Київська Митрополія
Української Православної Церкви
01015, м.Київ, вул. І.Мазепи, 25, корп. 49
У відповідь на Ваші листи №№ 1582, 1584 від 23.12.2011 стосовно надання роз`яснення щодо застосування Закону України «Про захист персональних даних» в межах компетенції повідомляємо таке.
Насамперед хочемо зазначити, що статтею 32 Конституції України проголошено право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Тому з метою конкретизації права людини, гарантованого статтею 32 Конституції України, та визначення механізмів його реалізації 01.06.2010 Верховною Радою України було прийнято Закон України «Про захист персональних даних» (далі - Закон).
Цей Закон регулює відносини, пов`язані із захистом персональних даних під час їх обробки.
Відповідно до статті 1 Закону дія Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:
фізичною особою — виключно для непрофесійних особистих чи побутових потреб;
журналістом - у зв`язку з виконанням ним службових чи професійних обов`язків;
професійним творчим працівником - для здійснення творчої діяльності.
Статтею 2 Закону визначено, що володілець бази персональних даних - фізична чи юридична особа, якій законом або за згодою суб`єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедуру їх обробки, якщо інше не визначено законом.
Виходячи зі змісту статті 13 Закону України «Про свободу совісті та релігійні організації» релігійна організація визнається юридичною особою з моменту реєстрації її статуту (положення). Релігійна організація як юридична особа користується правами і несе обов`язки відповідно до чинного законодавства і свого статуту (положення).
У свою чергу відповідно до статті 7 вказаного Закону релігійними організаціями є релігійні громади, управління і центри, монастирі, релігійні братства, місіонерські товариства (місії), духовні навчальні заклади, а також об`єднання, що складаються з вищезазначених релігійних організацій.
З огляду на це на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах, яка здійснюється релігійними організаціями та, зокрема управлінням Української Православної Церкви, які набули статусу юридичної особи у порядку, визначеному Законом України «Про свободу совісті та релігійні організації», дія Закону поширюється.
Але ви прийшли до хибного висновку, що Закон покладає на релігійні організації обов`язок з обробки персональних даних членів релігійних об`єднань або осіб, які підтримують постійні контакти з релігійними об`єднаннями у зв`язку з характером їхньої діяльності.
Оскільки обробка персональних даних фізичних осіб - це не обов`язок фізичних або юридичних осіб, а необхідність, яка виникає внаслідок здійснення ними діяльності, що визначена законами, іншими нормативно- правовими актами, положеннями, установчими чи іншими документами, які регулюють їхню діяльність.
Під визначенням поняття «обробка персональних даних» відповідно до статті 2 Закону розуміється` будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов`язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею) знеособленням, знищенням відомостей про фізичну особу.
База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Варто зазначити, що, виходячи з положень статті 2 Закону, персональні дані одночасно можуть бути упорядковані і в електронній формі, і в формі картотек.
Таким чином, релігійні організації, які здійснюють обробку персональних даних в базах персональних даних, зобов`язані дотримуватися вимог Закону щодо захисту персональних даних.
Зокрема, відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису Державною службою України з питань захисту персональних даних (далі - ДСЗПД), який здійснюється нею на підставі заяви про реєстрацію бази персональних даних поданої володільцем бази даних, до Державного реєстру баз персональних даних.
У зв`язку з цим релігійна організація як володілець бази персональних даних зобов`язана подати до ДСЗПД заяву про реєстрацію бази персональних даних.
Заява про реєстрацію бази персональних даних згідно із пунктом 7 Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженого постановою Кабінету Міністрів України від 25.05.2011 № 616 (далі - Положення), повинна містити такі відомості:
- звернення про внесення бази персональних даних до Реєстру;
- інформацію про володільця бази персональних даних;
- інформацію про найменування чи місцезнаходження бази персональних даних;
- інформацію про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у тому числі про їх категорії та правові підстави такої обробки;
- інформацію про інших розпорядників баз персональних даних;
- документ, що підтверджує зобов`язання стосовно виконання вимог законодавства щодо захисту персональних даних.
Отже, ані Закон, ані будь-який інший чинний нормативно-правовий акт у сфері захисту персональних даних не передбачає передання володільцем бази персональних даних відомостей про фізичних осіб до ДСЗПД.
Таким чином, положення Закону у жодному разі не порушують конституційні свободи і права громадян, а навпаки розширюють особисті немайнові права фізичної особи на персональні дані.
Заступник Міністра — керівник апарату
Сєдов А.Ю