Понятійний апарат є вихідним у формуванні підходів щодо законодавчого регулювання захисту персональних даних в Україні відповідно до європейських стандартів. Зважаючи на те, що сфера захисту персональних даних в Україні інтенсивно формується, так само інтенсивно на сучасному етапі в Україні формується відповідний понятійно-термінологічний апарат.
Під понятійно-термінологічним апаратом розуміється наукова мова у тій чи іншій галузі знань. Окрім терміну «понятійно-термінологічний апарат», також вживають терміни «термінологічна система» або «термінологія», розуміючи під ними сукупність певної галузі знань науки, пов'язаних з відповідною системою понять.
Загалом прийнято до понятійно–термінологічного апарату включати відповідні терміни, поняття та категорії, які використовуються та є притаманними саме для конкретної сфери використання.
Термін – це словосполучення, яке точно позначає спеціальне поняття і його співвідношення з іншими поняттями певної галузі.
Зважаючи на те, що протягом 2012 – 2013 років до тексту Закону України «Про захист персональних даних» (далі – Закон) двічі вносилися зміни (Закон «Про внесення змін до Закону «Про захист персональних даних» від 20.11.2012 року № 5491-VI та Закону «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 року № 383-VII), відповідні зміни також вносилися до статті 2 Закону, яка визначає терміни, що використовуються в Законі.
Оскільки в Україні інститут захисту персональним даних є відносно новим, понятійно-термінологічний апарат в сфері захисту персональних даних остаточно ще не склався, і тому остаточного сталого визначення будь-якого терміну у сфері захисту персональних даних ще не сформовано.
У межах кожної системи понять тієї чи іншої науки, зокрема у сфері захисту персональних даних, вимагається, щоб терміни були однозначними та стилістично нейтральними. При цьому цілком нормальним вважається те, щоб національні терміни створювалися внаслідок термінологізації слів загальнонародної мови, запозичення або калькування іншомовних слів.
Зважаючи на те, що сфера захисту персональних даних є новою для України, вона має складну побудову, насамперед тому, що поєднує у собі терміни та визначення з різних за своєю суттю сфер, які відносять і до сфери юриспруденції (володілець персональних даних, згода суб'єкта персональних даних, персональні дані, суб'єкт персональних даних, розпорядник персональних даних, третя особа), а також технічні терміни (знеособлення персональних даних, обробка персональних даних, база персональних даних, картотека).
На вітчизняне термінотворення у сфері захисту персональних даних вплинула, насамперед, ратифікація Україною Конвенції про захист фізичних осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції щодо транскордонних потоків даних та уповноважених державних органів, а також, те, що формування термінів у сфері захисту персональних даних відбувається в умовах функціонування сформованої, насамперед на законодавчому рівні, в Україні системи технічного та криптографічного захисту інформації, яка також широко використовує споріднені за змістом терміни зі сферою захисту персональних даних, але які вже є сталою термінологією.
Проте основоположним фактором стало запозичення англомовних термінів, а також вивчення та врахування відповідного міжнародного досвіду тлумачення. Такий підхід відповідає європейським напрямам формування юридичних аспектів з питань захисту персональних даних, які передбачають те, що кожна держава, яка впроваджує механізми захисту персональних даних для своєї держави, повинна вирішити завдання щодо забезпечення такої відповідності у забезпеченні балансу щодо виконання вимог Конвенції № 108 Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних та наявної загальнодержавної системи вже чинного законодавства.
Ключовим терміном у сфері захисту персональних даних є термін «персональні дані», який характеризує названу сферу загалом і є похідним для формування інших концептуальних термінів. Цей термін не тільки надає назву відповідній галузі, а також утворює інші спеціалізовані терміни, такі як: «обробка персональних даних», «суб'єкт персональних даних», «згода суб'єкта персональних даних на їх обробку», «володілець персональних даних», «розпорядник персональних даних», «обробка персональних даних» та «знеособлення персональних даних».
Конвенція № 108 Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних, яка була ратифікована Законом України «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції стосовно органів нагляду та транскордонних потоків даних», визначає персональні дані як будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною.
Наведене в Законі України визначення терміну «персональні дані» в повній мірі відповідає визначенню вказаного терміну, передбаченого в Конвенції Ради Європи про захист осіб у зв'язку із автоматизованою обробкою персональних даних і яке не передбачає встановлення чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до будь-яких різноманітних ситуацій, зокрема при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, а також з урахуванням можливості виникнення змін у зв'язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.
Повідомлення Європейської Комісії від 04.11.2010 № COM(2010) 609 Європарламенту, Раді ЄС, Економічно-соціальному комітету та Комітету регіонів ЄС «Комплексний підхід до захисту персональних даних в Європейському Союзі», у якому вказано, що визначення поняття «персональні дані» має на меті охопити всю інформацію, пов'язану з ідентифікацією або можливістю ідентифікувати особу прямо чи непрямо. З метою встановлення, чи особа може бути ідентифікована, мають враховуватися «всі засоби, якими може скористатися володілець або будь-яка інша особа для ідентифікації згаданої людини».
Крім того, Рекомендацією № CM/Rec (2010) Комітету Міністрів Ради Європи державам-членам щодо захисту осіб у зв'язку з автоматизованою обробкою персональних даних в контексті їх профілювання визначено, що під персональними даними розуміється виключно інформація, за допомогою якої особа ідентифікується або може бути ідентифікована, якщо її ідентифікація вимагає невиправдано великої кількості часу і зусиль.
Відповідно до міжнародних стандартів термін «персональні дані» повинен охоплювати всю інформацію про фізичну особу, яка ідентифікована або може бути ідентифікована у будь-який можливий спосіб.
Для визначення факту ідентифікації особи необхідно враховувати всі можливі засоби для ідентифікації вказаної особи.
Такий широкий підхід до визначення персональних даних надає змогу досягти достатньої гнучкості, що дозволяє використовувати вказаний термін у різноманітних ситуаціях та інформаційних і телекомунікаційних ресурсах, які не існували на момент прийняття Конвенції, або можуть виникнути у майбутньому.
Важливість терміну «персональні дані», а також відповідність його міжнародним нормам підтверджує той факт, що, незважаючи на те, що Закон України «Про захист персональних даних» двічі змінювався, визначення терміну залишалося незмінним.
Виходячи зі сформульованого Законом базового поняття «персональні дані», у статті 2 Закону також було визначено категорію осіб, що є суб'єктами відносин, пов'язаних з персональними даними («суб'єкт персональних даних, володілець персональних даних, розпорядник персональних даних, третя особа, розпорядник, а також Уповноважений Верховної Ради з прав людини» в редакції Закону від 03.07.2013 року № 383-VII).
При цьому найбільші зміни були внесені при формулюванні терміну «володілець персональних даних» щодо виключення обов'язкової вимоги при віднесенні будь-якої фізичної чи юридичної особи до категорії володільця за умови наявності правових підстав для обробки персональних даних – наданого законом права на обробку цих даних або за згодою суб'єкта персональних даних. Щодо дій володільців персональних даних, та в Законі замінено процедуру «затвердження» ним мети обробки персональних даних на процедуру «визначення» володільцем персональних даних цієї мети.
У редакції Закону від 03.07.2013 року № 383-VII, яка вступить в дію з 1 січня 2014 року:
«Володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
Розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
Одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
Третя особа – будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних;
Суб'єкт персональних даних – фізична особа, персональні дані якої обробляються».
Зважаючи на те, що термін «згода суб'єкта персональних даних на обробку його персональних даних» віднесено до однієї з основних правових підстав для обробки персональних даних, він також є системноутворювальним для усього сімейства понять і категорій цієї галузі. Враховуючи набутий досвід щодо формування системи захисту персональних даних в Україні, Законом України «Про внесення змін до Закону України «про захист персональних даних» від 20.11.2012 року № 5491-VI було викладено у такій редакції:
«згода суб'єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання».
Таким чином, у визначенні терміну було значно розширено можливу форму надання згоди суб'єкта персональних даних. Від форми «будь-яка документована, зокрема письмова» (в редакції Закону від 01.06.2010 року № 2297-VI) до «висловленої у письмовій формі або у формі, що дає змогу зробити висновок про її надання» (в редакції Закону від 20.11.2012 року № 5491-VI).
Наступна важлива група термінів формується у відповідності до дій, які вчиняються суб'єктами відносин, пов'язаними з персональними даними у відношенні до персональних даних та означають відповідний процес або явища (стан, наслідки дій), і які виражаються дієсловом. До цієї групи відносяться терміни «обробка персональних даних» та «знеособлення персональних даних».
При визначенні терміну «обробка персональних даних» з нього вилучено обмеження щодо повноти реалізації дій з персональними даними в інформаційній (автоматизованій) системі та/або картотеках персональних даних, замінено об'єкт стосовно яких здійснюються ці дії з «відомостей про фізичну особу» на «персональні дані» і наголошується на тому, що всі дії або сукупності дій здійснюються в тому числі з використанням інформаційних (автоматизованих) систем.
Слід також зазначити, що при визначенні терміну «обробка персональних даних» не враховані зміни, які внесені до статті 15 Закону і які доповнюють процедуру знищення персональних даних також додатковою процедурою їх видалення, проте це не знайшло свого відображення у статті 2 Закону при визначенні терміну «обробка персональних даних».
Таким чином, остаточно термін обробка персональних даних вживається у такому значенні:
«Обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем».
Зважаючи на всі дії або їх сукупність, які відбуваються з персональними даними при їх обробці, в Законі також наведено терміни щодо об'єктів, в яких персональні дані збираються та обробляються:
«База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних, який залишається незмінним з першої редакції Закону»;
а також
«картотека – будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами» (в редакції Закону від 20.11.2012 року № 5491-VI).