Базы персональных данных: критерии определения

На наш взгляд, в первую очередь необходимо провести разграничение между:

1) информацией, позволяющей идентифицировать физическое лицо, и персональными данными; так, Конституционный Суд Украины в решении от 20.01.2012 г. № 2-рп/2012 по делу по конституционному представлению Жашковского районного совета Черкасской области относительно официального толкования положений частей первой, второй статьи 32, частей второй, третьей статьи 34 Конституции Украины указал, что персональные данные о лице — это любые сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, а именно: национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, материальное положение, адрес, дата и место рождения, место жительства и нахождения и т. п., данные о личных имущественных и неимущественных отношениях данного лица с другими лицами, в частности членами семьи, а также сведения о событиях и явлениях, которые происходили или происходят в бытовом, интимном, товарищеском, профессиональном, деловом и других сферах жизни лица, за исключением данных относительно исполнения полномочий лицом, занимающим должность, связанную с осуществлением функций государства или органов местного самоуправления. Как видим, сведения, с помощью которых можно идентифицировать лицо, сами по себе персональными не являются. Под защиту Закона № 2297 подпадает лишь та информация, которую можно установить дополнительно к данным, позволяющим лицо идентифицировать (анализ крови лица, кардиограмма, заработная плата, служебная характеристика и т. п.);

2) персональными данными, которые так или иначе неизбежно используются в деятельности любого субъекта хозяйствования (информация о работниках, о должностных лицах контрагентов, подписывающих договоры, о физлицах-клиентах и т. д.), и базой персональных данных, т. е. об именованной совокупности упорядоченных персональных данных в электронной форме и/или в форме картотек.

В то же время нельзя не считаться с мнением Государственной службы по защите персональных данных в рассматриваемых вопросах. По информации, размещенной на ее сайте, «каждое предприятие (организация) является владельцем как минимум двух баз персональных данных, а именно базы персональных данных работников, которая ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и аудита, и базы персональных данных клиентов либо других лиц, персональные данные которых обрабатываются в целях хозяйственной деятельности». В то же время «разные типы отчетов и форм, содержащие в себе определенную совокупность сведений о физлицах, отобранных из баз персональных данных владельца и периодически передаваемых в органы госвласти, — не рассматриваются как отдельные базы персональных данных». К перечню из базы персональных данных «Работники» и базы «Клиенты» наиболее усердные налогоплательщики добавляют также такие базы данных, как «Учредители» и «Контрагенты».

Следует отметить, что в своих интервью представители Государственной службы по защите персональных данных предлагают максимально широкий подход к определению персональных данных. Так, заместитель председателя Госслужбы Владимир Козак указывает на то, что те или иные сведения могут касаться физического лица непосредственно (чье-то конкретное личное дело, история болезни, банковский счет и т. п.) либо опосредованно (например, запись камеры видеонаблюдения, реестр недвижимого имущества; аналогичный подход можно встретить и в судебной практике (см., например, постановление Ленинского районного суда г. Винницы от 25.04.2012 г. по делу № 2-а/212/5495/12, где государственный реестр объектов недвижимого имущества был признан судом базой персональных данных)). Любую подобную информацию представители Госслужбы считают персональной и распространяют на нее действие Закона № 2297.

Однако даже если согласиться с таким подходом, то не любые персональные данные составляют базу персональных данных. Как подчеркивает в своих разъяснениях Минюст, база персональных данных является упорядоченной совокупностью логично связанных данных о физических лицах:

— которые хранятся и обрабатываются соответствующим программным обеспечением и являются базой персональных данных в электронной форме;

— которые хранятся и обрабатываются на бумажных носителях информации и являются базой персональных данных в форме картотеки.

При этом, чтобы считаться базой персональных данных, такие сведения должны быть структурированы по определенным критериям, касающимся физических лиц, таким образом, чтобы обеспечить легкий доступ к соответствующим персональных данным.

Иначе говоря, далеко не каждая совокупность документов, в которых встречаются те или иные сведения о физических лицах, может считаться базой персональных данных, поскольку, чтобы найти в таких документах информацию о физлице, придется приложить определенные усилия и затратить время. По справедливому выводу Минюста, легкий доступ к сведениям о физлице — один из признаков базы персональных данных.

В последующем представители Минюста, руководствуясь данным выводом, указали, что только лишь упоминания тех или иных данных физического лица (даже если они позволяют идентифицировать такое лицо) недостаточно, чтобы считалось, что на предприятии есть БПД. Данное утверждение сотрудниками Минюста было проиллюстрировано на таком примере. Предприятие заключает гражданско-правовые договоры с физлицами-предпринимателями и формирует их в папки в хронологическом порядке. Такой способ упорядочить информацию не говорит о наличии базы персональных данных, поскольку в основе ее систематизации и структурирования лежат не сведения о физлице, а дата заключенного с ним договора. Если бы предприятие, к примеру, формировало папки в алфавитном порядке по фамилиям физлиц-предпринимателей, с которыми заключены договоры, было бы основание указывать на наличие БПД.

Впрочем, в том, что на каждом предприятии есть база персональных данных со сведениями о сотрудниках данного предприятия, Минюст готов поддержать Госслужбу по защите персональных данных (см. письма Минюста от 11.01.2012 г. № У-42248/6.1, от 08.11.2011 г. № 17304-0-33-11/61).

Подведем итог сказанному. Обычный хозяйствующий субъект, у которого есть наемные работники, использует, как минимум, базу персональных данных «Працівники». Что касается других баз персональных данных, то их наличие или отсутствие устанавливается в каждом конкретном случае отдельно.

Отметим, что на данный момент в парламенте зарегистрировано несколько законопроектов, цель которых — внести изменения в Закон № 2297. Наибольшее количество шансов на принятие — у законопроекта, предложенного Кабмином (роздан народным депутатам для ознакомления 30.05.2012 г.). Им, в частности, предусмотрено освобождение от необходимости регистрации баз персональных данных, «связанных с трудовыми отношениями». Фактически можно говорить о том, что в случае одобрения парламентом данной законодательной инициативы с последующим подписанием закона Президентом Украины и его опубликованием, для большей части субъектов хозяйствования вопрос регистрации БПД перестанет быть актуальным (поскольку, как правило, кроме данных на работников субъекты хозяйствования информацию о физлицах не систематизируют). Однако это не означает, что на субъектов хозяйствования больше не будет распространяться законодательство о защите персональных данных и исчезнет необходимость в принятии мер по их защите.

Если указанные законодательные изменения будут приняты и вступят в силу, субъекты хозяйствования, которые на тот момент уже зарегистрируют базу персональных данных «Работники», какие-либо дополнительные действия (например, по отмене регистрации) предпринимать не обязаны.

Есть и другие предложения законодательных изменений. Так, законопроектом от 06.02.2012 г. № 9790 предлагается распространить Закон № 2297 исключительно на «деятельность субъектов хозяйствования по созданию баз персональных данных и обработке персональных данных в этих базах, которые осуществляют (предоставляют услуги):

— финансовую и страховую деятельность;

— деятельность в сфере информации и телекоммуникации;

— водоснабжение; услуги канализации, обращение с отходами;

— поставку электроэнергии, газа, пара и кондиционированного воздуха;

— деятельность в сфере охраны здоровья (кроме больничных и медицинских учреждений государственной и коммунальной формы собственности);

— деятельность в сфере бухгалтерского учета и аудита;

— деятельность в сфере права;

— деятельность в сфере образования (кроме учебных (воспитательных) заведений государственной и коммунальной формы собственности);

— деятельность в сфере авиационного транспорта;

— деятельность туристических агентств, туристических операторов, предоставление других услуг бронирования и связанную с этим деятельность;

— временное размещение;

— оптовую и розничную торговлю, ремонт автотранспортных средств и мотоциклов — с применением системы дисконтных карт;

— деятельность ресторанов, предоставление услуг мобильного питания — с применением системы дисконтных карт».

Это решает предприятие по своему усмотрению: допустима регистрация как одной базы персональных данных «Работники», так и параллельно с ней базы персональных данных «Работники-иностранцы».

В силу неурегулированности данного вопроса предприятие вполне может в своей деятельности исходить из того, что ни телефон менеджера, ни личная почта либо записная книжка кого-либо из сотрудников собственностью предприятия не являются. Каким-либо образом контролировать содержание почты, записной книжки, памяти телефонов сотрудников у предприятия возможности нет.

Сами же сотрудники избавлены от необходимости установления, является ли принадлежащая им информация базой персональных данных, поскольку всегда могут сослаться на ст. 1 Закона № 2297, согласно которой действие данного Закона не распространяется на деятельность по созданию баз персональных данных и обработке персональных данных в этих базах физическим лицом исключительно для непрофессиональных личных либо бытовых целей. Проверка личных почтовых ящиков, мобильных телефонов, записных книжек — вне компетенции проверяющих из Госслужбы по защите персональных данных.

Единственное, что может (и должно) сделать предприятие — разработать Положение об обработке и защите персональных данных (см. приложение 2), в котором предусмотреть, что работники, которым в силу выполнения служебных обязанностей стали известны персональные данные физических лиц (сотрудников того же предприятия, представителей контрагентов, клиентов), не должны их разглашать, передавать третьим лицам.

Повторимся, на данный момент велика вероятность внесения изменений в Закон № 2297, в результате чего от необходимости регистрации базы персональных данных «Работники» будут избавлены не только субъекты хозяйствования, имеющие одного сотрудника, но и все другие.

Но и действующее сейчас законодательство позволяет обнадежить тех субъектов хозяйствования, которые стоят перед подобной дилеммой: «регистрировать или не регистрировать?». Дело в том, что само определение базы персональных данных указывает на совокупность определенным образом упорядоченных сведений, что косвенно говорит о том, что это должны быть сведения как минимум о двух лицах и более. С таким выводом Минюст согласился в письме от 08.11.2011 г. № 17304-0-33-11/61.

Однако и в условиях отсутствия базы персональных данных предприятие не освобождено от необходимости защиты персональных сведений о физлице.

Как мы уже указали выше, по нашему мнению, простого наличия тех или иных сведений о физическом лице недостаточно, чтобы говорить о том, что предприятием используется база персональных данных. Те субъекты хозяйствования, которые готовы отстаивать такую точку зрения, могут взять на вооружение следующие аргументы:

1. Закон № 2297 не распространяется на любую информацию, которая оказывается у субъекта хозяйствования в ходе его деятельности и с помощью которой можно идентифицировать физлицо. Получение таких сведений, как фамилия, имя, отчество и паспортные данные, занимаемая должность, чаще всего продиктовано специальными требованиями законодательства. Кроме своего непосредственного предназначения (идентификации лица, с которым субъект хозяйствования вступает в правоотношения), данная информация никак не используется, не упорядочивается и не систематизируется, а потому под определение базы персональных данных подпадать не должна.

2. Идея международных стандартов (под которые был принят Закон № 2297) — установить требования в отношении действий, специально направленных на создание и использование неких баз данных о физических лицах (например, перечень клиентов, который специально ведется для систематизации и дальнейшего использования сведений о них). Из приведенного в Законе № 2297 понятия базы персональных данных как «именованной совокупности упорядоченных персональных данных в электронной форме или в форме картотеки» указывает на то, что одного факта наличия у предприятия данных, позволяющих идентифицировать физлицо, недостаточно, чтобы считать, что предприятие владеет базой персональных данных, поскольку это должна быть: а) именованная, б) упорядоченная совокупность данных, в) в электронной форме или в форме картотеки.

3. Базой персональных данных совокупность сведений о физлицах должна считаться только в том случае, когда обработка таких сведений является автоматизированной либо когда обработанные данные размещаются или предназначены для размещения в картотеках, структурированных по определенным критериям, касающимся физических лиц, таким образом, чтобы обеспечить легкий доступ к соответствующим персональным данным.

Следовательно, если предприятие не систематизирует информацию именно в разрезе учредителей, клиентов, физлиц-контрагентов и т. д., считаться базой персональных данных она не должна.

Впрочем, если вдруг кто-то из субъектов хозяйствования решит перестраховаться и зарегистрировать базу персональных данных, а в последующем проверяющие придут к выводу, что такие сведения базу персональных данных не образуют, негативные последствия для субъекта хозяйствования наступать не должны.

При всей кажущейся на первый взгляд очевидности ответа на данный вопрос ситуацию усложняет позиция представителей Госслужбы по защите персональных данных. Так, в письме от 02.04.2012 г. № 10/1106-12 Госслужба «рекомендует сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, находящихся в визитнице, адресной книге электронной почты предприятия и списке контактов служебного мобильного телефона, относить к определению «персональные данные» физического лица».

Следует признать, что по формальным признакам сведения, содержатся о физическом лице в визитнице (как правило, это фамилия и имя либо фамилия, имя, отчество, занимаемая должность либо род занятий, контактные данные), действительно охватываются понятием базы персональных данных: это упорядоченная совокупность сведений о физическом лице, причем структурированная таким образом, чтобы облегчить получение данных о физлице при обращении к ней.

В то же время правовое регулирование должно исходить из принципов разумности и соразмерности между предлагаемыми мерами по защите тех или иных данных и необходимостью подобной защиты. Ведь если лицо самостоятельно распространяет сведения о себе, более того, заинтересовано в дальнейшей их передаче третьим лицам (и форма распространения сама предполагает такое желание), то неразумно применять к субъекту, получившему такие данные, меры по их защите от возможного использования и распространения. Иначе говоря, информация, размещаемая на визитке, предполагает ее общедоступность, а потому не может поддаваться специальной охране со стороны законодательства как сведения, ограниченные в доступе (к числу которых относятся персональные данные). Следует вспомнить, что защита персональных данных предполагает далеко не только регистрацию БПД, но и получение у субъекта персональных данных согласия на их использование, а также его уведомление о предоставленных ему правах, что в случае с визиткой, как уже было сказано, является явно несоразмерным требованием.

Те субъекты хозяйствования, которые безотносительно приведенной информации зарегистрировали базу персональных данных «Контрагенты», думать об отдельной регистрации сведений, находящихся в визитнице, не должны.

К персональным данным относятся только сведения о физических лицах (в том числе о физлицах-предпринимателях). Поэтому если субъект хозяйствования систематизирует, скажем, сведения о контрагентах — юридических лицах, то подобная картотека базой персональных данных считаться не будет.

Начнем с того, как на данный вопрос отвечают представители самой Госслужбы по защите персональных данных. По их мнению, подобная информация охватывается определением персональных данных (из интервью с Владимиром Козаком, заместителем председателя Государственной службы по вопросам защиты персональных данных).

Как мы указывали выше, только критерия возможности идентификации физического лица по предоставленным им данным для определения того, используется ли предприятием база персональных данных, недостаточно: базой персональных данных может считаться лишь та совокупность сведений о физлицах, которые систематизированы таким образом, что доступ к ним и идентификация физлица не составляют труда, не требуют приложения дополнительных усилий. В ситуации с регистрацией на сайте по так называемому нику (условному имени, даже если оно совпадает с настоящим именем) и паролю эти условия не соблюдаются. Кроме того, в том случае, когда для регистрации достаточно ника и пароля, физлицо фактически никаких персональных данных не предоставляет, а значит — на такие отношения Закон № 2297 в принципе распространяться не должен.

Однако должны признать: куда более распространенной является ситуация, когда для регистрации на форуме или сайте необходимо заполнить некую регистрационную форму, в которой просят указать ряд сведений, персональными, безусловно являющихся (фамилия и имя, дата рождения, род деятельности, место проживания и т. п.). В этом случае велика вероятность того, что у представителей Госслужбы по защите персональных данных, если такой сайт вдруг попадет в сферу их внимания, может возникнуть вопрос об излишнем характере запрашиваемых сведений, в связи с чем они могут предписать субъектам хозяйствования, имеющим подобные сайты и форумы, либо отказаться от подобных пунктов в регистрационных формах, либо сделать их заполнение добровольным.

Кроме того, в отношении всех форм интерактивности на интернет-ресурсах представители Госслужбы высказывают настойчивые рекомендации по применению того или иного способа (формы) получения согласия от субъекта персональных данных на их использование. Они признают, что для фиксации такого согласия достаточно проставления галочки (иного знака) напротив пункта «Подтверждение предоставления согласия на обработку персональных данных в базе персональных данных». В качестве примера чаще всего приводятся ресурсы таких компаний, как eBay и Google: прежде чем зарегистрироваться на том или ином ресурсе компании, пользователь попадает на страницу, где указано, кто, как и с какой целью будет обрабатывать его персональные данные. Пока он не поставит галочку в графе «Согласен» или «Я согласен с политикой конфиденциальности и даю согласие на обработку своих персональных данных», его данные к компании не поступят (первый заместитель главы Государственной службы по защите персональных данных Лилия Олексюк).

Считаем, что при желании с подобными требованиями можно поспорить. Дело в том, что данные, предоставляемые при регистрации на сайте (форуме), не подпадают под определение персональных, а потому не требуют защиты в соответствии с Законом № 2297. Это объясняется тем, что персональные данные, как это предусмотрено ч. 2 ст. 6 Закона № 2297, должны быть достоверными и точными. В ситуации, когда имеет место регистрация на сайте, проверить точность и достоверность информации, как правило, нельзя (как, собственно, и при заполнении анкеты клиентом). На этот момент можно попытаться сослаться при возникновении спора с представителями Госслужбы по защите персональных данных.

Можно привести дополнительный аргумент. Согласно ч. 4 ст. 6 Закона № 2297 первичными источниками сведений о физическом лице являются:

выданные на его имя документы;

подписанные таким лицом документы;

сведения, которые лицо предоставляет о себе.

В ситуации, когда имеет место регистрация на сайте, (1) лицо не может быть идентифицировано достоверно; (2) лицо не предоставляет документы, выданные на его имя; (3) лицо не проставляет личную подпись; (4) сведения, которые лицо предоставляет о себе, не могут быть проверены на предмет достоверности.

Чтобы дать исчерпывающий ответ на данный вопрос, информации явно недостаточно. Обязанности зарегистрировать БПД «Работники» у предпринимателя нет при условии, что он в архивных и налоговых целях не хранит у себя данные о лицах, которые работали у него раньше и с которыми трудовой договор уже расторгнут.

Кроме того, даже если у предпринимателя никогда не было наемных работников, этот факт никак не свидетельствует о том, что такой субъект хозяйствования не ведет картотеку тех физлиц, с которыми он заключал гражданско-правовые договоры.

Реестр баз персональных данных действительно изобилует самыми разнообразными вариантами названий БПД, среди которых можно встретить и перечисленные в вопросе. Методологически, как нам представляется, использование таких названий, как «Доверенности», «1С», «Бухгалтерия», «Кадровая документация» и т. п., является, по меньшей мере, некорректным: название базы персональных данных должно указывать на категорию физлиц, в отношении которых систематизируется информация. Например, это могут быть работники, клиенты, представители контрагентов абонента и т. д. Возможно разделение указанных категорий на меньшие группы тоже по тому или иному критерию. Например, работники, имеющие несовершеннолетних детей, могут быть выделены в отдельную картотеку для удобства с регистрацией отдельной базы персональных данных.

Впрочем, использование перечисленных выше названий для обозначения баз персональных данных никак не может быть расценено как нарушение требований законодательства о защите персональных данных. Субъект хозяйствования волен использовать любое удобное для него название.

На наш взгляд, подобное структурирование информации хотя и позволяет идентифицировать физическое лицо, однако для этого необходимо предпринять ряд дополнительных действий, которые, к тому же, необязательно приведут к желаемому результату. Поэтому, как представляется, в подобной ситуации есть все шансы настаивать на том, что база персональных данных отсутствует.

Аналогичным образом можно ответить на вопрос о том, нужно ли создавать базу данных «Клиенты» субъекту хозяйствования, который, к примеру, является владельцем сервисного центра по ремонту техники и получает данные клиентов, обозначенные в квитанциях (фамилия, имя, отчество, адрес и номер телефона). Все зависит от того, что в последующем с указанной информацией происходит. Если она систематизируется так, что сведения о клиенте достаточно легко найти, то действительно имеет место база персональных данных, а потому ее лучше зарегистрировать. Если же квитанции просто накапливаются, к примеру, в хронологическом порядке, то базы персональных данных у предпринимателя нет.

Все зависит от того, по какому критерию они структурированы. Если речь идет о договорах с физическими лицами (независимо от того, есть у них статус предпринимателя или нет) и они, к примеру, расположены по алфавитному принципу по фамилиям физлиц, с которыми заключались, есть основания говорить, что предприятие располагает базой персональных данных, поскольку получить информацию о физлице, зная его фамилию, становится достаточно просто.

Формально адвокат не входит в число субъектов, названных в Законе № 2297 владельцами базы персональных данных. Так, согласно ч. 2 ст. 4 Закона № 2297 владельцем либо распорядителем БПД могут быть предприятия, учреждения, организации всех форм собственности, органы государственной власти либо органы местного самоуправления, физические лица — предприниматели, которые обрабатывают персональные данные в соответствии с законом.

Как видим, ни адвокаты, ни нотариусы в указанный перечень не попадают, поскольку статуса физического лица — предпринимателя не имеют. Впрочем, это совсем не означает, что сведения, которые они получают о физлицах в ходе своей деятельности, не защищены от разглашения. И адвокаты, и нотариусы обязаны соблюдать профессиональную тайну, требования о чем установлены в специальных актах (в законах Украины «Об адвокатуре» и «О нотариате» соответственно).

Вынуждены оговориться: Минюст в своих разъяснениях (http://www.minjust.gov.ua/0/38266) со ссылкой на ч. 6 ст. 24 Закона № 2297, согласно которой «физлица-предприниматели, в том числе врачи, имеющие соответствующую лицензию, адвокаты, нотариусы лично обеспечивают защиту баз персональных данных, которыми они владеют, в соответствии с требованиями закона» (как видим из приведенного предписания, законодатель в Законе № 2297 исходит из некого широкого понимания физлиц-предпринимателей, подразумевая под ними любое самозанятое лицо).