EXPERTUS. Головбух
Питання: При наданні інтернет послуг покупцем можуть виявитися громадяни або підприємства різних країн світу. Треба буде укладати договори на послугу.
Які обов’язкові реквізити (копії документів чи персональні дані фізичних осіб з інших країн світу) повинна брати у замовника, щоб не порушити тим самим Закон «Про захист персональних даних» як тієї країни з якої буде громадянин чи юридична особа, так і з боку законодавства України?
Як убезпечитися при укладені договорів, щоб не натрапити тим самим на судові позови з боку громадян інших країн, тобто які дані або копії документів я можу в них запитувати і затребувати, а які не маю права?
І чи взагалі я, як майбутній ФОП, повинна брати копії якихось документів, чи просто шаблон договору надаю в інтернет-ресурсі, а замовник сам вписує свої дані (але тоді я не знаю правдиві вони чи ні), тому що мені зберігати копії та дані замовників не має ніякого інтересу, це тягне наслідки по ЗУ «Про захист персональних даних», а мені не хочеться відповідати за збереження чи якимсь чином витік інформації і потім мати негативні наслідки для себе. Адже ніхто не застрахований від шахрайських втручань. Мені потрібний буде лише договір, за яким я зобов’язуюсь надати послугу замовнику, а він її оплатити.
Як налаштувати діяльність з нуля як майбутньому ФОПу чи самозайнятій особі, і яким чином складати договори з міжнародними замовниками щоб не порушувати ЗУ «Про захист персональних даних»?
Як правильно налаштувати і що передбачити у своїй діяльності, якщо по факту мені не потрібні персональні дані своїх замовників, крім оплати за мою послугу?
Які пункти в договорі мають бути присутні, чи які не варто прописувати, що не варто робити при контакті із замовниками?
Які органи в Україні перевіряють і слідкують за порушення дотримання законодавства «Про захист персональних даних»?
Чи існує такий орган, чи проводить він перевірки, чи може норми закону діють тільки на папері і формально?
Відповідь: При укладенні договору з резидентом іншої країни одне з важливих питань – це питання «юрисдикції» такого договору. Зрозуміло, що в цьому разі кожен резидент живе за законами країни свого резидентства. І ці закони часто не співпадають. Тому в такому випадку сторони такого договору мають домовитися між собою про те, яким саме правом вони керуватимуться.
Відповідно до ст.32 Закону України «Про міжнародне приватне право» від 23.06.2005 № 2709-IV зміст правочину може регулюватися правом, яке обрано сторонами, якщо інше не передбачено законом. У разі ж відсутності вибору права до змісту правочину застосовується право, яке має найбільш тісний зв’язок із правочином. Якщо інше не передбачено або не випливає з умов, суті правочину або сукупності обставин справи, то правочин більш тісно пов’язаний з правом держави, у якій сторона, що повинна здійснити виконання, яке має вирішальне значення для змісту правочину, має своє місце проживання або місцезнаходження. То таке право й застосовується до такого правочину.
Відповідно до ст.43 цього ж Закону сторони договору згідно із ст.5 та 10 Закону можуть обрати право, що застосовується до договору, крім випадків, коли вибір права прямо заборонено законами України. Вибір права, що застосовується до договору, охоплює:
1) дійсність договору;
2) тлумачення договору;
3) права та обов’язки сторін;
4) виконання договору;
5) наслідки невиконання або неналежного виконання договору;
6) припинення договору;
7) наслідки недійсності договору;
8) відступлення права вимоги та переведення боргу згідно з договором.
Якщо при визначенні способів та порядку виконання договору, а також заходів, які мають бути вжиті в разі невиконання або неналежного виконання договору, неможливе застосування права, зазначеного в частині першій цієї статті, може бути застосоване право держави, у якій здійснюється виконання договору (ст.47 Закону «Про міжнародне приватне право»).
Узагальнюючи викладене, з урахуванням питання, резюмуємо:
Оскільки в цьому випадку швидше за все, йдеться про публічний договір, умови якого розміщені на відповідному інтернет-ресурсі (сайті), то замовник послуг може укласти такий договір, погодившись з його умовами. А умови формує «автор» такого договору, тобто надавач послуг. Тож, як то кажуть, йому і карти в руки. Він може в такому договорі вказати, що до нього (договору) і до його змісту застосовується право України. Це для того, щоб кожного разу не аналізувати право країни кожного окремого замовника.
А тепер повернемося до права України, яким регулюються відносини, пов’язані з отриманням, обробкою та використанням персональних даних. В Україні ці відносини врегульовані Законом «Про захист персональних даних» від 01.06.2010 № 2297-VI.
Відповідно цього Закону:
база персональних даних – це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
володілець персональних даних – це фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
згода суб’єкта персональних даних – це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-комунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки (ст.2 Закону).
Згідно зі ст.11 цього Закону підставами для обробки персональних даних, зокрема, є згода суб’єкта персональних даних на обробку його персональних даних; укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних.
Тобто підприємець, який надає послуги фізичній особі, може отримати згоду на обробку персональних даних або у вигляді окремого документа (як письмового, так і електронного) від фізичної особи – клієнта, або ж шляхом укладення договору (електронного), в якому буде вказано, що такий клієнт надає згоду на обробку його персональних даних. В обох випадках виконавець вважатиметься таким, що правомірно володіє та обробляє персональні дані.
Згідно зі ст.10 Закону «Про захист персональних даних» використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону. Використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. Володільцю забороняється розголошувати відомості стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних з такими даними.
Отже, надавач послуг вважатиметься таким, що дотримується законодавства про захист персональних даних та не порушує його за таких умов:
- згоду на обробку персональних даних він отримав в один із способів:
- шляхом надання згоди, як окремого електронного документа, створеного за допомогою інформаційно-комунікаційної системи;
- шляхом акцепту (згоди) публічного договору, умови якого викладені на відповідному інтернет-ресурсі та передбачають згоду клієнта на обробку його персональних даних;
- надавач послуг обробляє отримані персональні дані відповідно до умов запропонованого ним договору;
- надавач не передає ці персональні дані іншим особам.
Щодо контролю за дотриманням законодавства про захист персональних даних слід виходити з того, що відповідно до ст.4 Закону «Про захист персональних даних» суб’єктами відносин, пов’язаних із персональними даними, окрім суб’єкта, володільця, розпорядника персональних даних, третьої особи є також Уповноважений Верховної Ради України з прав людини (далі – Уповноважений). Саме на нього та на суди ст.22 Закону йпокладає здійснення контролю за додержанням законодавства про захист персональних даних.
Згідно зі ст.23 Закону «Про захист персональних даних» Уповноважений має, зокрема, такі повноваження у сфері захисту персональних даних:
1) отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду;
2) проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних в порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних;
3) отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом;
4) затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом;
5) за підсумками перевірки, розгляду звернення видавати обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у тому числі щодо зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних;
6) надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз’яснювати права і обов’язки відповідних осіб за зверненням суб’єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб;
7) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом.
А на володільців, розпорядників персональних даних та третіх осіб ст.24 Закону покладає обов’язок забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних. Фізичні особи – підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто зобов’язані забезпечувати захист персональних даних, якими вони володіють, згідно з вимогами закону.
Звісно, що життя, зокрема підприємницьке, є значно ширшим, ніж висвітлено у цій відповіді, і на практиці виникає і виникатиме багато уточнюючих, деталізуючих запитань. Для цього, мабуть, і існують юристи, яким ці запитання й слід ставити.
На перспективу слід також згадати про Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR) 2016/679. Це такий нормативно-правовий акт, який діє в межах законодавства Європейського Союзу і є обов’язковим для виконання державами, які входять до цієї спільноти. Він регулює питання захисту персональних даних усіх осіб у межах ЄС та Європейської економічної зони. Він також стосується експорту персональних даних за межі ЄС і ЄЕЗ. GDPR покликаний насамперед надати громадянам та резидентам ЄС контроль за їхніми персональними даними та спростити регуляторне середовище для міжнародного бізнесу шляхом уніфікації регулювання в межах ЄС.
Регламент містить положення і вимоги щодо опрацювання персональних даних їх суб’єктів всередині ЄС. Бізнес-процеси, які опрацьовують персональні дані, повинні бути одразу побудовані за принципом «приватність за призначенням та за замовчуванням». Цей принцип означає, що персональні дані необхідно зберігати з використанням псевдонімів чи повної анонімізації та використовувати налаштування найвищого рівня приватності за замовчуванням, так щоб дані не були доступні публічно без очевидної згоди та не могли бути використані для ідентифікації суб’єкта без додаткової інформації, що зберігається окремо.
Регламент було прийнято 14.04.2016, набрав він чинності 24.05.2016 і після дворічного перехідного періоду почав застосовуватися 25.05.2018.
О. Єфімов,
Старший партнер Адвокатського об’єднання «Адвокатська фірма «Єфімов та партнери», доктор філософії права, доцент, адвокат, аудитор, доцент кафедри приватного права, Київського національного економічного університету імені Вадима Гетьмана