А навіщо нам ваше? У нас і свого вистачає!
Оптимальним варіантом для іноземних компаній є реєстрація баз даних на дочірнє підприємство в Україні, де материнська компанія виступатиме тільки розпорядником баз персональних даних на підставі соответсвующего договору. Проте на практиці можуть встречатся і складніші конструкції.
Зустрічаються випадки, коли зважаючи на внутрішню політику іноземних компаній реєстрація баз даних на дочірнє підприємство в Україні не є прийнятною. При цьому, у більшості випадків у іноземної компанії є вже існуючі бази даних, які створені і функціонують згідно з їх національним законодавством. В зв'язку з цим цілком логічним питанням є необхідність реєстрації таких баз даних в Україні зокрема і застосовності українського законодавства до правовідносин по обробці персональних даних в цілому. При виникненні такої ситуації на практиці слід враховувати ряд практичних моментів, які допоможуть уникнути можливих труднощів і розбіжностей з держслужбою по захисту персональних даних при перевірці.
Спеціальних положень в законодавстві України (зокрема, в ЗУ "Про захист персональних даних" і в ЗУ "Про міжнародне приватне право") не передбачено. Тому виникає питання стосовно можливості обробки персональних цих суб'єктів згідно із законодавством тієї країниу якої бази даних іноземного підприємства були створені і функціонують.
Приміром, для компаній ЄСякі діють на території України, можна відмітити Угоду про партнерство і співпрацю між Україною і ЄС. Згідно з цією Угодою, коли компанії ЄС починають свою діяльність на території України, вони мають право на власний вибір отримати національний статус (тобто руководствоватся правилами, предусмотреными для українських юридичних осіб) або статус найбільшого сприяння (тобто вибрати найбільш сприятливі умови, які встановлені для юридичних осіб) залежно від того, які умови є найбільш вигідними.
Більше того, згідно ст. 6 Закону України "Про міжнародне приватне право" застосування норми права іноземної держави не може бути обмежене тільки на тій основі, що ця норма належить до публічного права.
Проте, c обліком того, що захист персональних даних належить до особистих немайнових прав (ст. 32 Конституції України і ст. 302 Цивільні кодекси України), для тих правотношений з суб'єктами персональних даних, які матимуть місце на території України (наприклад, трудові правовідносини із співробітниками, договірні стосунки з клієнтами), а також з урахуванням ст. 22 ЗУ "Про міжнародне приватне право" все-таки буде застосуються право України (необхідність реєстрації баз даних).
У своїй рекомендації з цього питання держслужба з питань захисту персональних даних, посилаючись на право України, відмітила, що для передачі персональних даних за межу необхідно:
- отримати згоду суб'єкта персональних даних на трансграничну передачу персональних даних;
- врегулювати на договірній основі стосунки між дочірнім підприємством і материнською компанією в частині обробки персональних даних;
- отримати від материнської компанії документи, які підтверджують заходи по захисту персональних даних, які реализированны материнською компанією, з метою підтвердження умов забезпечення нею належного захисту персональних даних.
Слід зазначити, що навіть за відсутності факту реєстрації баз даних іноземної (материнською) компанії в Україні притягнути соответвующих посадовців такої іноземної компанії до адміністративної/кримінальною отвественности в Україні, з урахуванням регулювання ст. 16 Кодексу України про адміністративні правопорушення і ст. 8 Кримінального кодексу України, буде украй складно.
Питання права, застосованого до обробки персональних даних, ще не знайшло однозначного регулювання в міжнародній практиці. Проте, загальний огляд міжнародної практики свідчить про те, що за наявності різних юрисдикцій застосуванню підлягає національне законодавство кожній юрисдикції. За наявності факту обробки персональних цих громадян певної країни (міждержавного об'єднання), національне (міждержавне) законодавство буде застосуються до усіх суб'єктів, які обробляють такі дані, назависимо від їх географічного місцезнаходження.
Як приклад, у кінці січня 2012 року представлені зміни в законодавство ЄС, згідно з якими єдині стандарти захисту конфіденційності жителів ЄС діятимуть незалежно від того, в якій точці світу їх персональні дані обробляються, де географічно розташований сервер, провайдер, технічні засоби. Будь-яка компанія, що здійснює свою діяльність в ЄС, або будь-який онлайн-продукт, орієнтований на покупця з ЄС, вимагатиме дотримання вимог законодавства ЄС.
Вибираємо розпорядників
При реєстрації баз цих співробітників виникає питання в необхідності вказівки обслуговуючого банку і страхової компанії (за наявності) як розпорядників бази персональних даних. При цьому, дочірня компанія в Україні фактично є розпорядником, але договір на надання банківських послуг і договір на надання страхових послуг заключенны саме з такою дочірньою компанією. В зв'язку з цим виникає питання належного виконання ст.11 Закону стосовно наявності письмового договору між власником і розпорядником баз персональних даних.
Додатковий важливий момент, який необхідно враховувати, - які саме бази даних вже зарегестрированы банком або страховий, а також особливості ув'язнених з банком і страховий договорів (зазвичай банк і страхова реєструю базу цих клієнтів і базу цих співробітників клієнтів).
За наявності у банку/страхової таких баз персональних цих співробітників клієнтів питань з визначенням банку і страховий як розпорядників баз персональних даних іноземної компанії або його дочірнього підприємства в Україні не виникає, оскільки у такому разі власником бази персональних даних виступатиме банк або страхова, що, відповідно, не вимагатиме яких або додаткових дій з боку материнської або дочірньої компанії. У такому разі банк/страхова компанія зобов'язані будуть здійснити усі необхідні дії, спрямовані на отримання згоди співробітника, повідомлення співробітника про включення його даних у базу даних банку/страхової компанії і так далі (хоча і, за нашою інформацією, не расскрывая деталей, ряд банків незабаром буде готовий надати саме своїм корпоративним клієнтам додаткові правила (умови) роботи з персональними даними).
При цьому, в юридичному значенні персональні дані співробітника дочереней компанії будуть обрабатыватся в двох базах даних : у базі даних материнської/дочірньої компанії і у базі даних банку/страхової компанії, де кожен з них повинен здійснювати ті дії, які передбачені законодавством про захист персональних даних.
Додатково можливо розглядати і ряд інших варіантів, при яких, залежно від ситуації, можливо забезпечити дотримання цього положення (знову-таки за умови, що власником бази персональних даних явялется іноземна компанія) :
- Укладення прямого договору між іноземною материнською компанією і відповідним банком, страховою компанією в Україні (додатково до договору на надання банківських послуг, ув'язненим між дочірньою компанією і банком / страхової).
- Включення в існуючі договори на банківське/страхове лудіння положень стосовно обробки персональних даних. При цьому дочерную комапнию за договором необхідно буде як мінімум визначити довіреною особою, уповноваженим діяти від імені материнської компанії (соответсвующие положення можна включити в договір на обробку персональних даних між материнською і дочірньою компаніями).
Додатковий варіант, який в даному випадку можливо розглянути, це надання банку і страховий доступу до персональних даних згідно ст.16 Закону. У такому разі банк або страхова по опеределению буде віднесені до третіх осіб, а не до розпорядників баз персональних даних. Щоб отримати доступ до персональних даних, вони будуть зобов'язані робити запит на власника персональних даних стосовно доступу до персональних даних співробітників, вказуючи, що метою запиту є виконання своїх своїх зобов'язань за соотвествующему договором ув'язненому з дочірньою компанією. На можливість надання доступу у такому разі вказує і держслужба по по захисту персональних даних. При цьому слід враховувати, що порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, предоставленой власникові бази персональних даних на обробку цих даних, або згідно з вимогами закону.
Отже, до іноземних компаній застосовуються вимоги українського законодавства стосовно необхідності реєстрації баз данихнезважаючи на наявність належного створення (реєстрації, авторизації) баз згідно з національним законодавством цих компаній. Особливу увагу необхідно звернути на правильне визначення розпорядників баз персональних даних.
Олег Климчук адвокат МЮФ Noerr
