Отримати згоду на збір і обробку персональних даних стане простіше

Юрист ЮК «Правова допомога» Андрій Бузинний підготував за запитом газети «Закон і Бізнес» матеріал про законодавчі зміни у регулюванні збору та обробки персональних даних.

Ознайомитися з матеріалом можна в друкованій версії газети, а також на її сайті за посиланням - http://zib.com.ua/ru/12507-poluchit_soglasie_na_sbor_personalnih_dannih_stanet_prosche.html.

Повний текст статті:

«Оставь согласье всяк, сюда входящий» -  такі слова на вході дозволять законно обробляти персональні дані.

Парламент вирішив спростити процедуру отримання згоди особи на збирання її персональних даних. Для цього достатньо буде будь-яких дій такої особи (за умови її інформованості), з яких можна зробити висновок про давання згоди. Іншими словами, якщо біля входу повісити оголошення про те, що, якщо ви ввійшли в приміщення, це означає, що ви дали згоду на збирання й оброблення своїх персональних даних, то вже сам вхід цілком можна розцінювати як давання згоди.

Спочатку пишемо — потім переписуємо

Не є таємницею, що запозичення нашим законодавцем нормотворчих ідей з-за кордону — вже звична практика. Але якщо в разі запозичення законодавства нашого північно-східного сусіда коригування норм під українські реалії не викликає зусиль, то з європейськими «шаблонами» не все так гладко. Закон «Про захист персональних даних» — яскравий тому приклад.

Його ухвалення в середині 2010 ро­ку подією не стало. Аналіз тексту закону дозволяє зробити висновок, що він є компіляцією Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних і законів деяких європейських країн, які запровадили в себе регулювання цих правовідносин.

Справжній ажіотаж виник лише наприкінці першого року дії даного акта — за місяць до введення санкцій за його порушення. Занепокоєння було настільки великим, що парламентарі відклали запровадження штрафів на півроку. Хоча якщо розібратися, то таке відстрочення викликане швидше не добротою душевною законодавця, а тим, що спеціально створена для виявлення порушень Державна служба захисту персональних даних (ДСЗПД) просто потонула в масі заяв, на оброблення яких і було дано додатковий час.

Хоча до осені 2012 року практика застосування норм закону №2297 в цілому не пішла далі за отримання письмової згоди суб’єкта персональних даних і направлення заяви про реєстрацію бази, парламент усе ж таки вирішив, що документ потрібно доопрацювати. Абсолютно безглуздим виглядає мотивування пояснювальної записки до проекту цього закону про його гармонізацію з вищезгаданою конвенцією, оскільки приймався він саме на її основі, а практика його застосування, як уже зазначалося, вельми мізерна.

Проте безліч положень закону переписано, і нововведення поки чекають згоди Президента. Очікується, що якщо буде застосовано право вето, то лише до кількох пунктів, які стосуються повноважень ДСЗПД, тому варто означити основні зміни.

Спочатку читаємо — потім перечитуємо

Перше, що звертає на себе увагу, — це істотна зміна сфери застосування закону. Згідно з новим формулюванням вона значно ширша: якщо до цього даний акт регулював відносини, пов’язані з обробленням персональних даних, то тепер його дія поширюється на всі правовідносини, пов’язані з персональними даними. І якщо уважно перечитати весь закон в оновленій редакції, стає зрозуміло, що випадків незаконного збирання, зберігання, використання, знищення й поширення інформації, про які мовиться в ст.182 Кримінального кодексу, стає більше.

У зв’язку із цим не може не радувати часткове спрощення процедури отримання згоди суб’єкта персональних даних. Якщо раніше така згода мала бути задокументованою (зокрема письмово), то згідно із законом вона може виражатися в будь-якій формі, що свідчить про давання згоди. При цьому повинна дотримуватися умова про інформованість такого суб’єкта.

Вказане нововведення позитивно позначиться, наприклад, на сфері послуг, де часто застосовуються програми лояльності. Так, якщо раніше для видачі іменної картки знижок в ресторані або нічному клубі повинні були пояснювати відвідувачеві, що саме той підписує (отримати письмову згоду), то тепер досить поінформувати відвідувача про те, що одержання ним картки свідчить про згоду на оброблення його персональних даних (таку інформацію можна розмістити й на самій картці). Правда, нововведення надають суб’єктові персональних даних право відкликати свою згоду.

Також запропоновано розширити підстави для оброблення персональних даних. Тепер це не тільки згода суб’єкта або припис закону, а й захист інтересів суб’єкта персональних даних або власника персональних даних, а також факт здійснення операції з таким суб’єктом.

А ось реєстрацію баз персональних даних проводити треба буде не завжди: з поля зору ДСЗПД випадуть бази, ведення яких пов’язане з трудовими відносинами, а також з діяльністю політичних партій, профспілок, громадських і релігійних організацій.

У цілому в нововведеннях можна знайти як позитив, так і негатив. Точкові поправки, що стосуються процедури отримання персональних даних, трохи спрощують життя. Проте для норми КК щодо

незаконності дій, пов’язаних зі збирання персональних даних, розширення сфери застосування закону спричинить розширення поля потенційних порушень. І це принаймні насторожує».