Персональні дані, що є об'єктом державної реєстрації та контролю:

Практичні проблеми та шляхи їх вирішення

ACC IT committee open meeting27.07.2011

Борис Даневич, партнер, адвокатВадим Шестаков, LL.M, юрист

• Типовий порядок обробки персональних даних у базах персональних даних;

• Порядок подання та заповнення заяви про реєстрацію бази персональних даних;

• Форма Заяви про реєстрацію бази персональних даних;

• Форма Заяви про внесення змін до реєстраційного запису про базу персональних даних.

Проекти документів, представлених на громадське обговорення:

• трудові відносини• адміністративно-правові відносини• податкові відносини та відносини у сфері бухгалтерського

обліку та аудиту• відносини у сфері управління людськими ресурсами• відносини у сфері економічних, фінансових послуг• відносини у сфері реклами• відносини у сфері телекомунікаційних послуг• відносини у сфері громадської, політичної та релігійної

діяльності• відносини у сфері культури, дозвілля, спортивної та соціальної

діяльності• відносини у сфері освіти• відносини у сфері охорони здоров’я• відносини у сфері безпеки• відносини у сфері транспорту• відносини у сфері науки, історичних досліджень та статистики• інших відносин

Сфери, обробка персональних даних в яких є об'єктом державного контролю:

• громадяни• наймані працівники• посадові особи• платники податків та зборів• клієнти• покупці• споживачі• абоненти• пацієнти• пасажири• батьки• особи, яким надаються послуги страхування• особи, які користуються фінансовими та економічними послугами• особи, яким надаються рекламні послуги• члени політичний партій / громадських / релігійних організацій• вихованці, учні, студенти, абітурієнти, курсанти, слухачі, стажисти, аспіранти, докторанти, випускники• інші суб’єкти персональних даних.

Категорії суб’єктів чиї PD є об'єктом державного контролю:

Практично всі підприємства, установи та організації, які здійснюють діяльність на території України, їх філії та представництва а також окремі фізичні особи-підприємці;

Станом на 1 січня 2011 року в Україні зареєстровано 1 294 641 суб'єкт ЄДРПОУ з яких 1 238 340 зі статусом юридичної особи і 56 301 без статусу юридичної особи.

Для кого обов’язкова реєстрація баз ПД та отримання згоди:

Отже дуже імовірно, що вже зараз близько

1 300 000 баз ПД мали б бути зареєстровані Державною службою!

• «Згода суб’єкта персональних даних на обробку його персональних даних людини»;

• «Однозначна згода суб’єкта персональних даних на обробку даних щодо яких законом встановлені особливі вимоги обробки»;

Правові підстави обробки персональних даних (виключний перелік!)

“Дозвіл на обробку персональних даних наданий володільцю бази персональних даних відповідно до закону, виключно для здійснення його повноважень:

•Відповідно до правовідносин, які виникли до набрання чинності Закону України «Про захист персональних даних», на основі вільного волевиявлення фізичної особи;•З метою захисту життєво важливих інтересів суб'єкта персональних даних до часу, коли отримання згоди на обробку персональних даних від суб’єкта персональних даних стане можливим;•Відповідно до Закону України «Про захист персональних даних», і виключно в інтересах національної безпеки, економічного добробуту та прав людини.”

Правові підстави обробки персональних даних (виключний перелік!)

Стаття 11. Підстави виникнення права на використання персональних даних

1. Підставами виникнення права на використання персональних даних є:

1) згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.

Підстави виникнення права на використання ПД відповідно до ЗУ «Про захист ПД»

Європейський та міжнародний досвід

Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних від 28.01.1981

•Чіткі критерії законності обробки та обов'язок реєструвати бази персональних даних відсутні

Директива 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних« від 24 жовтня 1995 року

•Має місце широкий перелік критеріїв законності обробки персональних даних;

•Надається можливість спрощеної системи реєстрації або взагалі відміни обов'язку реєстрації баз персональних даних, що ведуться з метою реалізації трудових відносин.

Стаття 7 Директиви 95/46/ЄС:

(а) суб'єкт даних недвозначно дав свою згоду; чи

(b) обробка необхідна для виконання контракту, стороною якого є суб'єкт даних, чи для вживання заходів на прохання суб'єкта даних до підписання контракту; чи

(c) обробка необхідна для дотримання правового зобов'язання, яким зв'язаний контролер (володілець); чи

(d) обробка необхідна для захисту життєво важливих інтересів суб'єкта даних; чи

Критерії законності обробки даних: Європейський та міжнародний підхід

(e) обробка необхідна для виконання завдання, здійснюваного в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані; чи

(f) обробка необхідна в цілях законних інтересів, переслідуваних контролером чи третьою стороною або сторонами, для яких надаються дані, крім випадків, коли над такими інтересами переважають інтереси основних прав і свобод суб'єкта даних, що вимагають захисту згідно з пунктом 1 статті 1.

Критерії законності обробки даних: Європейський та міжнародний підхід

Стаття 18 Директиви 95/46/ЄС:

Зобов'язання повідомляти наглядовий орган

1. Держави-члени передбачають, що контролер чи його представник, якщо такий існує, повинні повідомити наглядовий орган, згаданий у статті 28, про обробку до проведення будь-якої повної чи часткової автоматизованої операції з обробки даних чи сукупності таких операцій, призначених служити єдиній цілі чи декільком взаємозалежним цілям.

4. Держави-члени можуть передбачити звільнення від зобов'язання щодо повідомлення чи спрощення системи повідомлення у випадку здійснення операцій із обробки, про які йдеться в підпункті (d) пункту 2 статті 8.

Обробка персональних даних в сфері трудових відносин

Стаття 8, пункт 2(b) Директиви 95/46/ЄС:

обробка необхідна з метою виконання зобов'язань і особливих прав контролера в області законодавства про працевлаштування, у тій мірі, у якій це дозволено національним законодавством, що передбачає адекватні гарантії;

Обробка персональних даних в сфері трудових відносин

НАШІ ПРОПОЗИЦІЇ:

• Розширення переліку правових підстав обробки персональних даних у відповідності до Директиви 95/46/ЄС;

• Спрощення або відміна державної реєстрації баз персональних даних, які створюються виключно з метою реалізації трудових відносин.