Як відомо, з січня 2011 року в Україні діє закон "Про захист персональних даних". Вітчизняному бізнесу варто звернути увагу на його основні положення.

Акт змушує вирішувати деякі важливі питання, актуальні для всіх підприємств, в яких є бази персональних даних працівників, клієнтів - учасників програм лояльності, контрагентів - фізичних осіб.

Споживачам теж варто бути готовими посилатися на вимоги закону, коли їх атакують численними дзвінками розповсюджувачі театральних квитків і товарів.

Загалом новий закон цілком прогресивний і відображає загальноєвропейські тенденції в сфері захисту персональних даних.

Більше того, протягом року завдяки нормотворчій діяльності Верховної ради, Мін'юсту та новоствореної Державної служби із захисту персональних даних було вирішено багато спірних питань у цій сфері.

Зокрема, розроблений порядок реєстрації баз персональних даних, затверджений порядок ведення реєстру баз персональних даних, визначені межі та порядок притягнення до відповідальності за порушення законодавства у цій сфері.

На жаль, закон залишає невизначеними деякі принципові для підприємців питання. Це, в першу чергу, пов'язано з новизною та неповнотою законодавчого регулювання у цій сфері, а також з відсутністю достатньої практики застосування закону.

Так, працюючи з персональними даними фізосіб, суб'єкти господарювання змушені з'ясовувати, чи правомірно вони використовують зібрані ними дані, і які додаткові дії потрібно вчинити для того, щоб обробка цих даних була законною.

Стаття 6 закону визначає, що обробка персональних даних особи без її згоди не допускається, "крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини".

З даної норми випливає, що за загальним правилом лише наявність "однозначної згоди" особи на обробку її даних узаконює такі дії. Складнішою для тлумачення є друга частина норми, яка встановлює винятки для обробки даних без згоди особи.

Зокрема, незрозуміло, чи повинні бути випадки обробки даних без згоди суб'єкта визначені законом "лише в інтересах національної безпеки, економічного добробуту та захисту прав людини", чи можливо розділити другу частину норми на два випадки.

1. Обробка без згоди суб'єкта, яка дозволена законом, наприклад, обробка даних роботодавцем.

2. Обробка, дозволена в інтересах національної безпеки, економічного добробуту та захисту прав людини, наприклад, обробка даних особи без її дозволу держорганами.

Розглядаючи статтю 6 закону в комплексі з визначенням поняття власника баз персональних даних, яке міститься у статті 1 закону - це особа, якій "законом або за згодою суб'єкта надано право на обробку персональних даних", - можна зробити обґрунтоване припущення, що законодавець мав намір узаконити обробку на підставі закону без згоди суб'єкта як самостійну підставу. Однак це лише припущення.

Через цю неоднозначність постає актуальне для підприємців питання: чи порушує законодавство про захист персональних даних роботодавець, який уклав трудовий договір з працівником, обробляє його персональні дані, в тому числі, передає їх державним страховим фондам, при цьому не отримавши від працівника його згоди?

Чи може працівник заборонити обробку його персональних даних роботодавцем та звернутись, наприклад, до суду за захистом свого порушеного права?

На нашу думку, роботодавець, обробляючи персональні дані свого працівника, лише реалізує свої права та обов'язки, покладені на нього законом як на роботодавця, а тому цей випадок, виходячи з принципу розумності, повинен підпадати під дозволену обробку на підставі закону без згоди суб'єкта.

Однак законодавець не вирішив за необхідне закріпити в законі пряме і зрозуміле тлумачення таких окремих випадків, зокрема, для трудових правовідносин.

Аналогічна проблема постає і у випадку володіння персональними даними фізичних осіб-підприємців для юридичних осіб, які вступили з цими приватними підприємцями в договірні правовідносини, оскільки, як правило, однозначна згода цих суб'єктів, зокрема, у формі письмового документа, не отримується.

У зв'язку з цим корисним для запозичення є законодавчий досвід Європейського союзу з приводу критеріїв законності обробки персональних даних.

Так, стаття 7 директиви ЄС 95/46 "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" визначає: держави, на яких вона поширює свою дію, повинні у своєму національному законодавстві передбачити, що дані можуть оброблятися при виконанні однієї з наступних умов.

1. Суб'єкт даних дав свою недвозначну згоду.

2. Обробка даних необхідна для виконання контракту, стороною якого є суб'єкт даних. Такий критерій може застосовуватися, наприклад, для укладення цивільних угод з фізичними особами-підприємцями.

3. Обробка даних необхідна для дотримання правового зобов'язання, яким зв'язаний контролер - власник бази персональних даних. Цей критерій законності обробки може застосовуватися до трудових відносин, в яких обробка персональних даних роботодавцем необхідна винятково для виконання його законних обов'язків.

4. Інші випадки, зокрема, ті, що, як і в українському законі, пов'язані з суспільними інтересами, виконанням офіційних повноважень контролером та для захисту життєво важливих інтересів суб'єкта даних.

Таким чином, директива ЄС, на відміну від закону України, містить вичерпний і чіткий перелік випадків, коли згода особи на обробку її даних не повинна отримуватися.

Неоднозначність тлумачення положень статті 6 закону турбує суб'єктів господарювання, які законно володіють персональними даними. Як можна узаконити обробку персональних даних в умовах існуючого законодавства для всіх суб'єктів господарювання, що працюють з персональними даними осіб?

Слід відібрати у кожному окремому випадку згоду цих осіб на обробку їх даних. Зробити це потрібно швидко, до моменту набрання чинності з 2012 року норм про відповідальність за порушення законодавства про захист персональних даних.