Sidebar

В связи с частыми изменениями в законодательстве, информация на данной странице может устареть быстрее, чем мы успеваем ее обновлять!
Eсли Вы хотите найти правильное решение именно своей проблемы, задайте вопрос нашим юристам прямо сейчас.

Положения Закона Украины «О защите персональных данных» и сопутствующих нормативных актов, как ни крути, нацелены прежде всего на крупные корпорации, которые обрабатывают значительные массивы персональных данных - банки, страховые компании, операторы сотовой связи и т.п.. Именно это в основном источником несанкционированной утечки информации о лице.

Как правило, корпорации имеют разветвленную сеть обособленных подразделений - филиалов, представительств и отделений, а также дочерних предприятий. Все эти «структурные элементы» так или иначе пользуются общими базами данных корпорации, а бывает, имеющих также собственные мини-базы. Возникает закономерный вопрос - подлежат такие мини-базы отдельной регистрации и может обособленное подразделение юридического лица выступать владельцем или распорядителем базы персональных данных?

По мнению Инны Скузь, обособленное подразделение юридического лица может выступать только как распорядитель базы персональных данных. В свою очередь, владельцем базы персональных данных может быть только само юридическое лицо.

Есть и другой подход, согласно которому обособленное подразделение не может быть даже распорядителем базы персональных данных. Как отмечает юрист ЮФ «Астерс» Юлия Янюк, согласно разъяснениям Службы на ее веб-сайте, обособленное структурное подразделение юридического лица может быть владельцем / распорядителем базы если:

- Базы персональных данных юридического лица и его обособленного структурного подразделения имеют различное наименование;

- Ведение таких баз персональных данных регулируется различными нормативно-правовыми актами и / или внутренними актами;

- Структурное подразделение имеет статус отдельного юридического лица.

В других случаях владельцем баз персональных данных будет соответствующая юридическое лицо, а различные местонахождение баз персональных данных должны указываться в разделе II заявления о регистрации базы персональных данных.

Это разъяснение дает однозначный ответ на вопрос - обособленное подразделение (филиал, представительство, отделение) не может быть ни владельцем, ни распорядителем базы персональных данных, а дочернее предприятие - может. А значит, мини-база «Клиенты банковского отделения» - всего лишь часть большой базы персональных данных «Клиенты банка». В то же время при регистрации этой базы в заявлении необходимо указать все адреса фактического местонахождения базы данных (или ее частей).

Но это не значит, что в разделе II заявления нужно перечислить адреса всех имеющихся обособленных подразделений, а при создании нового подразделения сразу же подавать заявление о внесении изменений. Ведь регистрируется именно «местонахождение базы», а не «местонахождение точки, из которой осуществляется постоянный доступ к базе». Если база персональных данных в электронной форме содержится на едином сервере, к которому работники многочисленных обособленных подразделений имеют удаленный доступ, то есть только один местонахождение базы - местонахождение сервера. Если обособленные подразделения имеют «дубликаты» базы или ее части на собственных серверах - местонахождений будет несколько, но база - все равно единственная.

«Наличие нескольких носителей информации, например нескольких серверов, может влиять на сведения, которые необходимо указывать при регистрации базы персональных данных в Государственной службе Украины по вопросам защиты персональных данных, - отмечает адвокат АО« ЮФ Василь Кисиль и Партнеры »Владислав Подоляк. - Например, обработка данных происходит с помощью сервера компании, а также с помощью сервера, принадлежащего распорядителю базы персональных данных (в том числе материнской компании). В этом случае в заявлении о регистрации базы персональных данных нужно отметить два адреса о местонахождении базы персональных данных ».

Тот же принцип должен применяться не только к обособленных подразделений. Не секрет, что персональные данные клиентов или контрагентов предприятия могут представлять собой не единую упорядоченную систему, а несколько. Например, различные отделы или даже различные менеджеры могут иметь собственные базы контактов клиентов (поставщиков), которые не являются идентичными между собой. И все же эту ситуацию надо рассматривать как образование большого количества отдельных баз персональных данных.

Чрезмерное дробление и сужение понятия «база персональных данных» не соответствовать цели Закона - оно приведет лишь к возникновению неоправданной бюрократической волокиты всеукраинских масштабов, не пойдет на пользу ни общественности, ни бизнеса, ни государству.


Получите за 15 минут консультацию юриста!