Закон України "Про захист персональних даних" (далі – "Закон") було офіційно опубліковано 7 липня 2010 року. Хоча Закон може видатися менш значним поряд з іншими законодавчими ініціативами уряду, на практиці він запроваджує дуже важливі нові регуляторні вимоги, які безпосередньо стосуватимуться практично кожного українського підприємства та мешканця України. Закон регулює питання обробки та доступу до персональних даних, а також створення та реєстрації баз персональних даних. Він набуває чинності з 1 січня 2011 року.
Кого стосується Закон
Дія Закону поширюється на широке коло осіб, які здійснюють збирання і обробку інформації з різною метою, включаючи інформацію про своїх працівників – для роботи з персоналом та інформацію про клієнтів – для маркетингу, реклами, обліку та надання послуг тощо. Отже, Закон стосується не лише тих підприємств, чия діяльність безпосередньо стосується обробки інформації.
Персональні дані
Закон не надає вичерпного переліку інформації, що відноситься до персональних даних, та визначає персональні дані як "відомості про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована". Таким чином, фактично будь-яка інформація про особу (наприклад, ідентифікаційний номер, номер телефону, адреса тощо) може бути визнана персональними даними. Закон визначає персональні дані як інформацію з обмеженим доступом, отже така інформація повинна мати обмежене внутрішніми правилами коло користувачів.
Реєстрація баз персональних даних
Практично будь-яка сукупність персональних даних, чи то в електронній формі, чи у формі картотек, за допомогою яких можна ідентифікувати фізичних осіб, є базою персональних даних. Законом встановлено обов'язок володільця бази персональних даних здійснювати її реєстрацію у відповідному державному реєстрі. Заява про реєстрацію бази персональних даних подається до уповноваженого державного органу. Уповноважений орган та порядок реєстрації на даний момент ще не визначено. Реєстрації підлягає не сукупність персональних даних, які містяться в базі, а сам факт наявності бази.
Згода на обробку персональних даних
Законом передбачено необхідність отримання згоди фізичної особи на обробку, у тому числі, збирання, використання та поширення її персональних даних. Така згода повинна бути задокументована, тобто викладена у формі письмового документу, електронного повідомлення, аудіо запису телефонної розмови тощо. У разі зміни визначеної мети обробки персональних даних необхідно отримати нову згоду на обробку цих даних відповідно до зміненої мети.
Подальші дії володільця бази згідно нового Закону
Основні заходи, які необхідно здійснити підприємствам-володільцям баз даних за новим Законом:
внести зміни до установчих документів або внутрішніх положень підприємства, якими визначити мету обробки персональних даних у базі (наприклад, для обліку персоналу, для роботи з клієнтурою); створити структурний підрозділ або призначити особу, відповідальну за захист персональних даних; зареєструвати базу персональних даних шляхом внесення до Державного реєстру баз персональних даних, порядок ведення якого затвердить Кабінет Міністрів; приватний партнер може користуватись сервітутом від імені державного партнера, якщо умовами договору про ДПП передбачене таке право приватного партнера; повідомити письмово відповідних фізичних осіб про включення їх персональних даних до бази (якщо персональні дані збираються не з загальнодоступних джерел), передачу персональних даних третій особі і подібні операції з персональними даними.Будь ласка, направляйте свої запитання
Олексію Дідковському
керуючому партнеру
oleksiy.didkovskiy@asterslaw.com