Положения Закона Украины «О защите персональных данных» и сопутствующих нормативных актов, как ни крути, нацелены прежде всего на крупные корпорации, которые обрабатывают значительные массивы персональных данных - банки, страховые компании, операторы сотовой связи и т.п.. Именно это в основном источником несанкционированной утечки информации о лице.
Как правило, корпорации имеют разветвленную сеть обособленных подразделений - филиалов, представительств и отделений, а также дочерних предприятий. Все эти «структурные элементы» так или иначе пользуются общими базами данных корпорации, а бывает, имеющих также собственные мини-базы. Возникает закономерный вопрос - подлежат такие мини-базы отдельной регистрации и может обособленное подразделение юридического лица выступать владельцем или распорядителем базы персональных данных?
По мнению Инны Скузь, обособленное подразделение юридического лица может выступать только как распорядитель базы персональных данных. В свою очередь, владельцем базы персональных данных может быть только само юридическое лицо.
Есть и другой подход, согласно которому обособленное подразделение не может быть даже распорядителем базы персональных данных. Как отмечает юрист ЮФ «Астерс» Юлия Янюк, согласно разъяснениям Службы на ее веб-сайте, обособленное структурное подразделение юридического лица может быть владельцем / распорядителем базы если:
- Базы персональных данных юридического лица и его обособленного структурного подразделения имеют различное наименование;
- Ведение таких баз персональных данных регулируется различными нормативно-правовыми актами и / или внутренними актами;
- Структурное подразделение имеет статус отдельного юридического лица.
В других случаях владельцем баз персональных данных будет соответствующая юридическое лицо, а различные местонахождение баз персональных данных должны указываться в разделе II заявления о регистрации базы персональных данных.
Это разъяснение дает однозначный ответ на вопрос - обособленное подразделение (филиал, представительство, отделение) не может быть ни владельцем, ни распорядителем базы персональных данных, а дочернее предприятие - может. А значит, мини-база «Клиенты банковского отделения» - всего лишь часть большой базы персональных данных «Клиенты банка». В то же время при регистрации этой базы в заявлении необходимо указать все адреса фактического местонахождения базы данных (или ее частей).
Но это не значит, что в разделе II заявления нужно перечислить адреса всех имеющихся обособленных подразделений, а при создании нового подразделения сразу же подавать заявление о внесении изменений. Ведь регистрируется именно «местонахождение базы», а не «местонахождение точки, из которой осуществляется постоянный доступ к базе». Если база персональных данных в электронной форме содержится на едином сервере, к которому работники многочисленных обособленных подразделений имеют удаленный доступ, то есть только один местонахождение базы - местонахождение сервера. Если обособленные подразделения имеют «дубликаты» базы или ее части на собственных серверах - местонахождений будет несколько, но база - все равно единственная.
«Наличие нескольких носителей информации, например нескольких серверов, может влиять на сведения, которые необходимо указывать при регистрации базы персональных данных в Государственной службе Украины по вопросам защиты персональных данных, - отмечает адвокат АО« ЮФ Василь Кисиль и Партнеры »Владислав Подоляк. - Например, обработка данных происходит с помощью сервера компании, а также с помощью сервера, принадлежащего распорядителю базы персональных данных (в том числе материнской компании). В этом случае в заявлении о регистрации базы персональных данных нужно отметить два адреса о местонахождении базы персональных данных ».
Тот же принцип должен применяться не только к обособленных подразделений. Не секрет, что персональные данные клиентов или контрагентов предприятия могут представлять собой не единую упорядоченную систему, а несколько. Например, различные отделы или даже различные менеджеры могут иметь собственные базы контактов клиентов (поставщиков), которые не являются идентичными между собой. И все же эту ситуацию надо рассматривать как образование большого количества отдельных баз персональных данных.
Чрезмерное дробление и сужение понятия «база персональных данных» не соответствовать цели Закона - оно приведет лишь к возникновению неоправданной бюрократической волокиты всеукраинских масштабов, не пойдет на пользу ни общественности, ни бизнеса, ни государству.