В украинском законодательстве не так-то легко разобраться прожившим здесь всю жизнь украинцам.
Анализ законодательства о персональных данных на примере потребительских кооперативов
Потребительское общество являет собой добровольное объединение граждан или граждан и юридических лиц для совместного ведения хозяйственной деятельности для улучшения своего экономического и социального положения. Членство в таком обществе не обусловлено трудовым участием граждан в его деятельности. Для вступления в потребительское общество гражданину необходимо подать заявление. Помимо фамилии, имени и отчества, в нем содержатся также сведения о дате рождения, идентификационный код, адрес проживания. Вся информация о членах потребительского общества вносится в регистрационные книги или хранится в электронной базе данных.
- Необходима ли регистрация базы персональных данных пайщиков?
- Какую цель преследует обработка информации о пайщиках в базе персональных данных?
- Если пайщик вступил в потребительское общество до 01.01.2011 года, как уведомить его о том, что его персональные данные включены в базу персональных данных?
- Нужны ли заявления от граждан, вступающих в потребительское общество? Чем руководствоваться в вопросах профсоюзных организаций, которые являются юридическими лицами и ведут картотеки со сведениями о членах профсоюза?
Ответ 1. Персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано (ст. 2 Закона «О защите персональных данных»). То есть это любые данные, по которым физических лиц непосредственно или косвенно идентифицируют. К ним относятся фамилия, имя, отчество, адрес проживания, идентификационный код, паспортные данные и т.п.
К первоисточникам информации о физическом лице относят:
1) Документы, выданные на его имя — свидетельство о рождении, паспорт и т.п.;
2) Документы, подписанные им — заявление, автобиография и др.;
3) Данные, предоставленные лицом о себе — номер телефона, сведения о семье и т.п.
База персональных данных являет собой именованную совокупность таких упорядоченных данных об участниках потребительского общества (членов профсоюза), в отношении которой могут быть выполнены любые действия или совокупность действий.
Такими действиями являются: сбор, регистрация, накопление, хранение, адаптация, изменение, восстановление, использование, распространение, обезличивание, уничтожение персональных данных. Эти операции могут производиться также с использованием автоматизированных систем. Базы персональных данных бывают в форме картотеки персональных данных, в электронной форме или одновременно в обоих видах.
Любая структурированная персональная информация, доступная по четким критериям, независимо от того, будут ли такие сведения централизованные, децентрализованные или поделены по функциональному или географическому принципу является картотекой.
Исходя из этого, регистрационные книги (электронные базы данных) участников потребительского общества или профсоюза, в которых содержатся персональные данные физических лиц, является базой персональных данных.
Для баз персональных данных обязательна государственная регистрация. Она проводится путем внесения соответствующей записи в Государственный реестр баз персональных данных специальной службой по вопросам защиты персональных данных. Исключения составляют базы персональных данных, ведение которых связано с обеспечением и реализацией трудовых отношений, а также базы персональных данных членов общественных, религиозных организаций, профсоюзов, политических партий.
Таким образом, владельцы персональных данных не регистрируют базы данных, содержащие информацию о работниках, членах общественных, религиозных организаций, профсоюзов и политических партий. Тем не менее, это исключение не освобождает владельцев баз персональных данных от соблюдения и выполнения иных требований законодательства в сфере защиты персональных данных.
Отсюда вопрос: необходимо ли регистрировать базы персональных данных потребительских обществ?
Вначале определим правовой статус таких обществ. Закон «Об общественных объединениях» предусматривает для общественного объединения такие организационно-правовые формы как общественная организация или общественный союз. Кроме того, в соответствии с Законом «О потребительской кооперации», именно с момента государственной регистрации потребительское общество считается созданным, признается юридическим лицом и может осуществлять хозяйственную и иную деятельность. Поскольку потребительское общество не может являться общественной организацией, ему необходимо зарегистрировать базу персональных данных своих участников.
Ответ 2. Каждой базе персональных данных присваивается утвержденная цель обработки персональных данных, устанавливается их состав и процедуры обработки.
Эти составляющие устанавливаются владельцем персональных данных или законом.
Таким образом, обработка персональных данных проводится для определенных и легальных целей с согласия субъектов этих данных, а также в случаях и порядке, регламентированных законами.
Следовательно, цели обработки персональных данных должны определяться действующим законодательством в сфере регулирования деятельности владельцев персональных данных и в рамках защиты этих данных.
Так, Закон «О потребительской кооперации» предусматривает правовые, экономические и социальные основы деятельности потребительской кооперации в Украине и направлен на укрепление ее демократических основ, защиту интересов ее членов и сельского населения как потребителей.
Целью обработки данных в базе персональных данных пайщиков потребительского общества может быть, например, «обеспечение реализации прав и гарантий каждого члена потребительского общества, определенных Законом «О потребительской кооперации». Целью такой обработки в базе профсоюза может быть «обеспечение реализации прав и гарантий членов профсоюза» и т.п.
В соответствии с Законом состав и содержание персональных данных должны быть адекватными, не чрезмерными и соответствовать конкретной цели их обработки.
Владелец персональных данных решает, какие данные необходимо получить от физических лиц, и которые впоследствии обрабатываются в базе персональных данных с определенной целью, предусмотренной им или законами. Данные должны быть точными, достоверными и редактироваться в зависимости от необходимости, которую определяет цель их обработки.
Процедуры (процессы) обработки информации об участниках потребительского общества или членах профсоюза — это операции, осуществляемые владельцем персональных данных в базе персональных данных. К ним относится: сбор (внесение), регистрация, накопление, хранение, адаптация, изменение, восстановление (обновление), использование, распространение (реализация, передача, обнародование, разглашение), обезличивание, уничтожение.
Таким образом, законодательством урегулирован порядок совершения операций, осуществляемых потребительским обществом или профсоюзом с персональными данными физических лиц. То есть процессы обработки данных о членах потребительского общества и профсоюзов могут предусматриваться специальными нормативно-правовыми актами в сфере деятельности потребительских обществ и профсоюзов.
Ответ 3. Нормами гражданского законодательства регулируются отношения, возникшие со дня вступления их в силу. Закон «О защите персональных данных» вступил в силу 1 января 2011. Таким образом, нормы этого закона, в части уведомления физических лиц о внесении их персональных данных в базу персональных данных, должны применяться к отношениям, которые возникли со дня вступления закона в силу.
В соответствии со ст. 12 Закона «О защите персональных данных» до 20.12 2012 г. предусматривалось, что в течении 10 рабочих дней со дня внесения персональных данных субъекта в базу персональных данных ему обязаны сообщить его права, предусмотренные Законом, цель сбора данных и лиц, которым передаются эти данные, исключительно в письменной форме. То есть пайщиков потребительского общества или членов профсоюза, персональные данные которых получены с 01.01.2011, необходимо уведомлять согласно ч. 2 ст. 12 Закона.
Согласно Закону «Про внесение изменений в Закон Украины «Про защиту персональных данных» с 20 декабря 2012 во время сбора персональных данных или в случаях, определенных пп. 2 — 5 ч. 1 ст. 11 этого Закона, субъекта персональных данных в течение 10 рабочих дней со дня их сбора уведомляют о владельце этих данных, составе, содержании и цели сбора персональных данных, правах субъекта этих данных и лиц, которым они передаются.
В этом уведомлении должна содержаться информация про владельца персональных данных, их состав, сведения о правах субъекта персональных данных и цели их сбора, а также ведомости о лицах, которым они будут передаваться. Согласно действующему законодательству, уведомлять надлежит исключительно тех членов потребительского общества и профсоюзов, персональные данные которых получены с 01.01.2011 года.
Ответ 4. Законными основаниями использования данных физических лиц являются: согласие и разрешение субъекта персональных данных на их обработку, полученные владельцем персональных данных согласно закону исключительно для реализации его полномочий; заключение и исполнение сделки с участием субъекта персональных данных или заключенной в пользу такого субъекта или при осуществлении действий, которые предшествуют такой сделке, защита жизненно важных интересов субъекта персональных данных, потребность в защите правовых интересов владельцев персональных данных третьих лиц. Исключение составляют ситуации, когда по требованию субъекта этих данных их обработка прекращается, а необходимость в защите персональных данных преобладает над таким интересом.
Согласие представляет собой добровольное волеизъявление этого лица (при условии его осведомленности) о предоставлении разрешения на обработку его персональных данных согласно сформулированной цели их обработки. Оно может быть выражено в письменной форме (заявление или отдельный документ) или такой, что позволит сделать вывод о получении подобного разрешения.
В случае использования потребительским обществом или профсоюзом персональных данных с согласия своих участников, эти организации обязаны соблюсти следующие требования. А именно: уведомить физическое лицо, вступающее в это общество или профсоюз, про цель обработки его персональных данных до момента предоставления им согласия. Cогласие обязано содержать в себе цель обработки персональных данных, их состав и содержание, наименование и местонахождение базы персональных данных, включающей эти сведения, перечень лиц, которым будут передаваться персональные данные. Владелец персональных данных несет ответственность за определение и утверждение цели обработки персональных данных, их состава в базе и ее местонахождения, ответственного за их обработку лица или структурного подразделения (может постановлять приказом, распоряжением). Кроме того, он определяет и утверждает порядок внесения, изменения, обновления, использования, распространения, обезличивания, уничтожения персональных данных в базе персональных данных и порядок их защиты, в том числе от неправомерной обработки и нелегального доступа к ним (положение обработки персональных данных).
Освобождение владельца персональных данных от регистрации баз персональных данных, в чье ведение входит обеспечение и реализация трудовых отношений участников общественных, религиозных организаций, профсоюзов, политических партий, не освобождает его от выполнения других требований законодательства в сфере защиты персональных данных.