз персональних даних повинні зазначатися у розділі ІІ заяви про реєстрацію бази персональних даних.
Це роз’яснення дає однозначну відповідь на запитання — відокремлений підрозділ (філія, представництво, відділення) не може бути ані володільцем, ані розпорядником бази персональних даних, а дочірнє підприємство — може. А отже, міні-база «Клієнти банківського відділення» — всього лише частина великої бази персональних даних «Клієнти банку». У той же час при реєстрації цієї бази у відповідній заяві необхідно зазначити всі адреси фактичного місцезнаходження бази даних (або її частин).
Але це не означає, що в розділі II заяви потрібно перелічити адреси всіх наявних відокремлених підрозділів, а при створенні нового підрозділу одразу ж подавати заяву про внесення змін. Адже реєструється саме «місцезнаходження бази», а не «місцезнаходження точки, з якої здійснюється постійний доступ до бази». Якщо база персональних даних в електронній формі міститься на єдиному сервері, до якого працівники численних відокремлених підрозділів мають віддалений доступ, то є лише одне місцезнаходження бази — місцезнаходження сервера. Якщо відокремлені підрозділи мають «дублікати» бази або її частини на власних серверах — місцезнаходжень буде декілька, але база — все одно єдина.
«Наявність декількох носіїв інформації, наприклад декількох серверів, може впливати на відомості, які потрібно зазначати при реєстрації бази персональних даних у Державній службі України з питань захисту персональних даних, — наголошує адвокат АО «ЮФ Василь Кісіль та Партнери» Владислав Подоляк. — Наприклад, обробка даних відбувається за допомогою сервера компанії, а також за допомогою сервера, який належить розпоряднику бази персональних даних (у тому числі материнській компанії). У цьому разі у заяві про реєстрацію бази персональних даних потрібно зазначити дві адреси щодо місцезнаходження бази персональних даних».
Той самий принцип має застосовуватися не тільки до відокремлених підрозділів. Не секрет, що персональні дані клієнтів або контрагентів підприємства можуть являти собою не єдину впорядковану систему, а декілька. Наприклад, різні відділи або навіть різні менеджери можуть мати власні бази контактів клієнтів (постачальників), які не є ідентичними між собою. І все ж цю ситуацію не треба розглядати як утворення великої кількості окремих баз персональних даних.
Надмірне дроблення та звуження поняття «база персональних даних» не відповідатиме меті Закону — воно призведе лише до виникнення невиправданої бюрократичної тяганини всеукраїнських масштабів, яка не піде на користь ані громадськості, ані бізнесу, ані державі.
Недвозначна згода
Відповідно до пункту 6 статті 6 Закону, не допускається обробка даних про фізичну особу без її згоди. Щодо вразливих персональних даних (частина 1 статті 7), то Закон додатково встановлює, що згода має бути «однозначною». Законом прямо не визначено, що така згода має бути «письмовою», і взагалі не врегульовано її форму.
Звужене тлумачення цієї норми (тобто уявлення про згадану «згоду» як про документ з обов’язковим підписом особи) не відповідатиме реаліям інформаційного суспільства та тенденції до поступової відмови від «марнування паперу» в тих випадках, коли бажаного результату можна досягнути з використанням сучасних засобів зв’язку.
Чимало підприємств (наприклад, магазини електронної торгівлі) спілкуються із споживачами та контрагентами винятково засобами зв’язку. В інтересах таких підприємств — мати можливість отримувати згоду особи на обробку її персональних даних в мережі Інтернет (наприклад, шляхом проставляння відповідної відмітки у графі «Я згоден на обробку моїх персональних даних…» при заповненні анкети), електронною поштою, телефоном тощо.
Законодавство в сфері захисту персональних даних не дає чіткої відповіді на запитання щодо форми згоди на обробку персональних даних, проте тлумачення положень Закону свідчить не на користь апологетів «дистанційної згоди».
«Надання згоди суб’єктом персональних даних через засоби зв’язку, наприклад під час телефонної розмови, є недійсним та не може використовуватись, оскільки така згода не задокументована та виражена лише у звуковій формі», — вважає Інна Скузь, при цьому не виключаючи можливості надання згоди у мережі Інтернет, але тільки з використанням електронного цифрового підпису (ЕЦП).
Схожої думки дотримується і Сергій Дзюбенко. «Згода суб’єкта персональних даних на обробку його персональних даних не може надаватися в усній формі, в тому числі за допомогою телефону», — однозначно констатує пан Сергій.
На думку Маріанни Бек, надання згоди будь-якими засобами зв’язку, наприклад у телефонному режимі, явно суперечить вимогам законодавства. У той же час пані Маріанна припускає можливість онлайн-згоди. Відмітка у графі «Я згоден на обробку моїх ПД…», поставлена на конкретному сайті у мережі Інтернет, означає згоду особи на обробку її персональних даних винятково володільцем БПД цього сайту відповідно до визначеної у згоді мети та передбачає відповідальність останнього за порушення законодавства про захист ПД, вважає вона.
Використання ЕЦП у нашій державі поки що не набуло масового характеру серед населення і навряд чи набуде в найближчі п’ять-десять років. А отже, можна спрогнозувати, що деякі підприємства практикуватимуть отримання онлайн-згоди без ЕЦП, а так само і «телефонної згоди». Чи зазнають такі сміливці терору з боку інспекторів Служби — покаже друге півріччя 2012 року.
Гіпотетична ідентифікація
Євген Петренко,
керівник практики МПЦ EUCON, адвокат
Визначення персональних даних, яке міститься у Законі, хоча і відповідає міжнародній практиці, зокрема Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних від 28 січня 1981 року та Директиві «Про захист осіб у зв’язку з обробкою персональних даних та переміщенням (передачею) таких даних» від 24 жовтня 1995 року, є досить загальним та не дає чітких критеріїв, який мінімальний обсяг даних можна вважати достатнім для того, щоб фізична особа могла бути конкретно ідентифікована.
Інформацією, що відноситься до особи, яка може бути конкретно ідентифікована, є інформація, яка не одразу асоціюється з конкретною людиною, проте є достатньою для того, щоб певним шляхом визначити, до якої конкретної людини вона має відношення. Позиція Державної служби з питань захисту персональних даних зводиться до того, що спосіб, в який відбудеться ідентифікація людини, як правило, не має значення, за умови, що є хоча б гіпотетична можливість такої ідентифікації.
Письмова форма
Сергій Дзюбенко,
старший юрист АК «Правочин»
Згідно із законодавчим визначенням (стаття 1 Закону України «Про захист персональних даних»), згода суб’єкта персональних даних — це будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
Хоча Закон і не містить обов’язкових реквізитів такої згоди, але, виходячи з аналізу інших законодавчих актів (Цивільний кодекс України), така згода є одностороннім правочином, який вчинюється письмово та згідно з вимогами частини 2 статті 207 Цивільного кодексу України має бути підписаний фізичною особою, яка надала таку згоду.
Що стосується отримання такої згоди за допомогою мережі Інтернет, вважаю, що з урахуванням вимог Закону України «Про електронні документи та електронний документообіг» така згода може бути надана в електронному вигляді з дотриманням обов’язкових реквізитів електронного документа (зокрема електронний підпис).
Тільки з ЄЦП
Інна Скузь,
ПГ «Павленко і Побережнюк»
Обробка персональних даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Відповідно до статті 2 Закону, згодою суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
Завдяки тому, що сьогодні є та все більше використовується ЕЦП, кожна особа має можливість, шляхом поставлення ЕЦП або відповідної позначки у графі «Я згоден на обробку моїх персональних даних», надати свою згоду на обробку її персональних даних у мережі Інтернет. Важливим при цьому є той факт, що власники сайту не мають права на обробку персональних даних особи до того часу, поки вона не поставить ЕЦП або іншу відмітку на електронній сторінці документа, тим самим висловивши свою згоду на обробку її даних. Цю згоду можна вважати документованою, оскільки наявні технічні докази того, що у визначений день перед тим, як зайти на певний сайт та залишити на ньому будь-які свої особисті дані, конкретна особа спершу пройшла певну процедуру згоди на обробку її персональних даних. Доказом надання згоди суб’єктом персональних даних є протокол реєстрації такої дії, підписаний адміністратором і завірений ЕЦП авторизованого центру сертифікації ключів.
Загальні та чутливі
Маріанна Бек,
юрист АО «Волков і Партнери»
Закріпивши широку дефініцію поняття «персональні дані», Закон визначив ПД як відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Відповідно, Закон не диференціює відомості про особу на загальні (П.І.Б. тощо) та чутливі (раса, віросповідання, національність тощо), а надає статус «персональних» будь-яким даним, за якими можна ідентифікувати конкретну особу.
Закон також чітко визначає правові підстави виникнення права на використання ПД, а саме: згоду суб’єкта ПД або дозвіл, наданий відповідно до Закону. Оскільки за режимом доступу ПД є інформацією з обмеженим доступом, то саме згода і є основним механізмом системи захисту ПД. Закон чітко регламентує форму такої згоди, встановлюючи вимогу надання суб’єктом ПД конкретному володільцеві бази ПД документованого, зокрема письмового, добровільного дозволу на обробку ПД відповідно до сформульованої мети їх обробки. Крім того, варто зазначити, що мета обробки ПД визначає їхній обсяг, склад та зміст і має бути сформульована в установчих актах чи відповідних положеннях володільця бази ПД. Більше того, хоча в основу системи захисту ПД, встановлену Законом, і не покладено принцип диференціації даних, однак до згоди на обробку так званих чутливих даних висувається додаткова вимога однозначності згоди.
Потрібно також наголосити, що згідно із Законом, ПД ФО, яка претендує обійняти чи обіймає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до Закону. Однак це не означає, що ці дані як об’єкт захисту виключені з-під дії Закону в цілому, оскільки йдеться лише про відсутність у володільця бази таких ПД обов’язку отримувати згоду на обробку ПД від суб’єктів ПД цієї категорії.
Нові форми згоди
Юлія Янюк,
юрист ЮФ «Астерс»
У Законі України «Про захист персональних даних» (Закон) згоду суб’єкта персональних даних визначено як «будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки». Розуміючи можливість різних тлумачень, Державна служба з питань захисту персональних даних у деяких проектах документів, розміщених на її веб-сайті, окрім письмової згоди, також згадує такі форми згоди:
а) шляхом проставляння відмітки/позначки на відповідній електронній сторінці документа чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:
—?не дозволяють обробку персональних даних до того часу, поки суб’єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди (тобто практично унеможливлюють подальші дії за відсутності такої позначки); та
—?забезпечують реєстрацію (фіксацію) добровільних дій особи та цілісність протоколів реєстрації таких дій;
б) шляхом оформлення документа на іншому носії, що містить всі ознаки документованої згоди особи на обробку її персональних даних.
Очевидно, що у випадку законодавчого закріплення способу а) з’явиться можливість набагато простішого отримання згоди без необхідності генерації паперових документів тощо.
Спосіб б) наразі є не зовсім зрозумілим, залишається чекати на його уточнення Державною службою.
«Двох шкур не деруть»
Владислав Подоляк,
адвокат ЮФ «Василь Кісіль і Партнери»
Є приказка: «З одного вола двох шкур не деруть». При визначенні кількості баз персональних даних, які є в компанії, не потрібно ототожнювати носій інформації, на якому зберігаються певні персональні дані, та саму базу персональних даних. У протилежному випадку це спричинить викривлену правозастосовну практику: реєстрація баз персональних даних відбуватиметься, наприклад, відповідно до кількості комп’ютерів у компанії, чи кількості поштових програм, серверів, візитниць, телефонних книжок тощо.
Ми пропонуємо виходити з розуміння бази персональних даних як певного бізнес-процесу чи технологічного процесу, який здійснюється відповідно до конкретної мети обробки персональних даних. І саме мета є тим основним критерієм, який дозволяє визначити наявну кількість баз персональних даних.
Наприклад, якщо певна сукупність даних обробляється з метою забезпечення трудових відносин між компанією та її працівниками, то це буде одна база персональних даних працівників. При цьому частина інформації може зберігатися, наприклад, у програмі «1С:Бухгалтерія», а частина — на паперових носіях — в облікових картках, трудових книжках, трудових договорах тощо.
Щодо ідентичності власне даних у базі, то цей критерій не є достатньо індикативним для розмежування кількості баз даних. Відповідно до статті 1 Закону України «Про захист персональних даних», обробка персональних даних може здійснюватися «повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних», що є додатковим свідченням того, що носіїв інформації може бути декілька для цілей однієї бази та для однієї конкретної мети обробки персональних даних. Наприклад, відділ закупівель компанії має список телефонів фізичних осіб, які є постачальниками сировини, а відділ продажу готової продукції взаємодіє з певними фізичними особами — торговельними представниками у регіонах. У цілому всі контактні особи можуть іменуватись контрагентами, а їхні персональні дані можуть становити єдину базу персональних даних контрагентів компанії.
