Київська Митрополія
Української Православної Церкви
01015, м.Київ, вул. І.Мазепи, 25, корп. 49
Щодо виконання Закону України «Про захист персональних даних»
Міністерством культури України розглянуто лист Священного Синоду Української Православної Церкви від 23 грудня 2011 року № 1583 щодо позиції УПЦ стосовно окремих аспектів, пов`язаних з дією Закону України «Про захист персональних даних», у зв`язку з чим вважаємо за необхідне висловити наступні міркування.
Так, положеннями статті 32 Конституції України проголошено право людини на невтручання в її особисте життя. Крім того, положеннями частини 2-ї цієї статті встановлено пряму заборону на збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди.
У розвиток наведеного конституційного положення прийнятий Закон України «Про захист персональних даних» (набрав чинності 1 січня 2011 року), який безпосередньо регулює відносини, пов’язані з захистом персональних даних під час їх обробки. При цьому, положеннями статті 2-ї Закону, до персональних даних віднесені відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Згідно з Законом первинними джерелами відомостей про фізичну особу є, зокрема, видані на її ім’я або підписані нею документи. В свою чергу, базою персональних даних вважається іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Відповідно до положень статті 1-ї Закону, його дія не поширюється лише на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах фізичною особою (виключно для непрофесійних особистих чи побутових потреб), журналістом (у зв’язку з виконанням ним службових чи професійних обов’язків) та професійним творчим працівником (для здійснення творчої діяльності).
Отже, вимоги зазначеного Закону є обов’язковими для релігійних організацій.
Разом із тим, слід враховувати, що спеціальним законодавчим актом, що визначає особливості утворення та діяльності релігійних організацій, а також їх правового статусу є Закон України «Про свободу совісті та релігійні організації», який не містить для релігійних організацій обов`язку створювати бази персональних даних та забезпечувати в них обробку відповідної інформації.
Більше того, відповідно до приписів частини 2-ї статті 3-ї наведеного Закону примусове збирання персональних даних (формування відповідних баз), зокрема, щодо членів релігійних організацій (віруючих), є підставою для припинення діяльності релігійної організації у судовому порядку (пункт 1-й частини 4-ї статті 16-ї Закону), адже потенційно вказані дії відповідної організації можуть розглядатися як форма примушування при визначенні громадянином свого ставлення до релігії.
Проте, варто зазначити, що поряд з тим положення Закону України «Про свободу совісті та релігійні організації» не виключають можливості для релігійних організацій створювати інформаційні (автоматизовані) системи та/або картотеки, що містять персональні дані фізичних осіб, а так само здійснювати діяльність щодо збирання, реєстрації, накопичення, зберігання, адаптування, зміни, поновлення, використання відомостей про фізичну особу (персональних даних).
Для прикладу, релігійні організації — як юридичні особи — можуть формувати справи (бази персональних даних) щодо найманих працівників (у разі використання праці фізичних осіб), адже особові справи та трудові книжки зберігаються та обробляються роботодавцем (при цьому, в особовій справі зберігаються та оновлюються також копії паспортів, документів про освіту тощо).
Враховуючи приписи Закону України «Про захист персональних даних», реєстрації у Державному реєстрі баз персональних даних підлягає будь-яка упорядкована сукупність логічно пов’язаних даних про фізичних осіб, що зберігається та обробляється відповідним програмним забезпеченням (у електронній формі) або на паперових носіях інформації (у формі картотек), при умові, що такі дані структуровані за визначеними критеріями, що стосуються фізичних осіб, та забезпечують легкий доступ до відповідних персональних даних.
Таким чином, під час здійснення релігійними організаціями своєї статутної діяльності чинним законодавством на них не покладається обов`язок створення та ведення будь-яких баз персональних даних. Але, якщо релігійні організації формують відповідні картотеки (інформаційні системи), що містять персональні дані, які вони постійно оновлюють та підтримують в актуальному стані, такі картотеки вважаються базами персональних даних та підлягають державній реєстрації.
Згідно з положеннями частини 2-ї та 3-ї статті 9-ї Закону України «Про захист персональних даних» реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. При цьому, до уповноваженого державного органу з питань захисту персональних даних подаються лише визначені Законом відомості про базу, а не персональні дані, що в ній зберігаються.
Підсумовуючи викладене, а також враховуючи, що, зокрема, реєстрація наявної бази персональних даних є формальним підтвердженням із боку відповідного володільця цієї бази зобов’язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних, на думку Міністерства культури України, відсутні підстави для розгляду положень Закону України «Про захист персональних даних» у якості засобу «встановлення тотального контролю за діяльністю релігійних активістів»..
Ю.П. Богуцький,
Перший заступник Міністра